拦门四斧 砍清系统中各类型木马

核心提示： 在这里我们借助的是IceSword工具，运行该程序后会自动检测系统正在运行的进程，拦门四斧 砍清系统中各类型木马(2)，右击可疑的进程，在弹出的菜单中选择“模块信息”，三、彻底的Rootkit检测谁都不可能每时每刻对系统中的端口、注册表、文件、服务进行挨个的检查，看

在这里我们借助的是IceSword工具，运行该程序后会自动检测系统正在运行的进程，右击可疑的进程，在弹出的菜单中选择“模块信息”，在弹出的窗口中即可查看所有DLL模块，这时如果发现有来历不明的项目就可以将其选中，然后单击“卸载”按钮将其从进程中删除。对于一些比较顽固的进程，我们还将其中，单击“强行解除”按钮，然后再通过“模块文件名”栏中的地址，直接到其文件夹中将其删除。

2.查找可疑DLL模块

由于一般用户对DLL文件的调用情况并不熟悉，因此很难判断出哪个DLL模块是不是可疑的。这样ECQ-PS（超级进程王）即可派上用场。

运行软件后即可在中间的列表中可以看到当前系统中的所有进程，双击其中的某个进程后，可以在下面窗口的“全部模块”标签中，即可显示详细的信息，包括模块名称、版本和厂商，以及创建的时间等。其中的厂商和创建时间信息比较重要，如果是一个系统关键进程如“svchost.exe”，结果调用的却是一个不知名的厂商的模块，那该模块必定是有问题的。另外如果厂商虽然是微软的，但创建时间却与其它的DLL模块时间不同，那么也可能是DLL木马。

另外我们也可以直接切换到“可疑模块”选项，软件会自动扫描模块中的可疑文件，并在列表中显示出来。双击扫描结果列表中的可疑DLL模块，可看到调用此模块的进程。一般每一个DLL文件都有多个进程会调用，如果调用此DLL文件的仅仅是此一个进程，也可能是DLL木马。点击“强进删除”按钮，即可将DLL木马从进程中删除掉。

三、彻底的Rootkit检测

谁都不可能每时每刻对系统中的端口、注册表、文件、服务进行挨个的检查，看是否隐藏木马。这时候我可以使用一些特殊的工具进行检测。