跟蹤追擊，打贏木馬“圍殲戰(zhàn)”

劉景云

病毒通常以破壞系統(tǒng)、摧毀數(shù)據(jù)為“樂(lè)趣”，經(jīng)常以兇狠暴虐的形象出現(xiàn)。相比之下，木馬則顯得比較低調(diào)，通常以隱蔽狀態(tài)活動(dòng)。但是，木馬卻比病毒陰險(xiǎn)許多，木馬是黑客最大的幫兇，其主要目的不是大肆破壞系統(tǒng)，而是開(kāi)啟后門(mén)，讓黑客獲得目標(biāo)主機(jī)的控制大權(quán)，進(jìn)而執(zhí)行盜竊重要數(shù)據(jù)、傳播惡意程序、窺視隱私、非法獲取經(jīng)濟(jì)利益等罪惡勾當(dāng)。一般我們都是使用殺軟等安全軟件來(lái)對(duì)付木馬，不過(guò)這并非萬(wàn)全之策，對(duì)于黑客精心“調(diào)教”出來(lái)的免殺型木馬，常見(jiàn)的安全工具往往無(wú)法查殺。如何才能防范和查殺木馬，讓其不再在您的電腦中作惡呢？這里就從追蹤木馬活動(dòng)蹤跡、精準(zhǔn)定位和刪除木馬文件，防御木馬入侵等方面，全面介紹清除木馬的通用方法，讓您不懼木馬侵襲，打贏打好木馬殲滅戰(zhàn)！

兵法云，知己知彼，方可百戰(zhàn)不殆。要想清除木馬，首先必須發(fā)現(xiàn)其行蹤，然后才能采用各種手段，對(duì)其進(jìn)行圍捕絞殺。木馬要想發(fā)揮威力，必須采用開(kāi)啟后門(mén)端口、潛入啟動(dòng)項(xiàng)等方式，才可以順利激活成為黑客的幫兇。接下來(lái)，我們就從清查網(wǎng)絡(luò)連接、啟動(dòng)項(xiàng)人手，來(lái)尋覓木馬的蹤跡。

1.明辨端口，追尋木馬蹤跡

當(dāng)木馬侵入系統(tǒng)后，必須要做的事情之一就是非法開(kāi)啟秘密端口，為黑客遙控本機(jī)打開(kāi)了大門(mén)。從編程原理上說(shuō)，木馬一般都是通過(guò)調(diào)用Winsock庫(kù)中的Socket（）函數(shù)來(lái)建立套接字，從而實(shí)現(xiàn)網(wǎng)絡(luò)通訊的。因此，只要查看本機(jī)的端口信息，就能夠發(fā)現(xiàn)木馬的蹤跡。例如，我們一般都是在CMD窗口執(zhí)行“netstart-ano”命令，不僅可以查看端口使用情況，還可以在“PID”列中顯示使用該端口的進(jìn)程標(biāo)識(shí)符。在任務(wù)管理器打開(kāi)“進(jìn)程”面板，點(diǎn)擊菜單“查看”-“選擇列”項(xiàng)，在彈出窗口中選擇“PID”項(xiàng)，就可以在進(jìn)程列表中發(fā)現(xiàn)目標(biāo)進(jìn)程了。在CMD窗口中執(zhí)行“wmic”命令，如果初次使用，會(huì)顯示“正在安裝WMIC，請(qǐng)稍后”。在隨后的“wmic：root＼cli>”欄中輸入“Process”命令，就會(huì)顯示進(jìn)程和實(shí)際程序之間的關(guān)系列表。據(jù)此不難找到目標(biāo)程序具體位置。

如果確認(rèn)是木馬，就可以使用專用的刪除工具（例如Unlocker，IceSword，Syscheck等），將其直接清除掉。不過(guò)“netstat”命令對(duì)付基于TCP協(xié)議的端口很有效，但是應(yīng)對(duì)基于UDP協(xié)議的木馬就有些力不從心了，因此，還必須借助于專業(yè)的端口查看工具（例如TCPEye，Antiyports，F(xiàn)port等）幫忙才行。例如運(yùn)行TCPEye，在其主窗口（如圖1）中顯示當(dāng)前所有的網(wǎng)絡(luò)連接項(xiàng)目，包括相關(guān)進(jìn)程的名稱、本地地址和端口、遠(yuǎn)程地址和端口、連接狀態(tài)、協(xié)議類型、遠(yuǎn)程地址所屬國(guó)家、關(guān)聯(lián)的程序路徑、程序名稱、開(kāi)發(fā)者、文件描述信息、文件版本等信息。TCPEys可以動(dòng)態(tài)刷新網(wǎng)絡(luò)連接信息（默認(rèn)周期為1秒），在“State”列中以不同的顏色表示目標(biāo)網(wǎng)絡(luò)連接所處的狀態(tài)，例如綠色表示連接已經(jīng)建立、黃色表示正在發(fā)送數(shù)據(jù)、淺紅色表示正在等待連接、深紅色表示連接請(qǐng)求等。

在工具欄上按下倒數(shù)第二個(gè)按鈕，表示僅僅勇示打開(kāi)了監(jiān)聽(tīng)端口，還沒(méi)有建立實(shí)際連接的“空連接”項(xiàng)目。在工具欄上按下倒數(shù)第一個(gè)按鈕，可以打開(kāi)網(wǎng)址解析功能，在本地地址和遠(yuǎn)程地址中就會(huì)顯示對(duì)應(yīng)主機(jī)的名稱，用來(lái)替代實(shí)際的IP地址。如果您覺(jué)得連接列表看起來(lái)有些眼花繚亂的話，可以使用TCPEye提供的連接自動(dòng)檢測(cè)功能。在工具欄上按下第三個(gè)按鈕，TCPEye即可對(duì)網(wǎng)絡(luò)連接進(jìn)行實(shí)時(shí)監(jiān)控，當(dāng)發(fā)現(xiàn)新的網(wǎng)絡(luò)連接后，即可在屏幕右下角彈出提示面板，在其中顯示目標(biāo)連接的遠(yuǎn)程地址、端口、相關(guān)的進(jìn)程名和所屬國(guó)家等信息。如果在工具欄上按下第四個(gè)按鈕，可以激活聲音報(bào)警功能，當(dāng)出現(xiàn)新的網(wǎng)絡(luò)連接后，TCPEye就可以發(fā)出報(bào)警聲提醒您的注意。

對(duì)于來(lái)歷不明的網(wǎng)絡(luò)連接，可以在其右鍵菜單上點(diǎn)擊“Cechk Whit VirusTotal”項(xiàng)，TCPEye可以將相關(guān)程序上傳到在線病毒檢測(cè)網(wǎng)站上，進(jìn)行全面檢測(cè)分析，確定其是否存在危害性。對(duì)于確認(rèn)是非法的網(wǎng)絡(luò)連接，在其右鍵菜單上點(diǎn)擊“Close Connection”項(xiàng)（或者按下“Ctrl+K”鍵），即可關(guān)閉該網(wǎng)絡(luò)連接（前提是其處于該連接處于建立狀態(tài)）。在上述菜單中點(diǎn)擊“Properties”項(xiàng)，可以顯示相關(guān)進(jìn)程的詳細(xì)信息，點(diǎn)擊“End Process”項(xiàng)，可以直接中止相關(guān)進(jìn)程的運(yùn)行。當(dāng)然，為了防止木馬非法開(kāi)啟端口，最好的應(yīng)對(duì)策略是開(kāi)啟防火墻來(lái)保護(hù)系統(tǒng)。不管是系統(tǒng)自帶的防火墻，還是第三方的防火墻軟件，都可以有效抗擊木馬侵入。

2.嚴(yán)查啟動(dòng)項(xiàng)，讓木馬現(xiàn)出原形

對(duì)于一般“平庸”的木馬，使用上述方法可以輕松應(yīng)對(duì)。但是，如果木馬比較狡猾，采用了原始套接字通信技術(shù)，就大大增加了通過(guò)端口發(fā)現(xiàn)其行蹤的難度。從編程原理上分析，常用的網(wǎng)絡(luò)編程都是在應(yīng)用層的報(bào)文收發(fā)操作，大多數(shù)開(kāi)發(fā)者接觸到都是流式套接字（SOCK_STREAM）和數(shù)據(jù)包式套接字（SOCK_DCRAM），相應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)包都是由系統(tǒng)提供的協(xié)議棧實(shí)現(xiàn)，用戶只需要填充應(yīng)用層報(bào)文，由系統(tǒng)完成底層報(bào)文頭的填充并發(fā)送。然而，在某些情況下需要執(zhí)行更底層的操作，比如修改報(bào)文頭、避開(kāi)系統(tǒng)協(xié)議棧等，這就需要利用原始套接字（SOCK_RAW）來(lái)實(shí)現(xiàn)。和以上套接字不同，原始套接字由系統(tǒng)核心實(shí)現(xiàn)，可以處理ICMP、IGMP，特殊的IPv4報(bào)文，甚至可以利用原始套接字來(lái)自定義構(gòu)造IP頭，處理一些特殊協(xié)議報(bào)文等。不過(guò)，這并不要緊，木馬要想作惡，必須借助于自啟動(dòng)方式才可以進(jìn)入活動(dòng)狀態(tài)。就目前的木馬技術(shù)來(lái)說(shuō)，實(shí)現(xiàn)自啟動(dòng)無(wú)非有兩種常用方式：其一利用注冊(cè)表中的自啟動(dòng)項(xiàng)目，讓木馬跟隨系統(tǒng)自動(dòng)運(yùn)行；另外一種就是創(chuàng)建、替換系統(tǒng)服務(wù)的方式，讓木馬獲得優(yōu)先啟動(dòng)權(quán)。

3.擦亮眼睛，揪出木馬服務(wù)

我們先來(lái)談?wù)勅绾尾檎夷抉R服務(wù)，要想明晰服務(wù)自啟動(dòng)技術(shù)，必須了解Windows服務(wù)的結(jié)構(gòu)，Windows服務(wù)一般由服務(wù)控制管理器、服務(wù)控制程序、服務(wù)配置程序、服務(wù)程序等要素組成。例如“C：＼Windows＼system32”文件夾下的“Services.exe”就屬于服務(wù)管理控制程序，它在注冊(cè)表中存在一個(gè)存儲(chǔ)系統(tǒng)服務(wù)信息的數(shù)據(jù)庫(kù)。在注冊(cè)表編輯器中打開(kāi)“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services”分支，可以看到具體的信息。當(dāng)系統(tǒng)啟動(dòng)時(shí)，會(huì)根據(jù)注冊(cè)表中“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControISet＼Control”分支中存儲(chǔ)的服務(wù)啟動(dòng)配置信息，來(lái)啟動(dòng)所有啟動(dòng)類型為“自動(dòng)”的系統(tǒng)服務(wù)。我們熟知的“Services.msc”“net start”等程序?qū)儆诜?wù)控制程序，主要用來(lái)查看服務(wù)信息、調(diào)整啟動(dòng)類型、控制服務(wù)啟動(dòng)關(guān)閉等作用?！皊c.exe”程序?qū)儆诜?wù)配置程序，可以用來(lái)創(chuàng)建、刪除服務(wù)。服務(wù)程序就是和特定服務(wù)關(guān)聯(lián)的程序，大都屬于DLL庫(kù)文件。

4.查找木馬服務(wù)的常規(guī)思路

不管黑客如何千方百計(jì)的設(shè)計(jì)木馬程序，讓其藏身于系統(tǒng)服務(wù)來(lái)渾水摸魚(yú)，它們都離不開(kāi)一個(gè)關(guān)鍵條件—木馬服務(wù)的啟動(dòng)類型必須為自動(dòng)！根據(jù)這一線索，就大大縮小了定位木馬服務(wù)的范圍。例如，運(yùn)行“msconfig.exe”程序，在系統(tǒng)配置實(shí)用程序窗口中的“服務(wù)”面板中勾選“隱藏所有Microsoft服務(wù)”項(xiàng)，可以只顯示數(shù)量較少的第三方的服務(wù)信息，找到和“狀態(tài)”列中顯示為“正在運(yùn)行”對(duì)應(yīng)的服務(wù)，對(duì)其細(xì)致分析，可以很快找到木馬服務(wù)。之后在“服務(wù)”列中取消其選擇狀態(tài)，重新啟動(dòng)系統(tǒng)，就會(huì)讓其失去活力。根據(jù)木馬服務(wù)名稱，在CMD窗口中執(zhí)行“wmlc”命令，之后輸入“servlce”命令，在服務(wù)統(tǒng)計(jì)信息中的“Caption”列中找到木馬服務(wù)名稱，在“Pathname”列中可以定位其服務(wù)程序，然后將其刪除即可。

此外，還可以使用Comodo Cleaning Essentials（簡(jiǎn)稱CCE）的安全軟件，來(lái)偵測(cè)服務(wù)的真?zhèn)?。打開(kāi)得到的ZIP包，運(yùn)行其中的“Autoruns.exe”程序，在啟動(dòng)項(xiàng)分析窗口點(diǎn)擊菜單“View”→“Language”→“中文”項(xiàng)，之后重新啟動(dòng)該程序，即可得到中文界面。這個(gè)小工具可以對(duì)系統(tǒng)啟動(dòng)項(xiàng)進(jìn)行全面分析，在窗口左側(cè)的“分類”列表中分門(mén)別類列出所有的啟動(dòng)項(xiàng)目，包括資源管理器、IE、驅(qū)動(dòng)、映像劫持、Winlogon、網(wǎng)絡(luò)等十幾種類別?？梢哉f(shuō)，隱藏再深的啟動(dòng)項(xiàng)也會(huì)在此顯露出來(lái)。在窗口左側(cè)選擇“服務(wù)”項(xiàng)，在右側(cè)窗口中列出所有自動(dòng)運(yùn)行的服務(wù)項(xiàng)目（如圖2）。

木馬要想通過(guò)服務(wù)潛入系統(tǒng)，必須將對(duì)應(yīng)的服務(wù)設(shè)置為自動(dòng)運(yùn)行狀態(tài)。該工具可以快速分析系統(tǒng)服務(wù)的安全性，在服務(wù)列表中的“評(píng)價(jià)”列中如果顯示為“Safe”項(xiàng)，表示對(duì)應(yīng)的服務(wù)為正常服務(wù)。否則的話，表示該服務(wù)存在安全隱患。例如，在一個(gè)沒(méi)有標(biāo)注為“Safe”信息的系統(tǒng)服務(wù)的右鍵菜單上點(diǎn)擊“跳到”項(xiàng)，可以直接定位到注冊(cè)表關(guān)聯(lián)路徑。點(diǎn)擊“跳到目錄”項(xiàng)，可以定位到其主程序路徑中。點(diǎn)擊“在線搜索”項(xiàng)，可以深入研究其真實(shí)來(lái)歷。對(duì)于檢測(cè)出來(lái)的惡意服務(wù)項(xiàng)，在上述菜單中取消“啟動(dòng)”項(xiàng)選擇，禁止其自動(dòng)運(yùn)行，點(diǎn)擊“刪除”項(xiàng)可以將其刪除。

5.讓木馬“頂包”服務(wù)露出真面目

對(duì)于一些狡猾的木馬，為了避免暴露，會(huì)采用替換正常服務(wù)的方法，讓自身頂替正常服務(wù)，來(lái)實(shí)現(xiàn)冒名頂替的非法啟動(dòng)的目的。當(dāng)然，被木馬服務(wù)“頂包”的服務(wù)一般都是一些很不常用的服務(wù)，例如Alerter，ClipBook等服務(wù)。如何才能發(fā)現(xiàn)其行蹤呢？例如有的木馬會(huì)將自身替換為“ClipBook”服務(wù)，因?yàn)樵摲?wù)并不常用，因此木馬隱藏的很成功。運(yùn)行“msconfig.exe”程序，在“服務(wù)”面板中卻沒(méi)有發(fā)現(xiàn)可疑服務(wù)。但打開(kāi)系統(tǒng)服務(wù)管理器，經(jīng)過(guò)仔細(xì)查看，發(fā)現(xiàn)“ClipBook”服務(wù)處于啟動(dòng)狀態(tài)，實(shí)際上該服務(wù)應(yīng)處于禁用狀態(tài)。通過(guò)對(duì)其主程序“clipsrv.exe”的分析，發(fā)現(xiàn)系木馬偽裝而成。

借助于超級(jí)巡警工具箱這款免費(fèi)的安全軟件，可以讓那些“冒牌”服務(wù)現(xiàn)出原形。在超級(jí)巡警工具箱工具欄中點(diǎn)擊“服務(wù)管理”按鈕，會(huì)列出所有的系統(tǒng)服務(wù)。對(duì)于正常的系統(tǒng)服務(wù)，會(huì)以綠色加以標(biāo)識(shí)。對(duì)于非系統(tǒng)自帶的服務(wù)項(xiàng)目，會(huì)以棕色加以標(biāo)示。如果發(fā)現(xiàn)有黃色外觀的服務(wù)項(xiàng)目，就說(shuō)明該服務(wù)已經(jīng)被可疑程序替換了。例如以清除假冒的“FAX”服務(wù)為例，點(diǎn)擊“FAX”服務(wù)項(xiàng)，在彈出面板中顯示其名稱、狀態(tài)、類型、描述信息、開(kāi)發(fā)者、MD5值等詳細(xì)信息。點(diǎn)擊“文件路徑”鏈接，可以直接定位到其主文件上。先點(diǎn)擊“停止服務(wù)”按鈕，結(jié)束其運(yùn)行。

之后使用Unlocker等專用刪除工具，將病毒文件清除。之后在其它電腦復(fù)制了該服務(wù)的正常的主程序“clipsrv.exe”，將其存放到“C：＼WINDOWS＼system32”中。然后在該服務(wù)的右鍵菜單上點(diǎn)擊“編輯服務(wù)”項(xiàng)，在其屬性窗口（如圖3）的“執(zhí)行文件路徑中”欄中輸入“C：＼Windows＼system32＼fxssvc.exe”，在“啟動(dòng)類型”列表中選擇“Disabled”項(xiàng)，禁止其運(yùn)行，點(diǎn)擊確定按鈕，恢復(fù)了該服務(wù)的原來(lái)面貌。對(duì)于其它被替換的服務(wù)，按照同樣的方式進(jìn)行修復(fù)即可。此外，超級(jí)巡警工具箱也提供了服務(wù)檢測(cè)功能，在服務(wù)列表的“分析”列中以“安全”標(biāo)識(shí)正常的服務(wù)，對(duì)于標(biāo)識(shí)為“未知”的服務(wù)，可以在其右鍵菜單中點(diǎn)擊“使用百度搜索”項(xiàng)，來(lái)查驗(yàn)其真實(shí)身份。對(duì)于可疑服務(wù)，最好將其停止或者刪除。

6.值得注意的非常規(guī)啟動(dòng)位置

當(dāng)然，對(duì)于狡猾的木馬來(lái)說(shuō)，絕不會(huì)采用在諸如“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run”等“顯眼”的位置藏身，畢竟這樣做太容易暴露。例如對(duì)于采用進(jìn)程插入技術(shù)的DLL木馬來(lái)說(shuō)，注冊(cè)表中“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Windows”下的“AppInit_DLLs”鍵值是其很好的藏身地，該位置是很容易被大家忽視的可以用來(lái)啟動(dòng)木馬的位置。如果DLL木馬將對(duì)其進(jìn)行了修改，將自身添加進(jìn)來(lái)，那么不管任何進(jìn)程，只要其使用到了“User32.dll”動(dòng)態(tài)庫(kù)，都會(huì)被上述鍵值指向的DLL木馬所注入。因?yàn)椤癠ser32.dll”是系統(tǒng)自帶的很常用的動(dòng)態(tài)庫(kù)，主要用來(lái)提供和程序使用界面、消息控制等相關(guān)的功能，幾乎被大多數(shù)程序使用。當(dāng)然，只有極少數(shù)程序（諸如CMD控制臺(tái)）是不會(huì)使用該動(dòng)態(tài)庫(kù)的。此外，注冊(cè)表中的“HKEY_ CURRENT_USER＼Software＼ Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer＼Run”分支也應(yīng)引起我們的關(guān)注，這個(gè)組策略中的啟動(dòng)項(xiàng)目緊密相關(guān)的。為了避人耳目順利啟動(dòng)，木馬還常會(huì)在注冊(cè)表中的“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Winlogon”分支下的“userlnlt”和“shell”鍵值中添加惡意程序，悄無(wú)聲息的跟隨系統(tǒng)啟動(dòng)自動(dòng)激活。

對(duì)于國(guó)外的木馬來(lái)說(shuō)，通常會(huì)利用ActivcX技術(shù)來(lái)自啟動(dòng)。例如比較有名的Beast木馬，會(huì)在注冊(cè)表中的“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Active Setup＼lnstalled Components＼{4A202188F04D-IICF-64CD-31FFAFEECF20}”分支下的“StubPath”鍵值中設(shè)置木馬程序路徑，進(jìn)而實(shí)現(xiàn)自啟動(dòng)操作。有些狡猾的木馬會(huì)采用映像劫持技術(shù)綁架特定程序，當(dāng)用戶執(zhí)行該程序時(shí)，運(yùn)行的卻是木馬程序。如果采取將注冊(cè)表中的“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼lmage File Execution Options”分支徹底刪除的方法，來(lái)防御映像劫持的話，就顯得過(guò)于簡(jiǎn)單了，因?yàn)閺木幊探嵌瓤?，木馬程序通常會(huì)使用RegCreateKeyEx（）和RegSetValueEx（）等函數(shù)，來(lái)動(dòng)態(tài)地創(chuàng)建或者修改注冊(cè)表鍵值數(shù)據(jù)。因此，為了有效防御映像劫持，可以采取控制上述注冊(cè)表路徑權(quán)限的方法，取消“Administrators”組和“SYSTEM”賬戶對(duì)該分支的寫(xiě)權(quán)限，具體的方法比較簡(jiǎn)單，這里就不贅述了，這樣木馬就無(wú)法憑借映像劫持來(lái)啟動(dòng)了。

7.巧用記事本，對(duì)付進(jìn)程守護(hù)型木馬

例如有些木馬會(huì)采取雙進(jìn)程守護(hù)方式，當(dāng)您在任務(wù)管理器中關(guān)閉其中一個(gè)木馬進(jìn)程后，另外一個(gè)會(huì)自動(dòng)將其激活。其實(shí)，使用記事本這個(gè)小工具，就可以輕松對(duì)付雙進(jìn)程守護(hù)型木馬。假設(shè)某種病毒侵入本機(jī)，在系統(tǒng)中創(chuàng)建了名稱為“a.exe”和“b.exe”的守護(hù)型進(jìn)程，造成您無(wú)法直接清除該進(jìn)程組合的情況。在“開(kāi)始”→“運(yùn)行”中執(zhí)行“msinfo32.exe”程序，在系統(tǒng)信息窗口左側(cè)點(diǎn)擊“系統(tǒng)摘要”→“軟件環(huán)境”→“正在運(yùn)行任務(wù)”項(xiàng)，在右側(cè)窗口中顯示詳細(xì)的進(jìn)程信息，在其中得知“a.exe”進(jìn)程的主文件保存路徑為“c：＼windows＼system32”。接著打開(kāi)“c：＼windows＼system32”文件夾，將“notepad.exe”文件復(fù)制到D盤(pán)根目錄下，并將其改名為“a.exe”。接著打開(kāi)記事本程序，在其中輸入以下內(nèi)容：

@echo off

Taskkill/f/im a.exe

Delete c：＼windows＼system32＼a.exe

Copy d：＼a.exe c：＼windows＼system32

之后將其保存為“qingchu.bat”文件即可。該段程序的作用是先使用Taskkill命令結(jié)束“a.exe”病毒進(jìn)程，之后將其刪除，接著將D盤(pán)中由記辜本程序改名的“a.exe”來(lái)取代其位置。之后運(yùn)行qingchu.bat”程序，系統(tǒng)即可中止真實(shí)的“a.exe”進(jìn)程，同時(shí)將由記事本“冒充”的病毒程序復(fù)制到目標(biāo)路徑中，當(dāng)另一個(gè)病毒進(jìn)程“b.exe”發(fā)現(xiàn)對(duì)方被關(guān)停后，即可自動(dòng)將其激活，但是運(yùn)行的卻是記事本程序。接下來(lái)的工作就簡(jiǎn)單了，直接使用命令“Taskkill/f/im a.exe”，將再生的“a.exe”中止，根據(jù)系統(tǒng)提示信息，可以看到激活“a.exe”進(jìn)程的另一個(gè)進(jìn)程的PID號(hào)碼，在任務(wù)管理器中根據(jù)得到的PID號(hào)碼，就可以查詢到另一個(gè)與之關(guān)聯(lián)的病毒進(jìn)程，也就是“b.exe”進(jìn)程。之后在上述系統(tǒng)信息窗口中可以查到“b.exe”進(jìn)程的路徑信息，接下來(lái)在任務(wù)管理器中中止“b.exe”進(jìn)程，同時(shí)進(jìn)入對(duì)應(yīng)目錄，將其刪除即可。這樣就很輕松地?fù)羝屏瞬《镜倪M(jìn)程守護(hù)機(jī)制。

8.增強(qiáng)任務(wù)管理器，多個(gè)木馬進(jìn)程一鍵殺

有些木馬并非單兵作戰(zhàn)，一旦其運(yùn)行后會(huì)從網(wǎng)上下載更多的病毒、木馬或者黑客程序，打開(kāi)任務(wù)管理器，您就會(huì)發(fā)現(xiàn)其中擁擠著來(lái)歷不明的程序，甚至連殺軟也會(huì)被其強(qiáng)制關(guān)停。如果手工逐一關(guān)閉，實(shí)現(xiàn)起來(lái)非常困難。如何才能將惡意進(jìn)程一網(wǎng)打盡呢？使用TaskmgrPro這款任務(wù)管理器插件，就可以一鍵清除全部惡意進(jìn)程。

TaskmgrPro安裝后和任務(wù)管理器實(shí)現(xiàn)緊密集成，在任務(wù)管理器主窗口的“進(jìn)程”面板（如圖4）中按下Ctrl或者Shift鍵，點(diǎn)擊對(duì)應(yīng)進(jìn)程名稱，即可選中多個(gè)進(jìn)程。點(diǎn)擊“結(jié)束進(jìn)程”按鈕，在確認(rèn)對(duì)話框中點(diǎn)擊OK按鈕，即可將目標(biāo)進(jìn)程全部關(guān)閉。此外，使用進(jìn)程列表功能，可以更加靈活地控制進(jìn)程的批量操作。點(diǎn)擊“Execute List”按鈕，在彈出菜單中點(diǎn)擊“New Kill List”項(xiàng)，輸入新的列表名稱，即可創(chuàng)建所需的進(jìn)程列表項(xiàng)目。按照上述方法，您可以創(chuàng)建任意多個(gè)進(jìn)程列表項(xiàng)目。之后在“Current List”列表中顯示所有的列表項(xiàng)目，選擇目標(biāo)列表項(xiàng)目，在目標(biāo)進(jìn)程的右鍵菜單上點(diǎn)擊“Add to List”項(xiàng)，即可將該進(jìn)程添加到當(dāng)前的列表中。

按照同樣的方法，可以在當(dāng)前列表中添加多個(gè)進(jìn)程。之后點(diǎn)擊“Execute List”按鈕，在彈出菜單中點(diǎn)擊“Execute Kill List”項(xiàng)，可以將當(dāng)前列表中的所有進(jìn)程全部關(guān)閉。在上述菜單中點(diǎn)擊“Resurrect Process”項(xiàng)，可以重新啟動(dòng)當(dāng)前列表中的所有進(jìn)程。當(dāng)然，也可以使用TaskmgrPro自帶的列表項(xiàng)目，例如在“Cureent List”列表中選擇“Clean XP.xml”項(xiàng)，則可以自動(dòng)選擇Windows XP的所有核心進(jìn)程，之后點(diǎn)擊“Execute List”按鈕，在彈出菜單中點(diǎn)擊“Edit Kill List”項(xiàng)，在彈出窗口中確保選擇“Invert List”（反向選擇）項(xiàng)，之后點(diǎn)擊“Execute List”按鈕，在彈出菜單中點(diǎn)擊“Execute Kill List”項(xiàng)，即可關(guān)閉系統(tǒng)進(jìn)程之外的所有進(jìn)程。這樣，可以迅速凈化進(jìn)程環(huán)境，將各種雜亂的進(jìn)程全部關(guān)閉。