同病毒相比，木馬（尤其是DLL木馬）則陰險(xiǎn)的多，木馬的活動(dòng)并不張揚(yáng)，而是悄無(wú)聲息的潛入系統(tǒng)，并開啟后門為黑客打開入侵通道，讓其可以輕松對(duì)本機(jī)進(jìn)行各種遙控操作，執(zhí)行注入盜竊數(shù)據(jù)，攔截信息等勾當(dāng)。一旦您的機(jī)密沒(méi)信息被盜，那么就會(huì)帶來(lái)很大的損失。雖然使用殺軟可以攔截木馬，但是殺軟并非萬(wàn)能，對(duì)于免殺型木馬來(lái)說(shuō)，突破殺軟防線并非難事?？磥?lái)，僅僅依靠殺軟還是不夠的，這就要求我們能夠發(fā)現(xiàn)并及時(shí)清除深層木馬。

這里就以對(duì)付DLL木馬為例，來(lái)說(shuō)明發(fā)現(xiàn)和清除之道。這類木馬將自身的關(guān)鍵代碼封裝在DLL動(dòng)態(tài)庫(kù)中，然后由主控程序?qū)⒛抉RDLL文件非法插入到系統(tǒng)的核心進(jìn)程中，同時(shí)主動(dòng)連接遠(yuǎn)程控制端電腦，讓防火墻形同虛設(shè)。木馬的最大特點(diǎn)就是開啟后門，要開啟后門就必然打開特定的端口。在CMD窗口中運(yùn)行“netstat -ano”命令，可以查看網(wǎng)絡(luò)連接信息。

不過(guò)，在很多情況下，面對(duì)一大串的連接信息，會(huì)讓人感到眼暈。其實(shí)，借助簡(jiǎn)單的命令，就可以讓可疑連接迅速浮出水面。在系統(tǒng)運(yùn)行正常時(shí)，執(zhí)行“netstat –ano >c:\test\netone.txt”命令，將所有的網(wǎng)絡(luò)連接信息導(dǎo)出到“netone.txt”文件中。當(dāng)懷疑有木馬活動(dòng)時(shí)，執(zhí)行“netstat –an >c:\test\nettwo.txt”命令，獲得所需的監(jiān)控文件。之后執(zhí)行“fc netone.txt nettwo.txt”命令，對(duì)兩者的內(nèi)容進(jìn)行比較，就可以大大縮小查找的范圍。這些信息包括就能看到當(dāng)前系統(tǒng)中所有網(wǎng)絡(luò)連接信息，包括源地址和端口號(hào)、目標(biāo)地址和端口號(hào)、連接狀態(tài)、進(jìn)程的PID號(hào)等內(nèi)容，據(jù)此可以很容易的發(fā)現(xiàn)可疑的網(wǎng)絡(luò)連接

例如，在本例中可以清晰的看到一個(gè)可疑的TCP連接信息，在本地端口打開了9100端口，和遠(yuǎn)程地址xxx.xxx.140.109的3060端口建立了網(wǎng)絡(luò)連接，建立該連接的是PID為1736的進(jìn)程。根據(jù)查到的進(jìn)程PID號(hào)，打開Windows任務(wù)管理器，切換到“進(jìn)程”面板，點(diǎn)擊菜單“查看”→“選擇列”，在列名稱選擇窗口中勾選“PID”，確認(rèn)后在“進(jìn)程”面板中就能查看到所有進(jìn)程的PID號(hào)了，很快就找到了PID為1736的進(jìn)程名，原來(lái)是系統(tǒng)進(jìn)程“Svchost.exe”，而該進(jìn)程默認(rèn)是不會(huì)開啟可疑端口的，肯定是木馬程序?qū)⒆陨碜⑷氲皆撓到y(tǒng)進(jìn)程中，并利用反彈連接主動(dòng)和遠(yuǎn)程控制端建立聯(lián)系，達(dá)到非法控制本機(jī)的目的。

到底是什么可疑程序隱藏到了“Svchost.exe”進(jìn)程中了呢？在CMD窗口中運(yùn)行命令“Tasklist /m”，Windows 會(huì)逐一列出每一個(gè)進(jìn)程的名稱，PID號(hào)，以及其中包含的所有模塊信息。根據(jù)名稱為1736的PID號(hào)，找到“Svchost.exe”進(jìn)程，將“Svchost.exe”進(jìn)程中包含的模塊信息復(fù)制粘貼到記事本中，將多余的空格和逗號(hào)刪除，按一行一個(gè)文件名的順序排列。然后將其保存，假設(shè)文件名為“Svchost.txt”。

為了找出隱藏在其中的可疑模塊，可以到其它正常的電腦中提取對(duì)應(yīng)的的模塊信息（最好在Windows XP剛剛安裝之后，就保存所有系統(tǒng)進(jìn)程包含的模塊信息），將提取的模塊信息經(jīng)過(guò)同樣處理后保存，假設(shè)文件名為“Svchost0.txt”。在Cmd窗口中運(yùn)行命令“fc Svchost.txt Svchost0.txt”，很快就縮小了查找的范圍，最終將可疑點(diǎn)集中到了“winsrv32.dll”文件上。同時(shí)在Windows的任務(wù)管理器中發(fā)現(xiàn)“kndriver.exe”和“service.exe”兩個(gè)可疑程序，當(dāng)試圖中止上述兩個(gè)可疑進(jìn)程時(shí)，發(fā)現(xiàn)其具相互守護(hù)功能，無(wú)法手工關(guān)閉。看來(lái)，這兩個(gè)可疑進(jìn)程很有可能是木馬的幫兇。

打開文件夾選項(xiàng)窗口，確認(rèn)選擇顯示所有的文件和文件夾項(xiàng)。利用Windows XP的查找功能，確定上述可疑文件都位于位于“c:\windows\system32\media”文件夾中，當(dāng)試圖刪除該文件時(shí)，系統(tǒng)提示該文件正在使用無(wú)法刪除。同時(shí)運(yùn)行“Msconfig.exe”程序，發(fā)現(xiàn)在注冊(cè)表啟動(dòng)項(xiàng)中存在和可疑程序“kndriver.exe”相關(guān)的啟動(dòng)項(xiàng)。木馬既然可以自動(dòng)運(yùn)行，而且可以將木馬DLL模塊插入到系統(tǒng)進(jìn)程中，一定是通過(guò)與之關(guān)聯(lián)的啟動(dòng)項(xiàng)目實(shí)現(xiàn)的。但是運(yùn)行“msconfig.exe”程序，在系統(tǒng)配置實(shí)用程序窗口中打開“啟動(dòng)”面板，在其中沒(méi)有發(fā)現(xiàn)可疑項(xiàng)目。在“服務(wù)”面板中勾選“隱藏所有Microsoft服務(wù)”項(xiàng)，在第三方服務(wù)列表中仔細(xì)查看，同樣沒(méi)有發(fā)現(xiàn)可疑的服務(wù)項(xiàng)目。看來(lái)，該DLL木馬很有可能是通過(guò)驅(qū)動(dòng)文件的形式加載的。果然，運(yùn)行“msinfo32.exe”程序，在系統(tǒng)信息窗口左側(cè)點(diǎn)擊“簽署的驅(qū)動(dòng)程序”項(xiàng)，在右側(cè)窗口中顯示所有的第三方驅(qū)動(dòng)程序信息，因?yàn)橐话愕能浖遣粫?huì)隨意在系統(tǒng)中安裝驅(qū)動(dòng)的。

在運(yùn)行正常的主機(jī)上打開上述系統(tǒng)信息窗口。列出驅(qū)動(dòng)文件信息。兩者對(duì)比，很快就發(fā)現(xiàn)了名為“netadapter”的驅(qū)動(dòng)程序極為可疑，應(yīng)該是該驅(qū)動(dòng)文件從系統(tǒng)底層執(zhí)行加載操作，將木馬DLL模塊插入到系統(tǒng)進(jìn)程中。在注冊(cè)表編輯器中打開“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”路徑，在其中果然找到了名為“netadapter”的驅(qū)動(dòng)項(xiàng)目，在右側(cè)的“ImagePath”攔發(fā)現(xiàn)了該驅(qū)動(dòng)文件的存儲(chǔ)路徑，位于“C:\Windows\System32\drivers”路徑中，其名稱為“netnupio.sys”。

確定了木馬藏身地后，可以進(jìn)入安全模式，將上述“kndriver.exe”，“service.exe”，“netnupio.sys”，“winsrv32.dll”等可疑文件全部刪除。也可以使用WinPE優(yōu)盤引導(dǎo)系統(tǒng)進(jìn)入WinPE環(huán)境，執(zhí)行手工清除操作。例如，先將可疑文件“winsrv32.dll”刪除，接著依次其余的可疑文件即可。然后重新進(jìn)入電腦，連接上網(wǎng)后重新檢查網(wǎng)絡(luò)連接信息，發(fā)現(xiàn)上述可疑網(wǎng)絡(luò)連接已經(jīng)消失了。運(yùn)行“msconfig.exe”程序，將和木馬相關(guān)的啟動(dòng)項(xiàng)刪除。進(jìn)入注冊(cè)表編輯器，打開“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”路徑，將木馬創(chuàng)建的“netadapter”驅(qū)動(dòng)項(xiàng)目刪除，這樣就徹底清除了該DLL木馬。