DLL木馬是依靠DLL文件來作惡的，木馬（mǎ）運行時不會在進程列表出現新的進程，而且很多DLL木馬還插入到係統關鍵進程（chéng）中（無法終止），即使能被殺毒（dú）軟件檢測出來（lái）也無法查殺，這給係統安全帶來極大的威（wēi）脅。如果你的手頭沒有趁手的殺馬兵器（qì），抄起（qǐ）辦公（gōng）的Excel我們也（yě）可以肉（ròu）搏一番。下（xià）麵就看看我們是如何用（yòng）Excel對付這種（zhǒng）插入lsass.exe進程的木馬吧！ 

第一步：查找被感染的（de）進程

近日開機上網一段時間後就覺得網速特別的（de）慢，於是便（biàn）運行"netstat -a -n -o"查看開放（fàng）的端口和連接，其中進程PID為（wéi）580發起的連接極為可疑：狀態為ESTABLISHED，表示兩台機器（qì）正在通信（見圖1）。通過任務管理器可以知道這（zhè）個進程為lsass.exe，根據進程（chéng）的解釋，lsass.exe是用於微軟Windows係統的安全機（jī）製，它用於本地安全和登陸策略，顯然這個進程是不需（xū）要開放端口和外部連接的，據此判斷該進程極可能插入DLL木馬。如果牧馬者當前沒有進行連接，還可以通過端口狀態判（pàn）斷是否中招，如TIME_WAIT的意（yì）思是結束（shù）了這次連接，說明端口曾經有過訪問，但訪問結束了，表明已經有黑客入侵過本機。 LISTENING表示處於偵聽狀態，等待（dài）連接，但還沒有被連接，不過隻（zhī）有TCP協議的服務端（duān）口才能處於LISTENING狀態。

小提示：判斷是否中招的前提是要找出（chū）被感染（rǎn）的進程，按被插入進（jìn）程的類別分，DLL木馬大致可以分（fèn）為： 

1.插入常用進程，如Notepad.exe、Iexplorer.exe（此類木（mù）馬的判斷很簡單，開機（jī）後不（bú）啟動（dòng）任何程序，打開任務管理器如果發現上述進程，那就可（kě）以判斷中招（zhāo）了）。

2.插入係（xì）統進程，如Explorer.exe、lsass.exe（由於每台電腦開機後都有上述的進程，具體可以通過查看端口和進程本身特性加以判斷，比如本機的lsass.exe、winlogon.exe、explorer.exe就不（bú）會開放端口連接）。

3.對於插入本身就開放端口進程如（rú）alg.exe、svchost.exe，需要通過連接（jiē）狀（zhuàng）況、連接IP、調用DLL綜合加以判斷。

第二步：追查（chá）木（mù）馬真凶

知道被插入DLL木馬的進程（chéng），我們就可以通過比（bǐ）較進程調用的DLL模塊來甑別。

1.到其（qí）它正常電腦上啟動命令提示符運行"tasklist /m /fo list >G：dll1.txt"，將當前（qián）進程加載所有DLL文（wén）件以列（liè）表形式輸出，然後打開dll.txt並複製lsass.exe加載的DLL文件列表（見圖2）。

2.打開Excel，將正（zhèng）常電腦和中（zhōng）招電腦lsass.exe加載的DLL文件複製到A、B列，由於Excel有序號，通過序號就可以輕（qīng）易發現兩個lsass.exe加載的DLL文件數量不同（64和68）。現在將B列字（zì）體設置為紅色，剪切（qiē）B列內容並粘貼到A列，單擊Excel的“數據/排序”，將數據重新排序後，木馬文件就在連續紅色但和上格不相同的DLL文件中，分別是mswsock.dll、PSAPI.DLL、 wshtcpip.dll、share.dll。

小（xiǎo）提示：

如果無法確定哪（nǎ）個進程被（bèi）插入木（mù）馬，可以先輸（shū）出所有DLL文件，然（rán）後在Excel中排序和正常狀態DLL文件比較（jiào），依次找出新增的DLL文件一一排查。

第三步：刪除木馬文（wén）件

從（cóng）上可（kě）以（yǐ）知道DLL木馬就在上述多出的4個文件中，現在通（tōng）過搜索功能找到（dào）這些文件（DLL文件大多在係統目錄，搜索範圍可限製在此），並（bìng）通過查看（kàn）屬性（xìng）最終找到真凶為c：windowssystem32share.dll.現在（zài）進（jìn）入安全模式將share.dll刪除，然後根據它的創建時間、大小找到木馬的同夥並刪除。一般（bān）微軟係統DLL文件都有版（bǎn）本標簽，而（ér）且文件日期大多是一樣（yàng）的，可以通過這些屬性判斷。

小提示：對於插入notepad、IE、explorer.exe等進程的dll木馬，可以將進程終止後直接刪除dll木馬。

第四步：做好備（bèi）份，防患於（yú）未然

相（xiàng）對來說（shuō），本例被插（chā）入木馬（mǎ）的係統進程比較容易（yì）判斷，但是對插入係統本身就開放端口的進程如svchost.exe，判斷起來就比較困難（nán）。因此我們平時要用Tasklist命（mìng）令做好常見係統進（jìn）程DLL文件備（bèi）份（fèn），這樣就可以在懷疑自己中招時，重啟並關閉任何無關程序，然後通過Excel排（pái）序快速找到木（mù）馬真凶！

注（zhù）意：係統有多個（gè）svchost.exe進（jìn）程，但是它們進程pid是不同的，需要分開（kāi）備份。