查找与清除线程插入式木马

面对木马病毒的威胁，首先要了解它们常见的自动运行机制。许多人会首先想到通过木马的启动项来寻找线索。确实，注册表启动项是木马常常藏身的地方。在“开始/运行”中输入“regedit.exe”打开注册表编辑器，展开相关路径，查看以"Run"开头的项，留意是否有新增的和可疑的键值。系统服务、开始菜单启动组、系统INI文件Wini和Systemi等也是木马可能潜伏的地方。特别是对于一些新出现的木马，它们会将自己嵌入系统进程SPOOLSV.EXE中，然后删除自身的病毒文件和注册表启动项，以躲避反病毒软件的检测。

为了更有效地查找木马，我们可以采取以下操作步骤：

1. 通过自动运行机制查木马：

除了上述提到的注册表启动项、系统服务、开始菜单启动组等，还要特别注意一些新的隐藏地方，如通过进程隐藏技术嵌入系统进程的方式。这需要我们对系统的进程列表进行备份，以便随时对比查找可疑进程。

2. 通过文件对比查木马：

清除木马需要我们对系统的各个角落进行仔细的检查和对比。除了上述提到的方法，还需要我们时刻保持警惕，及时更新反病毒软件，避免访问可疑网站，以减少感染木马的风险。也希望大家能够养成良好的使用习惯，不轻易点击不明链接，不随意下载未知软件，以保护自己的计算机安全。如何有效防范和检测DLL木马入侵？以下是详细步骤与策略：

一开机即进行备份操作，防止其他程序加载进程影响数据完整性。通过输入特定命令，我们可以查看应用程序及相关任务、进程的列表。具体操作如下：在“运行”中输入“cmd”，然后键入“tasklist /svc >X:\processlist.txt”，即可显示所有任务/进程的列表并保存至指定路径。输入“tasklist /？”可查看更多命令参数。

对于没有独立进程的DLL木马，我们可以从系统DLL文件下手。系统DLL文件保存在system32文件夹内，我们可以对此目录下的DLL文件名等信息进行列表备份。例如，通过命令行进入system32目录，然后执行“dir .dll>X:\listdll.txt”，所有DLL文件名将被记录到listdll.txt文件中。日后如怀疑有木马侵入，可再次备份文件列表，并利用文本编辑工具如“UltraEdit”进行对比，或利用命令行工具“fc”比较两个文件列表，轻松发现发生更改和新增的DLL文件，进而判断是否为木马文件。

频繁安装软件可能导致system32目录中的文件发生变化，为此我们可以采用对照已加载模块的方法来缩小查找范围。在“开始/运行”中输入“msinfo32.exe”打开“系统信息”，展开“软件环境/加载的模块”，选择“文件/导出”进行备份。需要时再次备份对比即可。

所有木马，包括DLL木马，在进行连接和数据收发时都会打开端口。我们可以使用stat命令查看开启的端口。输入“stat -an”显示所有连接和侦听端口的信息，包括连接使用的协议、本地计算机的IP地址和端口号、连接该端口的远程计算机的IP地址和端口号以及TCP连接的状态。Windows XP的stat命令带有-O参数，可以显示端口与进程的对应关系。通过分析打开的端口，我们可以缩小范围到具体进程，然后使用进程分析软件如《WINDOWS优化大师》目录下的WinProcess.exe来查找嵌入的木马程序。

有些木马会通过端口劫持或端口重用来通信，通常选择139、80等常用端口，因此分析时要多加注意。还可以利用网络嗅探软件（如Commview）来了解打开的端口传输的数据内容，进一步检测并防范木马的入侵。

通过这些方法，我们可以更有效地防范和检测DLL木马的入侵，保护系统的安全稳定运行。