2.扫描设置

    由于是全面扫描，因此需要的时间会很长，在扫描的同时切换到“Settings”（扫描设置）选项卡，查看扫描设置（如图5）。在“How to act？”（如何处理病毒文件）中，可以设置检测到木马后默认的处理动作。点击“Recommend actions”（默认操作），在弹出菜单中选择“Quarantine”（隔离）命令，将在检测到木马后自动对其进行隔离操作。

图5

    仔细看了一下“How to Scan”中的设置项，惊喜的发现了Ewido功能的强大之处，不仅可以扫描捆绑文件、未知病毒、加壳的木马等，还可以检测出NTFS数据流木马！这些功能一会儿测试吧！在“Possibly unwanted software”（不需要的附加软件）项中，使用默认的设置选项，可以全面的查杀流氓广告、有危险的Cookies信息和一些可疑的拨号连接。在“What to Scan”中，可设置扫描的文件类型。为了保险起见，直接就选择了“Scan every file”（扫描所有文件）；如果想加快扫描速度，只扫描某几个文件类型的话，可勾选“Choose files by extension”（通过后缀名指定要扫描的文件），并添加文件类型。

    小提示：在这里笔者又发现了一个小惊喜，文件类型中有asp/cgi/php，也就是说可以扫描网页木马文件！

    3.木马大清除

    返回扫描界面，发现竟然扫描出了20多个木马，这其中当然有刚才木马克星无能为力的，也有木马克星检测不出来的木马！毫不犹豫的在“Action”中将处理操作改成“Delete”（如图6），直接将木马删除掉，然后点击“apply all acions”（执行所有操作）按钮，很快检测出来的木马都被删除掉了。不过又弹出一个提示窗口，显示其中一个木马文件无法删除，这下我有些纳闷了，难道这些木马采用了特殊保护技术，DLL注入？还是进程守护？

图6

    4.揪出木马进程

    怎么办呢？仔细查看了一下软件界面，看到上面有一个功能按钮“Analysis”(分析），点击后切换到木马分析页面，看到这里有许多木马分析小工具。先看看端口吧，选择“Connections”选项卡，在这里查看到所有网络连接开放端口。

    小提示：在“Analysis”页面中，“Processes”项可以查看和结束木马进程；“Autostart”可管理系统自启动项目；“Browser Plugins”项可管理删除加载到IE浏览器中的流氓插件。

    连接太多了，于是关闭了QQ、IE所有网络连接，终于发现了可疑的连接——“explorer.exe”本来是资源管理器的进程，竟然对外连接了一个远程主机地址（如图7）！

图7

    小提示要快速的找到木马连接，可勾选下方的“Hide local connections”（隐藏本地连接），只显示对外的远程连接。

    确定木马是采用DLL注入的方式，通过资源管理器进行启动和保护的了。于是选择该进程，先点击“Terminate connections”（关闭连接），断开与远程主机的连接，再点击“Terminate Applications”（终止进程），将木马插入的进程结束掉。再返回刚才的木马扫描页，就可以成功删除刚才无法操作的木马文件了！

    另外，值得一提的是笔者还用Ewido扫描出了自己网站服务器上其他人上传的ASP木马后门（如图8）。大家有兴趣的话，还可以看看“Tools”功能页中，也能发现更多的惊喜哦！

图8

下载地址：http://www.mydown.com/showdetail/260/260563.html