四、我們可以利用嗅探器來了解打開的端口到底在傳輸些什么數(shù)據(jù)。通過將網(wǎng)卡設(shè)為混雜模式就可以接受所有的IP報文，嗅探程序可以從中選擇值得關(guān)注的部分進(jìn)行分析，剩下的無非是按照RFC文檔對協(xié)議進(jìn)行解碼。這樣就可以確定木馬使用的端口。

五、通常說道查殺木馬我們會習(xí)慣性地到注冊表碰碰運(yùn)氣，以前可能還蠻有效的，但如果碰到注冊為系統(tǒng)服務(wù)的木馬(原理：在NT/2K/XP這些系統(tǒng)中，系統(tǒng)啟動時會加載指定的服務(wù)程序)這時候檢查：啟動組/注冊表/autoexec.bat/win.ini/sysytem.ini/wininit.ini/*.inf(例如autorun.inf)/config.sys等文件就發(fā)現(xiàn)不了絲毫的異樣，這時候我們就應(yīng)該查看一下系統(tǒng)服務(wù)了：右擊我的電腦–管理–服務(wù)和應(yīng)用程序–服務(wù)，這時您會看到100多個服務(wù)，，當(dāng)然如果您以前曾經(jīng)用導(dǎo)出列表功能對服務(wù)備份過，則用文件比較的方法會很容易發(fā)現(xiàn)哪些是外來客，這時您可以記錄下服務(wù)加載的是那個文件，然后用ResourceKits里提供的srvinstw.exe來移除該服務(wù)并清除被加載的文件。

通過以上五步，基本能發(fā)現(xiàn)并清除狡猾的動態(tài)嵌入式DLL木馬了，也許您也發(fā)現(xiàn)如果適當(dāng)?shù)刈鲆恍﹤浞荩瑫�對我們的查找木馬的過程有很大的幫助，當(dāng)然也會減輕不少工作的壓力。