当我们使用IE浏览器访问这些网页木马后，金山清理专家会在系统桌面的右下角弹出一个窗口，提示用户浏览器在后台下载了一个新文件，已经阻止了该程序的运行(图5)。

　　点击窗口中的“查看详情”按钮，可以了解更多的信息。当清理专家在面对这4个不同的网页木马的时候(其中包括一个MS-06014网页木马的变种)，都能成功的进行提示并拦截。由此证明金山清理专家的拦截能力还是非常突出的。但是金山清理专家有一个明显的缺陷，就是不能让用户自己对下载可疑文件进行选择运行或阻止的操作。

　　IE卫士功能简单但实用

　　当我们访问这些漏洞的网页木马后，很快IE卫士就弹出一个提示窗口(图6)，告知用户“浏览器试图创建进程，这是网页木马的典型行为，如果你感到意外，敬请拦截!”，同时会在程序路径选项中显示出可疑程序的路径。

　　我们只要点击“拦截(推荐)”按钮，就可以成功的阻止该网页木马的操作。如果可以肯定该文件的合法性，可以选择“将此程序添加到信任区，以后不在提示”选项，并且点击“允许按钮”即可。通过对这些网页木马的测试，发现IE卫士可以很好的拦截所有的网页木马。

　　瑞星卡卡防漏不足

　　当我们访问网页木马后，瑞星卡卡的“IE防漏墙”功能，也会弹出一个相应的提示窗口。提醒用户浏览器试图运行下面的程序，并且提示用户一些恶意程序的伪装方式。点击“阻止”按钮就可以阻止文件的运行，而点击“允许”即可就会执行该文件的运行(图7)。

　　对于普通生成的网页木马，IE防漏墙都可以成功的拦截。可是当我们浏览网页木马的变种时，该网页木马就成功的进行了运行，这说明IE防漏墙并没有防止住这个漏洞。

　　为何不能够发现变种的网页木马，我们对它进行了分析。直接运行木马程序mm.exe，瑞星卡卡会警告。但若运行command mm.exe就可以成功运行木马，但是瑞星卡卡却没有出现任何的警告信息。

　　从技术角度分析是因为瑞星卡卡拦截的是CreateProcess之类的函数，并且它会放过经过认证的程序(诸如command等)，通过事实证明这是相当危险的设置。而其他程序拦截的却是比它更底层的NTCreateProcess之类的函数，而且不会放过任何一个新进程的创建，木马要想绕过NTCreateProcess创建进程从目前来看是不大可能的。

　　网页木马拦截器操作要求较高

　　现在我们测试网页木马拦截器，当浏览器遇见网页木马的时候，程序将自动的弹出操作界面。这时我们就可以在“进程”标签中发现一个带问号的进程(图8)。

　　从状态栏目里面可以看出该进程“正在启动”，说明在正在启动的时候就被拦截了，这时用户可以根据自己的经验来判断该进程的合法性。

　　当用户判断出进程的合法性以后，就可以通过右键菜单中的命令来操作。如果这个进程是安全的话，那么点击“信任进程”按钮就表示允许程序执行，反之点击“结束进程”按钮就表示禁止该进程的运行。

　　如果不想以后对同一个进程再进行判断的话，那么可以通过右键菜单将其添加到白名单或黑名单中。如果被添加到黑名单中，那么以后该进程运行的时候，将被程序自动的进行拦截并记录。

　　总结

　　现在各种各样的网页木马层出不穷，因此一款性能良好的网页木马拦截工具可以极大地提高系统的安全系数。同时，因为它们自身的不需要病毒库，可以防范未知网页木马等特性，以后必将成为系统安全防范体系中的重要一员。

　　经过我们的测试，我们认为除了瑞星卡卡不能够防范已有变种网页木马外，其他的3款软件都能够有效地防范网页木马。其中金山清理专家、IE卫士、瑞星卡卡，都是将保护插件插入到浏览器进程中，因此在运行浏览器的时候就会自动加载进行保护，这对普通用户是相当有帮助的，而网页木马拦截器需要用户专门运行才可以进行保护，在方便程度上要略逊一筹。

　　在兼容性方面，用户只使用IE浏览器的话，选择清理专家和IE卫士都非常的不错。如果使用其他浏览器的话，那么网页木马拦截器和IE则是当仁不让的选择。