Web木馬防護工具選擇標準如下：

對Zip壓縮包的掃描能力

在Web木馬傳播中，ZIP壓縮包是木馬比較喜歡藏匿的地方。當用戶通過Web郵件客戶端下載一個ZIP附件并打開時，有可能木馬已經在用戶不知覺的情況下在本地運行。并伺機取感染其他用戶。為此筆者認為，在選擇Web木馬防護工具的時候，首先需要去確認一下，這個防護工具對于Zip壓縮包的掃描能力。

通常情況下，大部分Web木馬防護工具已經具有了這個ZIP壓縮包掃描工具，但是其只能夠掃描單層的Zip壓縮包。其實用戶可能都有過這方面的經驗。當選中ZIP壓縮包，按右鍵進行解壓后，發現解押出來的文件還是一個壓縮包。然后再對這個壓縮包進行解壓，得到的仍然是一個壓縮包。如此循環幾次后，最后得到的才是文件的本身。這就涉及到多層ZIP壓縮文件。當接受到這個文件的時候，需要特別當心。因為這很可能就是Web木馬的伎倆。

因為現在很多Web防木馬工具，只具有單層ZIP壓縮包掃描工具。當對以上這種情況，具有兩層或者兩層以上的壓縮時，就對隱藏在其中的木馬無能為力了。不少木馬就是利用防護工具的這個缺陷，故意將一個文件進行多次打包，以躲過防護工具的監測。

為此在選擇木馬防護工具時，要選擇那些可以掃描ZIP壓縮包，特別是能夠支持多層掃描的防護工具，效果會比較好。

防護工具是否能夠進行內存掃描

當用戶打開某個網頁，如果對方網頁有木馬，首先這個木馬會進入到用戶主機的內存中。然后在內存中尋找可以利用的進程(如操作系統某個進程的缺陷等等)。這是一種比較傳統的，也是危害性比較大的木馬侵入手段。

這也就要求木馬防護工具還必須具有內存掃描的能力。通過內存掃描來發現插入其他進程地址空間運行的最新木馬。另外需要注意的是，從內存中查殺木馬是一項比較危險的工作。因為其如果誤殺了其他系統可用的進程(即使這個進程真的被木馬感染了)，此時就會導致主機或者所使用的系統死機。

這也就要求我們在選擇防木馬工具的時候，要兼顧其穩定性。特別是在涉及到內存中的木馬自動查殺的時候，如果有可能導致用戶系統死機的關鍵進程，在清除之前最好能夠像用戶發出提醒。當用戶保存了相關數據之后再

需要能夠分析未知的病毒

道高一尺，魔高一丈。通常情況下，木馬總是比防護工具先走一步。也就是說，木馬出來后(一段時間后)，相應的防護工具才能夠識別并進行查殺。這就是說當木馬被發現之后，相當一部分數量的用戶其實已經中了木馬。這無疑會給用戶帶來很大的損失。

為此在選擇木馬工具的時候，最好還要確認一下，這款防木馬工具對未知病毒的發現能力。如筆者推薦一款Antiy的木馬防護工具。這是一個相對來說比較專業級別的Web木馬檢測和系統安全工具。這款工具最重要的特點就是不僅能夠查殺已知的木馬，而且還能夠發現部分未知的木馬。這主要是因為這款工具有一個智能分析系統。

智能分析系統能夠根據某些進程的特征與運行情況，來判斷這個進程是否是木馬或者被木馬所感染。然后會提醒用戶。不過由于其的不確定性，一般系統不會進行自動查殺，而只是提醒用戶需要注意這個進程。當用戶認為這個進程木馬的可能性比較大時，出于安全的考慮，可以將這個進程查殺掉。這就可以最大程度避免木馬對用戶造成不必要的損害。對于一些安全級別高的應用，如網上銀行等等，在選擇木馬防護工具時，就需要特別注意這一點。

木馬很狡猾，所以選擇合適的Web木馬防護工具是很重要的環節，希望大家多多學習這方面的知識。下一篇：淺析如何選擇Web木馬防護工具 下篇

【編輯推薦】

1. 淺析Web安全
2. Web安全產品分析
3. Web攻擊的十大原因
4. Web應用安全日趨嚴重我們該拿什么拯救
5. Web2.0時代 需要防范黑客的5種新型在線攻擊