使用以上介紹的方法，雖然可以發(fā)現(xiàn)木馬的行蹤，不過操作起來比較復(fù)雜，分析大量的監(jiān)控?cái)?shù)據(jù)會(huì)讓人感到很吃力。如果能夠化繁為簡，讓木馬的活動(dòng)一步步地顯露在您的面前，讓您可以毫不費(fèi)力地洞察其一舉一動(dòng)，同時(shí)還可以居高臨下輕松快捷地將木馬徹底刪除，那無疑可以讓您在與木馬的較量中占盡先機(jī)。當(dāng)然，要想實(shí)現(xiàn)上述想法，離不開有力的工具。有了Online Armor這款獨(dú)特的安全工具，您就可以穿上鎧甲與木馬進(jìn)行斗爭，將其一舉擊破全身而退了。

為了安全起見，還是將木馬程序和Online Armor放置到虛擬中運(yùn)行。首先安裝運(yùn)行Online Armor時(shí)，該軟件會(huì)檢測并下載最新的版本，同時(shí)利用自身集成了最新版的卡巴斯基反病毒引擎，對系統(tǒng)進(jìn)行全面安全檢測。檢測完畢彈出報(bào)告窗口，將發(fā)現(xiàn)的可疑之處都顯示出來。如果沒有發(fā)現(xiàn)可疑情況，會(huì)要求重新啟動(dòng)系統(tǒng)。當(dāng)重啟系統(tǒng)后，在之后的兩分鐘之內(nèi)，Online Armor自動(dòng)處于學(xué)習(xí)模式（Learning Mode），該模式通過對系統(tǒng)啟動(dòng)時(shí)的狀態(tài)進(jìn)行監(jiān)控，分析在此過程中相關(guān)程序的活動(dòng)情況，并為之建立各種安全規(guī)則。因?yàn)樵谔摂M機(jī)中運(yùn)行，可以保證在此期間系統(tǒng)環(huán)境是干凈和安全的。

當(dāng)經(jīng)過預(yù)設(shè)的時(shí)間后，Online Armor自動(dòng)取消了學(xué)習(xí)模式，轉(zhuǎn)而進(jìn)入標(biāo)準(zhǔn)模式（Standard Mode），在該模式下，Online Armor執(zhí)行的是嚴(yán)格的保護(hù)措施。不管啟動(dòng)任何程序，都會(huì)遭到Online Armor的攔截，在彈出的提示窗口頂部顯示該程序或者模塊的行為模式（例如啟動(dòng)、抓取屏幕、攔截鍵盤、加載模塊、啟動(dòng)其它程序、添加到啟動(dòng)項(xiàng)、非法進(jìn)程注入、關(guān)機(jī)等），并顯示其具體的名稱、路徑、版本號、開發(fā)者、描述信息等內(nèi)容，在“What does this mean”欄中顯示Online Armor對該程序或者模塊的行為分析信息，在“What should I do”欄中顯示Online Armor對您的建議信息，幫助您確定是否需要攔截該程序或者模塊。勾選“Trust this program”項(xiàng)，表示將該程序添加到信任列表中，對其活動(dòng)放行。

如果您判斷該程序或者模塊值得信任，點(diǎn)擊“Allow”按鈕允許其繼續(xù)運(yùn)行。否則的話點(diǎn)擊“Block”按鈕，對其進(jìn)行攔截處理。

注意：Online Armor會(huì)根據(jù)威脅級別，使用不同顏色“裝扮”警告窗口。例如，對一般的威脅，會(huì)使用黃色窗體，對于危險(xiǎn)級別會(huì)使用紅色窗口，威脅的級別越高，窗口的顏色越深。

Online Armor的一個(gè)顯著的特點(diǎn)是擁有跟蹤攔截能力，可以對程序的所有活動(dòng)信息進(jìn)行逐步跟蹤判斷，并分別彈出攔截界面，讓您可以隨時(shí)對其任何可疑行為進(jìn)行攔截，嚴(yán)格約束其活動(dòng)，最大限度保護(hù)系統(tǒng)安全。

了解了Online Armor的功能和特點(diǎn)后，就可以讓其和木馬過招了。在Online Armor監(jiān)控下，啟動(dòng)木馬程序“runsetup.exe”，當(dāng)該木馬潛入系統(tǒng)激活后，會(huì)立即遭到Online Armor的攔截，在警告窗口中會(huì)顯示其路徑信息，根據(jù)Online Armor給出的分析信息，您可以判斷其是否合法。這里我們點(diǎn)擊“Allow”按鈕誘其深入，追蹤其下一步動(dòng)作。果然，Online Armor接著彈出紅色的攔截窗口，提示該程序試圖創(chuàng)建名稱為“zufrppay.dll”可執(zhí)行文件，目標(biāo)路徑為“C:Windowssystem32”。一般情況下，需要立即點(diǎn)擊“Block”按鈕阻止該行為。為了進(jìn)一步觀察跟蹤效果，我們點(diǎn)擊“Allow”按鈕放行。接下來Online Armor再次彈出攔截窗口，提示“zufrppay.dll”試圖將自身添加到啟動(dòng)項(xiàng)中。實(shí)際上，該文件是木馬創(chuàng)建的，用來偽裝成系統(tǒng)服務(wù)獲得自動(dòng)運(yùn)行權(quán)的核心程序之一（如圖3所示）。

點(diǎn) 擊“Allow”按 鈕 放行。Online Armor緊接著彈出的攔截窗體，顯示該程序試圖創(chuàng)建名稱為“zufrppay.sys”的驅(qū)動(dòng)程序，其路徑為“C:Windowssystem32drivers”。這是Pcshare釋放的另外一個(gè)核心程序，用來偽裝成驅(qū)動(dòng)文件非法運(yùn)行。繼續(xù)對其放行，Online Armor 繼續(xù)彈出攔截窗口，提示名稱為“zufrppay.dll”的程序試圖添加到啟動(dòng)項(xiàng)中，看來該木馬不僅將惡意程序偽裝成系統(tǒng)服務(wù)，而其還將其偽裝成驅(qū)動(dòng)程序，使兩者都可以自動(dòng)運(yùn)行，達(dá)到深入入侵的目的。繼續(xù)放行Online Armor攔截操作，在之后的攔截窗口中可以看到“zufrppay.sys”試圖立即啟動(dòng)，執(zhí)行開啟后門，發(fā)送連接信息隱蔽動(dòng)作。繼續(xù)放行后該木馬才得以順利激活，完成整個(gè)入侵操作。

圖3 木馬試圖將惡意DLL程序添加到啟動(dòng)項(xiàng)中

圖4 查看木馬活動(dòng)的記錄信息

在整個(gè)監(jiān)控過程中，可以看到木馬的所有活動(dòng)全部處于Online Armor的掌控之中，通過跟蹤該木馬的行蹤，Online Armor頻頻彈出攔截窗口，并結(jié)合該木馬每一個(gè)入侵動(dòng)作，分別予以曝光和攔截。據(jù)此，不僅該木馬所有的隱蔽動(dòng)作全部暴露在您的面前，而且您只需連續(xù)地點(diǎn)擊“Block”按鈕，就可以切斷其入侵通道，廢除其破壞威力，讓其根本沒有機(jī)會(huì)染指系統(tǒng)。

實(shí) 際 上，Online Armor已經(jīng)將該木馬全部的活動(dòng)信息完整記錄下來了，在Online Armor管理界面左側(cè)點(diǎn)擊“History”項(xiàng)，通過查閱日志列表，可以很輕松地找到該木馬的記錄信息（如圖4所示）。可以清晰地看到，該木馬釋放惡意程序，并將其添加到啟動(dòng)項(xiàng)等行為。選擇對應(yīng)的記錄項(xiàng)目，在窗口底部顯示更加詳細(xì)的信息，包括木馬安裝程序、創(chuàng)建的惡意程序名稱、保存路徑等內(nèi)容。

利用Online Armor提供的程序信息消除功能，可以毫不費(fèi)力地將木馬“清洗”掉。在窗口左側(cè)點(diǎn)擊“Programs”項(xiàng)，在程序規(guī)則窗口中選擇該木馬程序，在其右鍵菜單中點(diǎn)擊“Delete”項(xiàng)，在彈出窗口中點(diǎn)擊確定按鈕，Online Armor就可以將該木馬安裝程序、其創(chuàng)建的所有惡意文件，以及其在對其它系統(tǒng)文件、注冊表等非法修改信息干凈徹底地清除掉。