详细分析Windows XP的操作系统进程(4)

  一旦目标机器激活了配置好的程序，“Devil4.exe”将立即插入至指定进程中。我们可使用“fport v2.0”这款系统工具查看所有开放的TCP和UDP端口，并显示相应的应用程序（支持WinNT4/2000/XP）。运行“命令提示符”后，进入fport程序的存储路径，运行它。

    大家注意查看其中的“Explorer.exe”进程，看到其TCP协议开放端口为适才笔者所定制9000端口，此时表明病毒进程插入成功。“Devil4.exe”后门本身具有删除程序，运行“DelDevil4.exe”程序后，就可清除驻留系统中的后门。

    小提示：如果大家要封杀可疑端口，可以使用Active Ports及DBPort之类的第三方端口工具。这两款软件均是图形化界面，操作方法非常类似。不仅可自动刷新进程，还能够立即关闭指定端口。对于线程插入类木马的查杀，并非一件轻而易举的事，由于在配置插入进程时使用者可随意指定，因此，大家一定要安装杀毒软件并定期升级病毒库。

    如果要手动查杀，则需要用户具有相当的知识水平与一定的经验积累。在此给大家推荐一款比较优秀的软件——进程间谍。利用它，可以查看窗口和子窗口句柄、ID、标题，以及父进程ID线程个数路径等，还可获知指定父进程的下属模块……我们要着重利用该程序的可查看DLL模块的功能，试图找出可疑的插入进程。

    软件名称：进程间谍

    软件版本：V1.0.2.1

    软件语言：简体中文

    软件类型：共享软件

    应用平台：Win9X/Me/2000/XP/2003

    运行《进程间谍》程序后，查看“进程树”标签页，点击“刷新进程”按钮，而后选择左侧列表的进程，当选定一个进程后，程序开始处理相关信息。我们切换到当前右侧视图中的“模块”标签页（图7），在此显示了很多该进程中插入的DLL线程，包括“模块名”（需要着重查看）、“基地地址”、“大小”及“进入口”。大家从中即可仔细排查可疑线程，例如广外女生的DLL插入线程是“%system32gwboydll.dll”。