技巧：实用工具绝杀网页木马

　　利用Windows系统、IE或其它软件漏洞，网页木马大行其道，广大网民成了无辜的受害者。就算你的系统补丁打得再勤，也难免挂万漏一，一个不小心就会中招。如此这样用户始终跟在漏洞后面追赶，太被动了，有没有有效终结各种网页木马的方法呢?下面笔者为大家介绍几款终结网页木马的工具，为大家安全浏览网页保驾护航。

　　一、网页木马克星

　　网页木马克星是一款功能全面的网页木马防范工具，它可以有效的阻止IE浏览器运行其它程序，从而达到防止木马的目的。另外，它不仅可以防范网页木马，还可以阻止任意未知进程的调用，从而更全面的保护系统。

　　1、监视恶意网页

　　动行网页木马克星后，选择“系统设置”选项卡，勾选“监视浏览器运行其它程序”项，点击“保存设置”按钮，再点击“开启监视”按钮，即可打开网页木马克星的监视功能。当我们打开木马网页时，网页木马克星即时的拦截到了进程信息，弹出进程拦截对话框。从对话框中可以了解到该网页下载运行的木马进程名。(图1)

　　网页木马克星还可以有效的保护IE浏览器，阻止网页修改IE主页在进程界面中勾选项“监视程序修改IE”项，点击“保存设置”按钮，再开启监视。当网页试图弹出修改提示对话框，用户可选择是否IE主页。勾选“监视程序IE并且锁定为”项，在后面的空白输入框中输入主页地址，即可自动阻止一切主页修改操作，锁定为指定的网址。(图2)

　　2、防范广告窗口

　　有一些网页木马与IE捆绑在一起，也有许多流氓软件嵌入了IE中，经常会自动弹出某些网页广告窗口，用网页木马克星可以有效的防范此类木马与流氓软件。

　　在程序界面中勾选“监视浏览器运行其它程序”项，开启监视后，即可阻止任意未经许可的程序调用。在弹出网页广告窗口时，网页木马克星会自动拦截，可看到此类广告窗口往往都是通过IE调用的。(图3)

　　二、SSM也来防网页木马

　　一些安全软件，如“看门狗”、SSM等，也是具备防网页木马功能。如果系统已经安装了这些软件，那么同样可以用其防范网页木马。

　　以SSM为例，打开“规则”→“程序”选项卡，点击右键，选择“添加文件规则”，在弹出的对话框中浏览指定C:\Program Files\Internet Explorer\IEXPLORE.EXE，确定后即可为IE创建一条规则。使用默认的规则设置，当IE浏览某个木马网页时，将会自动阻止后台程序的调用。例如开着SSM时，打开木马网页，将会弹出阻止程序运行的信息，有效的阻止网页木马。(图4)

　　三、网页监控器WebPageMon

　　WebPageMon是一个网页监控器，可有效地防止各种网页脚本木马的执行，而且占用系统资源率特别小。动行WebPageMon前，首先需要将IE设置默认的浏览器，如果使用的是Maxthon，因为其调用的内核也是IE内核，因此也要将IE设置为默认浏览器。

　　动行WebPageMon后，程序会自动检测到当前默认浏览器，在下方列表中显示浏览器进程。点击“启动监控”按钮，即可开启网页木马监控。打开某些木马网页时，WebPageMon会在后台自动检测IE是否运行了其它的程序，并在上面的日志中显示拦截信息。(图5)

　　WebPageMon程序并不删除网页脚本下载的木马文件，仅是阻止它的动行，因此我们可以打开IE临时文件夹，查看被阻止的IE在后台下载的可执行文件。并可以用杀素软件对其进行检测，查杀是否有病毒。(图6)

　　四、网页木马拦截器

　　一般来说，恶意网页中的木马病毒和流氓软件之所以可以动行，是利用了浏览器或系统的漏洞，达到下载并动行恶意程序的险恶用心。也就是说，只要我们禁止可疑程序的动行，那么即使恶意网页在后台下载了木马程序病毒，也是无法对我们的系统进行感染破坏的。控制程序动行，就可达到防范恶意网页的目的。——“网页木马拦截器”就是通过监视控制系统中的任何程序进程的产生，来防范网页木马病毒的。

　　由于网页木马拦截是通过进程监控防范网岩浆木马的，因此在浏览网页前要杀素软件防火墙，检测确保系统中没有恶意程序进程。同时为了一些避免影响对网页木马病毒的断，最好不要替罪羊 的程序。“网页木马拦截器”是一个绿色的小软件，解压后直接执行其中的程序，即可动行软件监控拦截各种网页木马病毒及恶意网页。

　　1、进程保护

　　在程序界面窗口中列表显示了当前系统中的所有正在动行的进程，右点击“刷新列表”按钮，更新进程信息。在其中找到一些无关或可疑的进程，点击“结束进程”命令，将其终止掉。再点击“设置”按钮，在弹出对话框中勾选“随系统启动动行”项，让木马拦截器即时的保护系统。

　　2、网页拦截

　　点击界面中的“开始拦截 ”按钮，在程序窗口标题栏中可以看到“拦截系统已启动”的提示信息，就可以拦截任意网页了，此时正在动行的程序进程将会被标记为“已信任”，拦截器会时刻注意监控系统中是否有新的进程产生。(图7)

　　如果拦截器发现新进程产生，会及时的拦截住进程不让其动行，并自动将程序界面显示在桌面上层，以提醒用户。用户可在中间窗口列表中，看到一个标记提示为黄色问号的新进程名。如果觉得此进程这木马进程的话，那么可点击程序界面右侧的“结束进程”按钮，终止木马病毒程序的运行;如果是正常的软件程序，那么可点击“信任进程”按钮，许可程序的运行。被禁止与被许可的进程，都会在列表中以醒目的方式提示显示，可点击“刷新进程”按钮，恢复正常显示。(图8)

　　如何知道拦截器报警提示的进程，空间是正常的系统或软件进程，还是有害的网页木马病毒程序呢?如果在开始监控前，系统运行的都是正常进程，而在监控后开始浏览网页的过程中，自己并没有运行其它的程序，却提示有新进程产生被拦截，那么被拦截的进程一般都是包含在网页中的木马。

　　3、防恶意插件

　　在拦截的保护下可以安全的浏览各类网站，丝毫不必担心网页中是否有木马，因为任何网页木马程序试图运行，软件会自动进行拦截，拦截器就可以确保100%的拦截各种网页木马。即使是以DLL方式加载运行的木马或各种流氓软件，都逃不脱拦截器的“慧眼”。同时，网上还有一类专门修改系统安全配置、注册表等的恶意网页，同样也能被拦截阻止。(图9)

　　4、设置黑白名单

　　如果在浏览网页时，需要运行一些正常的软件程序，拦截器会频繁的弹出提示，怎么办呢——我们可以将安全的程序添加到“白名单”中去，就可以自由的运行程序了。在程序界面中点击选择“白名单”选项，在中间的列表窗口中输入程序进程名即可。(图10)

　　另外，在“黑名单”中可以添加禁用一些危险的程序，例如有的网页会修改注册表，可将 添加到黑名单中，禁止浏览网页时对注册表进行任何修改操作。在程序目录下有两个文件“Allow.txt”(白名单)、“kill.txt”(黑名单)，可直接用记事本编辑文件添加到黑白名单程序。(图11)

　　总结：网页木马肆虐，与其被动地预防不如利用相应的网马检测、查杀工具主动出击绝杀它。当然，除了笔者列举的这几款软件之外，大家还可以找到其他类似的软件。