常在河邊走，哪能不濕鞋。經常在網絡上游走的人們，與病毒、木馬等惡意程序的“邂逅”，也是一件無奈的“榮耀”之事。對于這些不期而遇的木馬、病毒們，我們如何才能識破它們的陰謀詭計，將它們一網打盡呢？

　　利用殺毒工具雖然有時可以實現這一要求，但面對著這些經常“推陳出新”的惡意程序，主動防御式的殺毒工具們并不能把它們逐一“殲滅”。為此，我們不妨選擇一款“防守反擊”大師“Wsyscheck”，讓它引領我們將病毒、木馬清掃出門。相關精彩文章謹防"小木馬"和"游戲追擊手"兩變種小心郵件傳播病毒和游戲盜號木馬

　　一.辨清進程去“殺馬”

　　眾所周知，許多病毒、木馬都是以進程的形式“鑲嵌”在系統中，并且它們還會隱藏和偽裝自己。采用服務驅勸的方式，利用一種叫做Rootkit的技術，對自身的服務進行隱藏，使它們的破壞能力得以發揮。

　　不過，這一切在遇到“Wsyscheck”后，它們的“隱身衣”便會不幸升級為“皇帝的新裝”：無論是普通的木馬、病毒，還是采用Rootkit技術的高級惡意程序，都會在“Wsyscheck”面前原形畢露。

　　1.驗證正常進程

　　該工具為綠色工具，無需安裝即可使用。運行“Wsyscheck.exe”后開啟程序主界面。

　　在該主界面中，單擊“進程管理”選項卡，便會顯示出當前系統中所有處于運行狀態的進程（圖1）。

　　

　　在進程列表中，我們看到進程名稱上有三種不同的顏色顯示，那么這又代表什么呢？

　　黑色顯示的進程為正常的系統進程，它表現當前進程絕對安全，對于這部分進程， 我們無需關注；紅色顯示的進程表示為第三方程序進程，在這其中，既有健康無害的進程，也有可能存在木馬、病毒等有害進程。

　　通常，我們可以簡單地通過進程名稱來辨明木馬、病毒。一些木馬、病毒會起著與系統進程完全一樣或類似的名稱，比如SVCHOST.exe為正常的系統進程，而當某個進程為SVCH0ST.exe，即將數字“0”來替代英文字母“O”時，便要格外留意了。

　　除了上述方法外，還可通過進程列表中的映像路徑列表、文件廠商名稱來判斷。如某些病毒、木馬會主動將進程路徑選擇為系統所在目錄，讓用戶誤將它認為是正常的系統進程。

　　小提示：單擊進程列表的某個進程名稱，可以底部的模塊框內顯示出與之相關的模塊路徑。

　　　　2.明辨DLL文件

　　在進程列表中，我們還發現一種以紫色顯示的進程，它又是什么呢？其實它也是系統進程。只是與黑色顯示的進程相比，這種進程的身上還安插著一些“第三者”，也就是第三方程序所加載的DLL文件和驅動。

　　正因為這些系統進程可以讓第三方程序的DLL、驅動駐留，才使得它們成為木馬、病毒們的侵犯目標。既然進程中的DLL文件有可能是木馬程序，那么我們還是選擇來為其驗明正身吧！

　　步驟1 單擊進程列表中某個以紫色顯示的系統進程，如IEXPLORE.EXE，在下方的模塊窗口中會顯示出所有與之相關的DLL文件（圖2）。

　　

　　這些DLL文件共有兩種顏色顯示，分別是黑色和紅色。其中黑色是正常的系統DLL文件，而紅色則是加載第三方模塊的DLL文件，也就是紅色的DLL文件就很可能就是某個木馬的DLL文件。

　　步驟2 如果希望僅顯示紅色的DLL文件，那么只要依次選擇主菜單“文件→模塊簡潔顯示”命令即可。當再次選擇系統進程時，在模塊框內就會顯示出所有紅色的DLL文件（圖3）。

　　

　　在辨識這些DLL文件是否為木馬文件時，因為在模塊框有“模塊路徑”和“文件廠商”這兩個字段名稱，所以作為普通用戶同樣可以通過這兩個字段名稱去判斷。

　　步驟3 此外還能夠通過查看文件屬性這一途徑來實現。比如在IEXPLORE.EXE內駐留一個名為snagitbho.dll的動態鏈接庫文件。此時可以其上單擊鼠標右鍵，選擇右鍵菜單上的“文件屬性”命令，在彈出的對話框中單擊“版本”選項卡，即可查看到snagitbho.dll的“真實身份”，為判定是否為木馬留下寶貴的線索（圖4）。

　　

　　小提示：在判明木馬程序后，在其上單擊鼠標右鍵，選擇右鍵菜單上的“卸載模塊并刪除文件”命令，就能將木馬清除；對于一些啟動后仍能重新生成的木馬，可選擇快捷菜單上的“添加至DOS刪除列表”命令，這樣在系統重啟后會自動刪除木馬程序。

　　二.用服務控制木馬

　　木馬、病毒們除了可以利用進程這個通道外，有些木馬為了免遭殺毒軟件的查殺，經常將自己搖身一變，偽裝成系統服務讓其隨系統啟動自動運行，從而不知不覺地長久控制著用戶機器。因此對付此類性質的木馬，不妨利用“Wsyscheck”的“服務管理”功能。

　　步驟1 單擊主界面上的“服務管理”選項卡，即可在開啟的頁面中看到有黑色、紅色、紫色三種顏色標識的服務名稱（圖5）。

　　

　　其中顯示黑色的服務為正常的系統服務，我們無需過問。不過若對某些服務有所懷疑，可在選擇該服務后單擊鼠標右鍵，選擇快捷菜單上的“檢驗微軟文件的簽名”來驗證；顯示紫色、紅色的服務都表示是帶有來自第三方的服務，此時仍然可以通過右鍵菜單上的“文件屬性”來判斷是否為木馬服務。

　　步驟2 若確信為木馬服務，那么可將其選中后，選擇右鍵菜單上的“停止服務”或“禁用”命令，將其中止或禁用。

　　步驟3 然后選擇“刪除選中的服務”命令，這樣就能夠刪除該服務在注冊表中的鍵值，令其無法啟動；當然，如果選擇“刪除選中的服務與文件”命令，還能夠徹底刪除木馬服務及對應的文件，令其再無作惡的可能。

　　小提示：針對重啟后仍能“復活”的服務程序，選擇“添加到DOS刪除列表”即可將其根治。

　　三.通過端口覓得木馬

　　目前，許多木馬都會通過監聽電腦上一些特別端口的方法，將有用的信息告訴給控制方，以便控制方從中獲悉自己所需的內容。根據這個特點，我們只需查探自己的電腦是否有異常的端口活動，就能夠確定是否有木馬存在。

　　由于木馬大都會選擇一些特殊端口進行監聽活動，比如3210，3333，6267等，假如我們發現這些特殊端口已經被使用，那么很可能你的電腦已經被木馬所侵占了。

　　在“Wsyscheck”中查看活動端口的方法很簡單。只要單擊“安全檢查”選項卡，在下方展開的選項頁面中選擇“端口狀態”，就能夠查看到當前系統的正在通訊的本地端口和遠程端口號（圖6）。

　　

　　如果在這些端口號中恰好存在著所熟知的木馬特殊端口，那么十之八九你的系統已經被木馬“套牢”。因此在查看了對應的程序名稱和進程“PID”號后，再轉至“Wsyscheck”的“進程管理”頁面，找到與“PID”相對應的進程，再按上述方法對木馬進行的“解套”操作即可。

　　小提示：PID即進程ID號，也就是系統進程的唯一編號，通過這個編號可以查找到與之對應的進程名稱。

　　除了上述查找木馬、病毒的方法外，利用“Wsyscheck”還可以查看注冊表鍵值的改動情況、對注冊表及文件進行管理、檢測IE安全、檢查和修復被第三方DLL破壞的Winsock等操作。因篇幅所限，故在此不再多做敘述，對此感興趣的朋友不妨一試。