(1)對照備份的常用進程
大家平時可以先備份一份進程列表 ， 以便隨時進行對比查找可疑進程 。方法如下：開機后在進行其他操作之前即開始備份 ， 這樣可以防止其他程序加載進程 。在運行中輸入“cmd” ， 然后輸入“tasklist /svc >X:processlist.txt”(提示：不包括引號 ， 參數(shù)前要留空格 ， 后面為文件保存路徑)回車 。這個命令可以顯示應(yīng)用程序和本地或遠程系統(tǒng)上運行的相關(guān)任務(wù)/進程的列表 。輸入“tasklist /?”可以顯示該命令的其它參數(shù) 。
(2)對照備份的系統(tǒng)DLL文件列表
對于沒有獨立進程的DLL木馬怎么辦嗎?既然木馬打的是DLL文件的主意 ， 我們可以從這些文件下手 ， 一般系統(tǒng)DLL文件都保存在system32文件夾下 ， 我們可以對該目錄下的DLL文件名等信息作一個列表 ， 打開命令行窗口 ， 利用CD命令進入system32目錄 ， 然后輸入“dir *.dll>X:listdll.txt”敲回車 ， 這樣所有的DLL文件名都被記錄到listdll.txt文件中 。日后如果懷疑有木馬侵入 ， 可以再利用上面的方法備份一份文件列表“l(fā)istdll2.txt” ， 然后利用“UltraEdit”等文本編輯工具進行對比；或者在命令行窗口進入文件保存目錄 ， 輸入“fc listdll.txt listdll2.txt” ， 這樣就可以輕松發(fā)現(xiàn)那些發(fā)生更改和新增的DLL文件 ， 進而判斷是否為木馬文件 。
(3)對照已加載模塊
頻繁安裝軟件會使system32目錄中的文件發(fā)生較大變化 ， 這時可以利用對照已加載模塊的方法來縮小查找范圍 。在“開始/運行”中輸入“msinfo32.exe”打開 “系統(tǒng)信息” ， 展開“軟件環(huán)境/加載的模塊” ， 然后選擇“文件/導(dǎo)出”把它備份成文本文件 ， 需要時再備份一個進行對比即可 。
(4)查看可疑端口
所有的木馬只要進行連接 ， 接收/發(fā)送數(shù)據(jù)則必然會打開端口 ， DLL木馬也不例外 ， 這里我們使用netstat命令查看開啟的端口 。我們在命令行窗口中輸入“netstat -an”顯示出顯示所有的連接和偵聽端口 。Proto是指連接使用的協(xié)議名稱 ， Local Address是本地計算機的IP地址和連接正在使用的端口號 ， Foreign Address是連接該端口的遠程計算機的IP地址和端口號 ， State則是表明TCP連接的狀態(tài) 。Windows XP所帶的netstat命令比以前的版本多了一個-O參數(shù) ， 使用這個參數(shù)就可以把端口與進程對應(yīng)起來 。輸入“netstat /?”可以顯示該命令的其它參數(shù) 。接著我們可以通過分析所打開的端口 ， 將范圍縮小到具體的進程上 ， 然后使用進程分析軟件 ， 例如卡卡助手和瑞星個人防火墻 。

推薦閱讀

• 

  勞動者辭職補償金的標準是什么
• 

  PCTG杯子安全嗎
• 

  孫臏電影結(jié)局
• 

  edius怎么打馬賽克
• 

  戀人之森天梯玩法詳解 天梯闖關(guān)規(guī)則介紹
• 

  科目三補考費怎么交?
• 

  向日葵代表什么意思，向日葵代表什么意思花語是什么？
• 

  哪里可以學(xué)做蛋糕
• 

  淘寶買煙搜什么
• 

  自古忠臣出孝子出自何書
• 

  貓膿皮癥是怎么回事
• 

  苦葉菜如何做，苦葉菜做干有什么辦法？
• 

  藍顏知己和紅顏知己的區(qū)別
• 

  鄂州|中企承建的沙特保障性住房項目一期工程再次交付300套住宅
• 

  分享萬彩動畫大師更換場景的相關(guān)操作講述 萬彩動畫大師手機版app下載
• 

  南京南瑞信息通信科技有限公司,南瑞信通

• vivoz1中設(shè)置省電模式的具體操作
• 插上耳機顯示耳機模式?jīng)]聲音
• 將微信中聊天記錄導(dǎo)出txt格式具體操作步驟
• 臨時牌多久拿正式
• 木馬寄存方式收集
• 等腰三角形面積公式 等腰三角形定義
• 清除猖狂的Sxs.exe病毒
• 蘋果手機一直是耳機模式怎么辦
• 和果子是什么東西
• 三角形的周長公式是什么 三角形的周長公式