偷袭卡巴斯基

“千里之堤，溃于蚁穴”。对于杀毒软件来说，一个小小的漏洞就可能让它们失去防护作用。听闻传言，用一个脚本文件能绕过《卡巴斯基》强大的主动防御功能，真是这样吗?

形成原理

《卡巴斯基》为了防止盗版，采用了实时检测Windows系统日期的方法来判断是否超过授权的使用期限。如果检测到已经超出，《卡巴斯基》就会关闭所有的实时监控，托盘上的图标也会变成灰色。这时无法再进行病毒扫描等操作，须要输入新的序列号或者添加新的授权文件才可以恢复正常使用。

利用这一特性，调整系统时间后就能绕过《卡巴斯基》的实时监控，避开它的主动防御功能。下面我们就通过实际操作，来感受《卡巴斯基》脆弱的一面，准备一个木马程序，再对它进行一番改造，让它能够绕过《卡巴斯基》的主动防御检测。

改造木马

首先用WinRAR压缩木马程序，双击生成的RAR文件，点击工具栏上的“自解压格式”图标。在弹出的对话框中点击“高级自解压选项”按钮，在弹出的“高级自解压选项”窗口中填入自解压路径，注意这个解压路径要和后面代码中的路径一致，这里我们设置为“C:\”。

点击“模式”选项标签，选中“全部隐藏”和“覆盖所有文件”这两个选项，最后点击“确定”按钮将压缩包转换成为一个自解压文件。

设置脚本文件

这个脚本文件的作用是先获取Windows系统当前的时间，接着将它修改成设置好的时间，让木马程序延迟一段时间再运行，最后再恢复系统的正常时间。将图中的代码保存下来，保存为一个VBS格式的脚本文件。

文件捆绑

现在我们通过文件捆绑器对木马的自解压文件和脚本文件进行捆绑，我采用的是一款多文件捆绑工具《万能文件捆绑器》。

点击“添加文件”按钮首先添加自解压文件，再点击“添加文件”按钮添加脚本文件，这样设置可以让自解压文件先运行。如果有必要的话，还可以在下面的图标窗口选择需要的文件图标，最后点击“捆绑文件”按钮即可。

通过前面的一系列操作，生成的木马程序就可以绕过《卡巴斯基》的实时监控。这个过程还是比较麻烦，有人将这些操作进行组合，通过一个程序即可实现。也有一些木马程序，比如黑洞、熊宝宝、Evilotus等，生成的服务端程序可以自动地绕过《卡巴斯基》的监控。

防范方法

那么，有没有办法防止这类木马的运行呢?答案是肯定的。

这里简单说一下，由于这是《卡巴斯基》的注册原理制引起的，所以在《卡巴斯基》的“设置”选项中加上一个密码，这样在关闭防火墙时会出现提示窗口。还要加强系统脚本文件和批处理文件的管理，防止这类文件随意运行，再者就是设置用户权限，不让用户调整系统时间。