使用以上介绍的方法，虽然可以发现木马的行踪，不过操作起来比较复杂，分析大量的监控数据会让人感到很吃力。如果能够化繁为简，让木马的活动一步步地显露在您的面前，让您可以毫不费力地洞察其一举一动，同时还可以居高临下轻松快捷地将木马彻底删除，那无疑可以让您在与木马的较量中占尽先机。当然，要想实现上述想法，离不开有力的工具。有了Online Armor这款独特的安全工具，您就可以穿上铠甲与木马进行斗争，将其一举击破全身而退了。

为了安全起见，还是将木马程序和Online Armor放置到虚拟中运行。首先安装运行Online Armor时，该软件会检测并下载最新的版本，同时利用自身集成了最新版的卡巴斯基反病毒引擎，对系统进行全面安全检测。检测完毕弹出报告窗口，将发现的可疑之处都显示出来。如果没有发现可疑情况，会要求重新启动系统。当重启系统后，在之后的两分钟之内，Online Armor自动处于学习模式（Learning Mode），该模式通过对系统启动时的状态进行监控，分析在此过程中相关程序的活动情况，并为之建立各种安全规则。因为在虚拟机中运行，可以保证在此期间系统环境是干净和安全的。

当经过预设的时间后，Online Armor自动取消了学习模式，转而进入标准模式（Standard Mode），在该模式下，Online Armor执行的是严格的保护措施。不管启动任何程序，都会遭到Online Armor的拦截，在弹出的提示窗口顶部显示该程序或者模块的行为模式（例如启动、抓取屏幕、拦截键盘、加载模块、启动其它程序、添加到启动项、非法进程注入、关机等），并显示其具体的名称、路径、版本号、开发者、描述信息等内容，在“What does this mean”栏中显示Online Armor对该程序或者模块的行为分析信息，在“What should I do”栏中显示Online Armor对您的建议信息，帮助您确定是否需要拦截该程序或者模块。勾选“Trust this program”项，表示将该程序添加到信任列表中，对其活动放行。

如果您判断该程序或者模块值得信任，点击“Allow”按钮允许其继续运行。否则的话点击“Block”按钮，对其进行拦截处理。

注意：Online Armor会根据威胁级别，使用不同颜色“装扮”警告窗口。例如，对一般的威胁，会使用黄色窗体，对于危险级别会使用红色窗口，威胁的级别越高，窗口的颜色越深。

Online Armor的一个显著的特点是拥有跟踪拦截能力，可以对程序的所有活动信息进行逐步跟踪判断，并分别弹出拦截界面，让您可以随时对其任何可疑行为进行拦截，严格约束其活动，最大限度保护系统安全。

了解了Online Armor的功能和特点后，就可以让其和木马过招了。在Online Armor监控下，启动木马程序“runsetup.exe”，当该木马潜入系统激活后，会立即遭到Online Armor的拦截，在警告窗口中会显示其路径信息，根据Online Armor给出的分析信息，您可以判断其是否合法。这里我们点击“Allow”按钮诱其深入，追踪其下一步动作。果然，Online Armor接着弹出红色的拦截窗口，提示该程序试图创建名称为“zufrppay.dll”可执行文件，目标路径为“C:Windowssystem32”。一般情况下，需要立即点击“Block”按钮阻止该行为。为了进一步观察跟踪效果，我们点击“Allow”按钮放行。接下来Online Armor再次弹出拦截窗口，提示“zufrppay.dll”试图将自身添加到启动项中。实际上，该文件是木马创建的，用来伪装成系统服务获得自动运行权的核心程序之一（如图3所示）。

点 击“Allow”按 钮 放行。Online Armor紧接着弹出的拦截窗体，显示该程序试图创建名称为“zufrppay.sys”的驱动程序，其路径为“C:Windowssystem32drivers”。这是Pcshare释放的另外一个核心程序，用来伪装成驱动文件非法运行。继续对其放行，Online Armor 继续弹出拦截窗口，提示名称为“zufrppay.dll”的程序试图添加到启动项中，看来该木马不仅将恶意程序伪装成系统服务，而其还将其伪装成驱动程序，使两者都可以自动运行，达到深入入侵的目的。继续放行Online Armor拦截操作，在之后的拦截窗口中可以看到“zufrppay.sys”试图立即启动，执行开启后门，发送连接信息隐蔽动作。继续放行后该木马才得以顺利激活，完成整个入侵操作。

图3 木马试图将恶意DLL程序添加到启动项中

图4 查看木马活动的记录信息

在整个监控过程中，可以看到木马的所有活动全部处于Online Armor的掌控之中，通过跟踪该木马的行踪，Online Armor频频弹出拦截窗口，并结合该木马每一个入侵动作，分别予以曝光和拦截。据此，不仅该木马所有的隐蔽动作全部暴露在您的面前，而且您只需连续地点击“Block”按钮，就可以切断其入侵通道，废除其破坏威力，让其根本没有机会染指系统。

实 际 上，Online Armor已经将该木马全部的活动信息完整记录下来了，在Online Armor管理界面左侧点击“History”项，通过查阅日志列表，可以很轻松地找到该木马的记录信息（如图4所示）。可以清晰地看到，该木马释放恶意程序，并将其添加到启动项等行为。选择对应的记录项目，在窗口底部显示更加详细的信息，包括木马安装程序、创建的恶意程序名称、保存路径等内容。

利用Online Armor提供的程序信息消除功能，可以毫不费力地将木马“清洗”掉。在窗口左侧点击“Programs”项，在程序规则窗口中选择该木马程序，在其右键菜单中点击“Delete”项，在弹出窗口中点击确定按钮，Online Armor就可以将该木马安装程序、其创建的所有恶意文件，以及其在对其它系统文件、注册表等非法修改信息干净彻底地清除掉。