偷襲卡巴斯基

“千里之堤，潰于蟻穴”。對于殺毒軟件來說，一個小小的漏洞就可能讓它們失去防護作用。聽聞傳言，用一個腳本文件能繞過《卡巴斯基》強大的主動防御功能，真是這樣嗎?

形成原理

《卡巴斯基》為了防止盜版，采用了實時檢測Windows系統日期的方法來判斷是否超過授權的使用期限。如果檢測到已經超出，《卡巴斯基》就會關閉所有的實時監控，托盤上的圖標也會變成灰色。這時無法再進行病毒掃描等操作，須要輸入新的序列號或者添加新的授權文件才可以恢復正常使用。

利用這一特性，調整系統時間后就能繞過《卡巴斯基》的實時監控，避開它的主動防御功能。下面我們就通過實際操作，來感受《卡巴斯基》脆弱的一面，準備一個木馬程序，再對它進行一番改造，讓它能夠繞過《卡巴斯基》的主動防御檢測。

改造木馬

首先用WinRAR壓縮木馬程序，雙擊生成的RAR文件，點擊工具欄上的“自解壓格式”圖標。在彈出的對話框中點擊“高級自解壓選項”按鈕，在彈出的“高級自解壓選項”窗口中填入自解壓路徑，注意這個解壓路徑要和后面代碼中的路徑一致，這里我們設置為“C:\\”。

點擊“模式”選項標簽，選中“全部隱藏”和“覆蓋所有文件”這兩個選項，最后點擊“確定”按鈕將壓縮包轉換成為一個自解壓文件。

設置腳本文件

這個腳本文件的作用是先獲取Windows系統當前的時間，接著將它修改成設置好的時間，讓木馬程序延遲一段時間再運行，最后再恢復系統的正常時間。將圖中的代碼保存下來，保存為一個VBS格式的腳本文件。

文件捆綁

現在我們通過文件捆綁器對木馬的自解壓文件和腳本文件進行捆綁，我采用的是一款多文件捆綁工具《萬能文件捆綁器》。

點擊“添加文件”按鈕首先添加自解壓文件，再點擊“添加文件”按鈕添加腳本文件，這樣設置可以讓自解壓文件先運行。如果有必要的話，還可以在下面的圖標窗口選擇需要的文件圖標，最后點擊“捆綁文件”按鈕即可。

通過前面的一系列操作，生成的木馬程序就可以繞過《卡巴斯基》的實時監控。這個過程還是比較麻煩，有人將這些操作進行組合，通過一個程序即可實現。也有一些木馬程序，比如黑洞、熊寶寶、Evilotus等，生成的服務端程序可以自動地繞過《卡巴斯基》的監控。

防范方法

那么，有沒有辦法防止這類木馬的運行呢?答案是肯定的。

這里簡單說一下，由于這是《卡巴斯基》的注冊原理制引起的，所以在《卡巴斯基》的“設置”選項中加上一個密碼，這樣在關閉防火墻時會出現提示窗口。還要加強系統腳本文件和批處理文件的管理，防止這類文件隨意運行，再者就是設置用戶權限，不讓用戶調整系統時間。