在測試前還有一個問題需要解決�,那就是��,由于此木馬卡巴斯基已經(jīng)可以查殺�����,運行此木馬時�,卡巴斯基會檢測到并將它刪掉,所以要想無障礙地運行還需要對此樣本文件做一些免殺處理����。做免殺筆者還沒這個能耐,不過筆者有黑客朋友會做免殺���。經(jīng)過朋友的一番折騰����,樣本真的不能被卡巴斯基7.0查到了���。有了免殺樣本那就閑話少說�����,開始測試?���。∈紫刃枰屇抉R完全跑起來看看行為�。關(guān)閉卡巴斯基2010,雙擊樣本運行后����,桌面的樣本不見了,原來它在感染計算機后�,會自動刪除自身。除此之外����,計算機表面并沒有任何異樣����。但事實上該木馬已經(jīng)感染了計算機。首先����,我們打開系統(tǒng)的system32文件夾下,可以看到木馬釋放的文件,名稱為:xttp6J11x.exe 如下圖所示:
另外�,此木馬還創(chuàng)建了一些注冊表項,如下圖所示:
我們使用Sysinternals出品的網(wǎng)絡(luò)連接查看工具TCPView檢查一下目前計算機的聯(lián)網(wǎng)情況���。不看不知道����,一看真的嚇一跳�,很明顯,該木馬已經(jīng)同遠程主機建立起連接��,正在偷偷進行通訊���。如下圖所示:
看來這種木馬威力還不小��。以上測試是在沒有使用卡巴斯基2010安全免疫區(qū)的情況下運行木馬后�,計算機上的一些變化��。
現(xiàn)在����,我們將虛擬機恢復(fù)到未感染木馬的狀態(tài)下進行新的測試。這次打開卡巴斯基2010�。按理來說���,這個樣本對于卡巴斯基7.0已經(jīng)是免殺的了,卡巴斯基應(yīng)該是不能通過特征碼比對檢測到此木馬的��。所以筆者試著用卡巴斯基掃描一下該木馬��,感覺也不應(yīng)該會被檢測到����,然而卻發(fā)生了令筆者意想不到的事情:
卡巴斯基竟然報警了。原來雖然卡巴斯基沒有通過特征碼檢測到該木馬����,但卡巴斯基的啟發(fā)式掃描引擎還是發(fā)現(xiàn)該文件是個木馬程序。這里不得不稱贊一下卡巴斯基的啟發(fā)式掃描��,效果還是非常好的��。
沒辦法��,看來要想運行此木馬�����,我們只有關(guān)閉卡巴斯基2010的實時保護了����,否則不用運行,只要一點擊文件�����,卡巴斯基就會報警然后將文件刪除掉�。之后就是在安全免疫區(qū)中運行木馬了。我們將木馬樣本添加到卡巴斯基的安全免疫區(qū)中�,然后運行。具體操作就是在卡巴斯基的安全免疫區(qū)中點擊添加����,然后瀏覽找到該木馬,添加即可�。如下圖所示:
運行樣本后,桌面樣本沒有消失�����,而且也沒有其他異樣情況發(fā)生��。那么到底有效果沒有呢��?我們看一下系統(tǒng)的system32目錄下�,是否有木馬釋放的文件�,如下:
我們非常欣慰的看到����,這次沒有了木馬釋放的xttp6J11x.exe文件的蹤跡?�?磥?�,木馬應(yīng)該是沒有感染到計算機�。為了進一步證明,我們再打開注冊表看一下:
可以看到�,木馬這次沒有能夠創(chuàng)建注冊表項。最后�����,我們再來看一下TCPView的顯示結(jié)果是否也正常����。如下圖所示:
很明顯,網(wǎng)絡(luò)連接里面也沒有了木馬遠程連接的蹤影�,再一次證明了木馬沒有感染計算機。那木馬運行后到底怎樣了呢�����?我們打開卡巴斯基安全免疫區(qū)共享文件夾����,發(fā)現(xiàn)原來其釋放的文件被困在這里,不會對系統(tǒng)產(chǎn)生危害�����。如下圖所示: 
經(jīng)過上述測試表明��,卡巴斯基2010的安全免疫區(qū)的確可以避免病毒�����、木馬等惡意程序的突破����,保護計算機系統(tǒng)本身的安全。在安全免疫區(qū)中運行的程序被進行了限制����,它所做的操作不會對安全免疫區(qū)以外的正常系統(tǒng)造成任何影響。
筆者認為���,此功能十分實用���,尤其是在遇到來歷不明���,安全性未知的程序時,我們大可以將這些程序在卡巴斯基的安全免疫區(qū)內(nèi)運行��。這樣�����,即使是最新的反病毒軟件無法查殺到的病毒�、木馬,也不會對我們產(chǎn)生危害���。如果用戶能夠經(jīng)常使用此功能��,感染病毒的幾率應(yīng)該會小很多��。
