木马日新月异，注意伪进程病毒

　　木马伪装技术的发展可谓日新月异，由进程隐藏到进程插入，使得在查杀方面越来越难以应付了。一般具有进程插入功能的木马会把自身注入其它应用程序的地址空间，而这个应用程序对于系统来说，是一个绝对安全的程序。

　　即使我们查找出了DLL插入进程，如果它是嵌入在系统基本进程中的，如“svchost.exe”等进程，我们是无法结束其运行的。

　　遇到此类可使用“fport v2.0”这款系统工具查看所有开放的TCP和UDP端口，并显示相应的应用程序（支持WinNT4/2000/XP）。运行“命令提示符”后，进入fport程序的存储路径，运行它。

　　要封杀可疑端口，可以使用Active Ports及DBPort之类的第三方端口工具。这两款软件均是图形化界面，操作方法非常类似。不仅可自动刷新进程，还能够立即关闭指定端口。对于线程插入类木马的查杀，并非一件轻而易举的事，由于在配置插入进程时使用者可随意指定，因此，大家一定要安装杀毒软件并定期升级病毒库。

　　如果要手动查杀，则需要用户具有相当的知识水平与一定的经验积累。推荐一款比较优秀的软件：进程间谍。利用它，可以查看窗口和子窗口句柄、ID、标题，以及父进程ID线程个数路径等，还可获知指定父进程的下属模块……我们要着重利用该程序的可查看DLL模块的功能，试图找出可疑的插入进程。

　　进程间谍

　　运行《进程间谍》程序后，查看“进程树”标签页，点击“刷新进程”按钮，而后选择左侧列表的进程，当选定一个进程后，程序开始处理相关信息。我们切换到当前右侧视图中的“模块”标签页，在此显示了很多该进程中插入的DLL线程，包括“模块名”（需要着重查看）、“基地地址”、“大小”及“进入口”。大家从中即可仔细排查可疑线程，例如广外女生的DLL插入线程是“%system32gwboydll.dll”。

　　注意子进程

　　一个应用程序运行后，还可能调用其它的进程来执行操作，这一组进程就形成了一个进程树（进程树可能是多级的，并非只有一个层次的子进程）。该应用程序称之为父进程，其所调用的对象称之为子进程。

　　运行“Process Viewer”程序后，在其主界面中将实时显示当前运行的进程。大家点击菜单栏上的“View→Process Tree”，在弹出对话框中即可以进程树的模式查看相关进程

　　封杀不可见窗口的进程

　　对于某些在后台运行的木马服务器，我们从屏幕上当然是看不见的，但如果能够获取隐藏的不可见窗口，就有可能查看到木马的踪影。

　　《系统查看大师》主程序即可看到，在其左侧视图中点击“取不可见窗口”按钮。此后，在其右侧的进程列表中就将显示出所有当前运行的未在屏幕上直观显示出的窗口标题，选定其中的可疑窗口后，点击右下端的“结束此窗口”按钮即可。