4.5　查询系统中的木马

当计算机出现以下几种情况时，最好查询一下系统是否中了木马。

（1）突然自己打开并进入某个陌生网站。

（2）计算机在正常运行的过程中突然弹出一个警告框，提示用户从未遇到的问题。

（3）Windows的系统配置自动被更改，如屏幕的分辨率、时间和日期、声音大小、鼠标灵敏度、CD-ROM的自动运行配置等。

（4）硬盘长时间地读盘，软驱灯长亮不灭，网络连接及鼠标屏幕出现异常现象。

（5）系统运行缓慢，计算机被自动关闭或者重启，甚至出现死机现象。

下面介绍几种常见的查询系统中的木马方式。

4.5.1　通过启动文件检测木马

一旦计算机中了木马，则在开机时一般都会自动加载木马文件，由于木马的隐蔽性比较强，在启动后大部分木马都会更改其原来的文件名。如果用户对计算机的启动文件非常熟悉，则可以从Windows操作系统自动加载文件中分析木马的存在并清除木马，这种方式是最有效、最直接的检测木马方式。但是，由于木马自动加载的方法和存放的位置比较多，对于初学者来说，处理起来比较有难度。

4.5.2　通过进程检测木马

由于木马也是一个应用程序，一旦运行，就会在计算机系统的内存中驻留进程。因此，用户可以通过系统自带的“任务管理器”来检测系统中是否存在木马进程，具体的操作步骤如下。

Step 01　在Windows操作系统中，按Ctrl+ Alt+Delete组合键，打开“任务管理器”窗口。

Step 02　选择“进程”选项卡，选中某个进程并右击，从弹出的快捷菜单中选择相应的菜单项，即可对进程进行相应的管理操作。

另外，用户还可以利用进程管理软件来检查系统进程并发现木马。常用的工具软件是“Windows进程管理器”，该软件可以更全面地对进程进行管理。其最大的特点是包含了几乎全部的Windows系统进程和大量的常用软件进程及不少的病毒和木马进程。

使用Windows进程管理器查询系统中木马的具体操作步骤如下。

Step 01　下载并解压缩“Windows进程管理器”软件后，可看到其中包含的4个文件。

Step 02　双击“补丁”文件夹，打开“补丁”文件夹，在其中可以看到Windows进程管理器的补丁程序和补丁说明文件。

Step 03　双击补丁应用程序，打开“Windows进程管理器补丁程序”对话框，在其中显示了补丁介绍及详细信息。

Step 04　单击“应用补丁”按钮，即可应用补丁程序，并弹出“提示”对话框，提示用户补丁应用成功。

Step 05　单击“确定”按钮，关闭“提示”对话框。然后双击Windows进程管理器启动程序，打开“Windows进程管理器”窗口。其中显示了系统当前正在运行的所有进程，与“任务管理器”窗口中的进程列表是完全相同的。

Step 06　在列表中选择一个进程选项后，单击“描述”按钮，即可看到该进程的详细信息。

Step 07　单击“模块”按钮，即可查看该进程的进程模块。

Step 08　在进程列表中右击某个进程，在其中可以进行结束/暂停进程、查看属性、删除文件等操作。

4.5.3　通过网络连接检测木马

木马的运行通常是通过网络连接实现的，因此，用户可以通过分析网络连接来推测木马是否存在，最简单的办法是利用Windows自带的Netstat命令，具体的操作步骤如下。

Step 01　右击“开始”按钮，在弹出的快捷菜单中选择“运行”选项。

Step 02　在弹出的对话框中，在“打开”文本框中输入cmd命令。

Step 03　单击“确定”按钮，打开“命令提示符”窗口。

Step 04　在“命令提示符”窗口中输入“netstat –a”，按Enter键，其运行结果如下图所示。