做自己的救世主－－系统安全保卫战

其实最迅速的查找方法是运行“系统配置实用程序”（MSCONFIG.EXE），切换到“启动项”，如果在这里发现了“系统关键程序”的信息，那它一定是假的。

3.服务欺骗型后门的战役

Windows的任务管理器不可终止两种程序的运行：一种是关键进程，另一种是通过服务管理器SCM启动的系统服务程序（NT-Service），所以一部分后门制造者设法把后门做成服务形式，让SCM直接帮助启动服务进程，不再借用注册表启动项加载，这样即使是对注册表启动项有一定了解的用户也难以发现异常，而且就算他想终止任务管理器里显示的奇怪进程，也会被拒绝，如果用户对服务管理器的了解不深，那他将会在眼花缭乱的服务面前变得束手无策。

这时候，我们又需要请“系统配置实用程序”出山了，切换到“服务”选项卡，把“隐藏所有Microsoft服务”，这里就只显示非微软开发的普通服务程序列表了，包括服务欺骗型后门的服务项，一般它会包含欺骗性质的字符或者伪装成某厂商的服务名，如“Rising Virus Monitor”（瑞星监控）、“Macromedia License”等，记住这里显示的列表名称，接着运行“服务管理器”（Services.msc）找到对应的项目，看看属性里的文件和路径是不是真的，如果你并没有安装KAV、MCAFEE这些杀毒软件而SCM里却找到对应项目的话，它就是狡猾的后门没错了。一些间谍软件还会自作主张的把自己命名为“Windows Print Controller”，简直就是无视系统自身的“Print Spooler”服务。

找到这类后门后，不要急着终止它的运行，既然后门作者知道SCM能直接停止它们，就必然会做一些复活措施，所以我们必须先把后门服务的“启动类型”设置为“禁止”，然后重启一次确保后门程序无法跟随系统启动，这时候才能开始清理后门。其中文件的路径信息SCM已经提供给我们了，直接在磁盘上找到删除即可，但是服务项目不能直接用SCM删除，要删除这个残留的服务项，首先要对系统服务有个最初的概念。