四、我們可以利用嗅探器來(lái)了解打開(kāi)的端口到底在傳輸些什么數(shù)據(jù)。通過(guò)將網(wǎng)卡設(shè)為混雜模式就可以接受所有的IP報(bào)文，嗅探程序可以從中選擇值得關(guān)注的部分進(jìn)行分析，剩下的無(wú)非是按照RFC文檔對(duì)協(xié)議進(jìn)行解碼。這樣就可以確定木馬使用的端口。

五、通常說(shuō)道查殺木馬我們會(huì)習(xí)慣性地到注冊(cè)表碰碰運(yùn)氣，以前可能還蠻有效的，但如果碰到注冊(cè)為系統(tǒng)服務(wù)的木馬(原理：在NT/2K/XP這些系統(tǒng)中，系統(tǒng)啟動(dòng)時(shí)會(huì)加載指定的服務(wù)程序)這時(shí)候檢查：?jiǎn)��?dòng)組/注冊(cè)表/autoexec.bat/win.ini/sysytem.ini/wininit.ini/*.inf(例如autorun.inf)/config.sys等文件就發(fā)現(xiàn)不了絲毫的異樣，這時(shí)候我們就應(yīng)該查看一下系統(tǒng)服務(wù)了：右擊我的電腦–管理–服務(wù)和應(yīng)用程序–服務(wù)，這時(shí)您會(huì)看到100多個(gè)服務(wù)，，當(dāng)然如果您以前曾經(jīng)用導(dǎo)出列表功能對(duì)服務(wù)備份過(guò)，則用文件比較的方法會(huì)很容易發(fā)現(xiàn)哪些是外來(lái)客，這時(shí)您可以記錄下服務(wù)加載的是那個(gè)文件，然后用ResourceKits里提供的srvinstw.exe來(lái)移除該服務(wù)并清除被加載的文件。

通過(guò)以上五步，基本能發(fā)現(xiàn)并清除狡猾的動(dòng)態(tài)嵌入式DLL木馬了，也許您也發(fā)現(xiàn)如果適當(dāng)?shù)刈鲆恍﹤浞�，�?huì)對(duì)我們的查找木馬的過(guò)程有很大的幫助，當(dāng)然也會(huì)減輕不少工作的壓力。