动态嵌入式DLL木马发现与清除方法(3)

　　我们可以使用foundstone的进程端口查看工具Fport.exe来查看与端口对应的进程,这样可以将范围缩小到具体的进程,然后结合Procedump来查找DLL木马就比较容易了.当然有如上文提到的有些木马会通过端口劫持或者端口重用的方法来进行通信,139、80、1443、等常见端口则是木马的最爱。因为即使即使用户使用端口扫描软件检查自己的端口，发现的也是类似TCP UserIP:1026　ControllerIP:80ESTABLISHED 的情况，稍微疏忽一点，您就会以为是自己在浏览网页(防火墙也会这么认为的)。所以光看端口还不够，我们要对端口通信进行监控，这就是第四点要说的。

　　四、我们可以利用嗅探器来了解打开的端口到底在传输些什么数据。通过将网卡设为混杂模式就可以接受所有的IP报文，嗅探程序可以从中选择值得关注的部分进行分析，剩下的无非是按照RFC文档对协议进行解码。这样就可以确定木马使用的端口，结合Fport和Procedump我们就能够查找到该DLL木马了。至于嗅探器个人推荐使用IRIS，图形界面比较容易上手。

　　五、通常说道查杀木马我们会习惯性地到注册表碰碰运气，以前可能还蛮有效的，但如果碰到注册为系统服务的木马(原理:在NT/2K/XP这些系统中，系统启动时会加载指定的服务程序)这时候检查:启动组/注册表/autoexec.bat/win.ini/sysytem.ini/wininit.ini/*.inf(例如autorun.inf)/config.sys等文件就发现不了丝毫的异样，这时候我们就应该查看一下系统服务了:右击我的电脑--管理--服务和应用程序--服务，这时您会看到100多个服务，(MS也真是的，其中75%对个人用户无用，可以禁止。)，慢慢找吧，看谁不顺眼就把它拎出来:)，当然如果您以前曾经用导出列表功能对服务备份过，则用文件比较的方法会很容易发现哪些是外来客，这时您可以记录下服务加载的是那个文件，然后用Resource Kits里提供的srvinstw.exe来移除该服务并清除被加载的文件。

　　通过以上五步，基本能发现并清除狡猾的动态嵌入式DLL木马了,也许您也发现如果适当地做一些备份，会对我们的查找木马的过程有很大的帮助，当然也会减轻不少工作的压力哦。