DLL木馬是依靠DLL文件來(lái)作惡的，木馬運(yùn)行時(shí)不會(huì)在進(jìn)程列表出現(xiàn)新的進(jìn)程，而且很多DLL木馬還插入到系統(tǒng)關(guān)鍵進(jìn)程中（無(wú)法終止），即使能被殺毒軟件檢測(cè)出來(lái)也無(wú)法查殺，這給系統(tǒng)安全帶來(lái)極大的威脅。如果你的手頭沒(méi)有趁手的殺馬兵器，抄起辦公的Excel我們也可以肉搏一番。下面就看看我們是如何用Excel對(duì)付這種插入lsass.exe進(jìn)程的木馬吧！ 

第一步：查找被感染的進(jìn)程

近日開機(jī)上網(wǎng)一段時(shí)間后就覺(jué)得網(wǎng)速特別的慢，于是便運(yùn)行"netstat -a -n -o"查看開放的端口和連接，其中進(jìn)程PID為580發(fā)起的連接極為可疑：狀態(tài)為ESTABLISHED，表示兩臺(tái)機(jī)器正在通信（見(jiàn)圖1）。通過(guò)任務(wù)管理器可以知道這個(gè)進(jìn)程為lsass.exe，根據(jù)進(jìn)程的解釋，lsass.exe是用于微軟Windows系統(tǒng)的安全機(jī)制，它用于本地安全和登陸策略，顯然這個(gè)進(jìn)程是不需要開放端口和外部連接的，據(jù)此判斷該進(jìn)程極可能插入DLL木馬。如果牧馬者當(dāng)前沒(méi)有進(jìn)行連接，還可以通過(guò)端口狀態(tài)判斷是否中招，如TIME_WAIT的意思是結(jié)束了這次連接，說(shuō)明端口曾經(jīng)有過(guò)訪問(wèn)，但訪問(wèn)結(jié)束了，表明已經(jīng)有黑客入侵過(guò)本機(jī)。 LISTENING表示處于偵聽狀態(tài)，等待連接，但還沒(méi)有被連接，不過(guò)只有TCP協(xié)議的服務(wù)端口才能處于LISTENING狀態(tài)。

小提示：判斷是否中招的前提是要找出被感染的進(jìn)程，按被插入進(jìn)程的類別分，DLL木馬大致可以分為： 

1.插入常用進(jìn)程，如Notepad.exe、Iexplorer.exe（此類木馬的判斷很簡(jiǎn)單，開機(jī)后不啟動(dòng)任何程序，打開任務(wù)管理器如果發(fā)現(xiàn)上述進(jìn)程，那就可以判斷中招了）。

2.插入系統(tǒng)進(jìn)程，如Explorer.exe、lsass.exe（由于每臺(tái)電腦開機(jī)后都有上述的進(jìn)程，具體可以通過(guò)查看端口和進(jìn)程本身特性加以判斷，比如本機(jī)的lsass.exe、winlogon.exe、explorer.exe就不會(huì)開放端口連接）。

3.對(duì)于插入本身就開放端口進(jìn)程如alg.exe、svchost.exe，需要通過(guò)連接狀況、連接IP、調(diào)用DLL綜合加以判斷。

第二步：追查木馬真兇

知道被插入DLL木馬的進(jìn)程，我們就可以通過(guò)比較進(jìn)程調(diào)用的DLL模塊來(lái)甑別。

1.到其它正常電腦上啟動(dòng)命令提示符運(yùn)行"tasklist /m /fo list >G：dll1.txt"，將當(dāng)前進(jìn)程加載所有DLL文件以列表形式輸出，然后打開dll.txt并復(fù)制lsass.exe加載的DLL文件列表（見(jiàn)圖2）。

2.打開Excel，將正常電腦和中招電腦lsass.exe加載的DLL文件復(fù)制到A、B列，由于Excel有序號(hào)，通過(guò)序號(hào)就可以輕易發(fā)現(xiàn)兩個(gè)lsass.exe加載的DLL文件數(shù)量不同（64和68）?，F(xiàn)在將B列字體設(shè)置為紅色，剪切B列內(nèi)容并粘貼到A列，單擊Excel的“數(shù)據(jù)/排序”，將數(shù)據(jù)重新排序后，木馬文件就在連續(xù)紅色但和上格不相同的DLL文件中，分別是mswsock.dll、PSAPI.DLL、 wshtcpip.dll、share.dll。

小提示：

如果無(wú)法確定哪個(gè)進(jìn)程被插入木馬，可以先輸出所有DLL文件，然后在Excel中排序和正常狀態(tài)DLL文件比較，依次找出新增的DLL文件一一排查。

第三步：刪除木馬文件

從上可以知道DLL木馬就在上述多出的4個(gè)文件中，現(xiàn)在通過(guò)搜索功能找到這些文件（DLL文件大多在系統(tǒng)目錄，搜索范圍可限制在此），并通過(guò)查看屬性最終找到真兇為c：windowssystem32share.dll.現(xiàn)在進(jìn)入安全模式將share.dll刪除，然后根據(jù)它的創(chuàng)建時(shí)間、大小找到木馬的同伙并刪除。一般微軟系統(tǒng)DLL文件都有版本標(biāo)簽，而且文件日期大多是一樣的，可以通過(guò)這些屬性判斷。

小提示：對(duì)于插入notepad、IE、explorer.exe等進(jìn)程的dll木馬，可以將進(jìn)程終止后直接刪除dll木馬。

第四步：做好備份，防患于未然

相對(duì)來(lái)說(shuō)，本例被插入木馬的系統(tǒng)進(jìn)程比較容易判斷，但是對(duì)插入系統(tǒng)本身就開放端口的進(jìn)程如svchost.exe，判斷起來(lái)就比較困難。因此我們平時(shí)要用Tasklist命令做好常見(jiàn)系統(tǒng)進(jìn)程DLL文件備份，這樣就可以在懷疑自己中招時(shí)，重啟并關(guān)閉任何無(wú)關(guān)程序，然后通過(guò)Excel排序快速找到木馬真兇！

注意：系統(tǒng)有多個(gè)svchost.exe進(jìn)程，但是它們進(jìn)程pid是不同的，需要分開備份。