随着安全技术的发展，黑客都十分地清楚，在现在，利用网页木马进行肉鸡的捕捉是最好的方法。这也造成了网页木马在网络中泛滥成灾，给电脑用户造成了很大的威胁。有矛就有盾，各种网页木马拦截工具应运而生，这些工具不但可以对已知的网页木马进行拦截，还可以对很多未知的网页木马进行拦截。那么这些程序在面对网页木马时的真实表现如何?今天我们就让这些网页木马拦截工具在网页木马前过招，看看谁才是真正的网页木马克星。

　　为何能拦截未知网页木马

　　有一句话说得很好：“病毒库的更新永远比病毒更新慢。”很多人装了杀毒软件也中了病毒就是这个原因。那么，这些网页木马拦截工具号称能够拦截未知的网页木马，它凭什么这么说，它的原理是什么呢?

　　我们首先从网页木马的工作原理说起。网页木马并不是一种全新的木马类型，而只是一种全新的木马伪装和传播方式。黑客将木马程序转化为图片、脚本、视频等网页可以识别的文件形式，当网友访问这个网页木马后，如果系统存在该木马利用的漏洞，那么就会激活网页木马运行。接着网页木马通过脚本代码自动下载黑客设置的木马程序并运行，最终让黑客捕获大量肉鸡。

　　而网页木马拦截工具的工作原理，就是在“木马下载后运行”这一环节进行拦截的。当有文件准备在后台运行的时候，拦截工具就会进行拦截并提示用户。因为它根本不会核对这是否是网页木马，只要网页有类似可疑操作，就进行拦截，并通知用户。这也是为何它们能够防范未知网页木马的原因。

　　热门网页拦截工具

　　我们特意选择了金山清理专家、IE卫士、瑞星卡卡、网页木马拦截器这4款当前比较有人气的网页木马拦截工具。其中金山清理专家、瑞星卡卡都是有专业安全公司推出的安全工具，而IE卫士和网页木马拦截器则是专业的网页木马拦截器。

　　金山清理专家

　　金山清理专家是金山毒霸推出的一款安全工具，在最新版本中新增加了一个网页木马拦截功能。成功安装清理专家后点击工具栏中的“网页防挂马”功能，由于该功能是利用插件的形式来操作的，因此首先要点击“安装并开启”按钮来激活。

　　目前该功能支持的浏览器包括IE浏览器，虽然程序声称可以支持Maxthon，但是在实际测试中并不支持Maxthon。

　　IE卫士

　　IE卫士是一款插件形式的网页木马拦截工具。双击“IE卫士”安装程序后，程序会自动安装到C:\Program Files\IEKavass目录下，接着自动注册浏览器BHO到IE浏览器和Maxthon浏览器中。

　　由于Windows 2003系统在默认设置时不能自动加载BHO，要点击IE浏览器菜单下的“Internet选项”，在“高级”标签中选择“启用第三方浏览器扩展”选项，然后再进行插件的安装运行即可。

　　瑞星卡卡

　　瑞星卡卡是瑞星公司推出的一款反流氓软件，独创“IE防漏墙”功能模块，可以在流氓软件、木马、病毒等试图通过IE漏洞入侵计算机的时候进行阻止。当瑞星卡卡成功在系统安装以后，“IE防漏墙”功能模块就会自动激活。该功能目前只支持IE浏览，除此以外包括Maxthon在内的浏览器都不支持。

　　网页木马拦截器

　　网页木马拦截器这款全新的安全工具，无论是网页木马还是捆绑文件，都可以进行快速而有效的拦截。由于网页木马拦截器是一款绿色程序，因此当我们运行它以后只要点击“开始拦截”按钮，就能够成功的启动程序的拦截功能，并且最小化隐藏到系统任务栏。该功能支持包括IE浏览器、Maxthon在内的所有使用IE浏览器内核的浏览器。

　　与网页木马现场过招

　　要测试这些网页木马拦截器是否真有用，就必须使用网页木马来进行测试才行。今天我们测试使用的网页木马，分别利用MS-06014漏洞、MS-06014变种、ANI漏洞、以及最新的PPStream溢出漏洞创建，可以说是涵盖了老、中、新三代网页木马的典型。

　　金山清理专家简单易用

　　当我们使用IE浏览器访问这些网页木马后，金山清理专家会在系统桌面的右下角弹出一个窗口，提示用户浏览器在后台下载了一个新文件，已经阻止了该程序的运行。

　　点击窗口中的“查看详情”按钮，可以了解更多的信息。当清理专家在面对这4个不同的网页木马的时候(其中包括一个MS-06014网页木马的变种)，都能成功的进行提示并拦截。由此证明金山清理专家的拦截能力还是非常突出的。但是金山清理专家有一个明显的缺陷，就是不能让用户自己对下载可疑文件进行选择运行或阻止的操作。

　　IE卫士功能简单但实用

　　当我们访问这些漏洞的网页木马后，很快IE卫士就弹出一个提示窗口，告知用户“浏览器试图创建进程，这是网页木马的典型行为，如果你感到意外，敬请拦截!”，同时会在程序路径选项中显示出可疑程序的路径。

　　我们只要点击“拦截(推荐)”按钮，就可以成功的阻止该网页木马的操作。如果可以肯定该文件的合法性，可以选择“将此程序添加到信任区，以后不在提示”选项，并且点击“允许按钮”即可。通过对这些网页木马的测试，发现IE卫士可以很好的拦截所有的网页木马。

　　瑞星卡卡防漏不足

　　当我们访问网页木马后，瑞星卡卡的“IE防漏墙”功能，也会弹出一个相应的提示窗口。提醒用户浏览器试图运行下面的程序，并且提示用户一些恶意程序的伪装方式。点击“阻止”按钮就可以阻止文件的运行，而点击“允许”即可就会执行该文件的运行。

　　对于普通生成的网页木马，IE防漏墙都可以成功的拦截。可是当我们浏览网页木马的变种时，该网页木马就成功的进行了运行，这说明IE防漏墙并没有防止住这个漏洞。

　　为何不能够发现变种的网页木马，我们对它进行了分析。直接运行木马程序mm.exe，瑞星卡卡会警告。但若运行command mm.exe就可以成功运行木马，但是瑞星卡卡却没有出现任何的警告信息。

　　从技术角度分析是因为瑞星卡卡拦截的是CreateProcess之类的函数，并且它会放过经过认证的程序(诸如command等)，通过事实证明这是相当危险的设置。而其他程序拦截的却是比它更底层的NTCreateProcess之类的函数，而且不会放过任何一个新进程的创建，木马要想绕过NTCreateProcess创建进程从目前来看是不大可能的。

　　网页木马拦截器操作要求较高

　　现在我们测试网页木马拦截器，当浏览器遇见网页木马的时候，程序将自动的弹出操作界面。这时我们就可以在“进程”标签中发现一个带问号的进程。