Web木馬防護工具選擇標準如下：

對Zip壓縮包的掃描能力

在Web木馬傳播中，ZIP壓縮包是木馬比較喜歡藏匿的地方。當(dāng)用戶通過Web郵件客戶端下載一個ZIP附件并打開時，有可能木馬已經(jīng)在用戶不知覺的情況下在本地運行。并伺機取感染其他用戶。為此筆者認為，在選擇Web木馬防護工具的時候，首先需要去確認一下，這個防護工具對于Zip壓縮包的掃描能力。

通常情況下，大部分Web木馬防護工具已經(jīng)具有了這個ZIP壓縮包掃描工具，但是其只能夠掃描單層的Zip壓縮包。其實用戶可能都有過這方面的經(jīng)驗。當(dāng)選中ZIP壓縮包，按右鍵進行解壓后，發(fā)現(xiàn)解押出來的文件還是一個壓縮包。然后再對這個壓縮包進行解壓，得到的仍然是一個壓縮包。如此循環(huán)幾次后，最后得到的才是文件的本身。這就涉及到多層ZIP壓縮文件。當(dāng)接受到這個文件的時候，需要特別當(dāng)心。因為這很可能就是Web木馬的伎倆。

因為現(xiàn)在很多Web防木馬工具，只具有單層ZIP壓縮包掃描工具。當(dāng)對以上這種情況，具有兩層或者兩層以上的壓縮時，就對隱藏在其中的木馬無能為力了。不少木馬就是利用防護工具的這個缺陷，故意將一個文件進行多次打包，以躲過防護工具的監(jiān)測。

為此在選擇木馬防護工具時，要選擇那些可以掃描ZIP壓縮包，特別是能夠支持多層掃描的防護工具，效果會比較好。

防護工具是否能夠進行內(nèi)存掃描

當(dāng)用戶打開某個網(wǎng)頁，如果對方網(wǎng)頁有木馬，首先這個木馬會進入到用戶主機的內(nèi)存中。然后在內(nèi)存中尋找可以利用的進程(如操作系統(tǒng)某個進程的缺陷等等)。這是一種比較傳統(tǒng)的，也是危害性比較大的木馬侵入手段。

這也就要求木馬防護工具還必須具有內(nèi)存掃描的能力。通過內(nèi)存掃描來發(fā)現(xiàn)插入其他進程地址空間運行的最新木馬。另外需要注意的是，從內(nèi)存中查殺木馬是一項比較危險的工作。因為其如果誤殺了其他系統(tǒng)可用的進程(即使這個進程真的被木馬感染了)，此時就會導(dǎo)致主機或者所使用的系統(tǒng)死機。

這也就要求我們在選擇防木馬工具的時候，要兼顧其穩(wěn)定性。特別是在涉及到內(nèi)存中的木馬自動查殺的時候，如果有可能導(dǎo)致用戶系統(tǒng)死機的關(guān)鍵進程，在清除之前最好能夠像用戶發(fā)出提醒。當(dāng)用戶保存了相關(guān)數(shù)據(jù)之后再

需要能夠分析未知的病毒

道高一尺，魔高一丈。通常情況下，木馬總是比防護工具先走一步。也就是說，木馬出來后(一段時間后)，相應(yīng)的防護工具才能夠識別并進行查殺。這就是說當(dāng)木馬被發(fā)現(xiàn)之后，相當(dāng)一部分數(shù)量的用戶其實已經(jīng)中了木馬。這無疑會給用戶帶來很大的損失。

為此在選擇木馬工具的時候，最好還要確認一下，這款防木馬工具對未知病毒的發(fā)現(xiàn)能力。如筆者推薦一款A(yù)ntiy的木馬防護工具。這是一個相對來說比較專業(yè)級別的Web木馬檢測和系統(tǒng)安全工具。這款工具最重要的特點就是不僅能夠查殺已知的木馬，而且還能夠發(fā)現(xiàn)部分未知的木馬。這主要是因為這款工具有一個智能分析系統(tǒng)。

智能分析系統(tǒng)能夠根據(jù)某些進程的特征與運行情況，來判斷這個進程是否是木馬或者被木馬所感染。然后會提醒用戶。不過由于其的不確定性，一般系統(tǒng)不會進行自動查殺，而只是提醒用戶需要注意這個進程。當(dāng)用戶認為這個進程木馬的可能性比較大時，出于安全的考慮，可以將這個進程查殺掉。這就可以最大程度避免木馬對用戶造成不必要的損害。對于一些安全級別高的應(yīng)用，如網(wǎng)上銀行等等，在選擇木馬防護工具時，就需要特別注意這一點。

木馬很狡猾，所以選擇合適的Web木馬防護工具是很重要的環(huán)節(jié)，希望大家多多學(xué)習(xí)這方面的知識。下一篇：淺析如何選擇Web木馬防護工具 下篇

【編輯推薦】

1. 淺析Web安全
2. Web安全產(chǎn)品分析
3. Web攻擊的十大原因
4. Web應(yīng)用安全日趨嚴重我們該拿什么拯救
5. Web2.0時代 需要防范黑客的5種新型在線攻擊