如何查看木马程序建立的会话

‘壹’ 怎样能看到运行的木马程序

木马偷走的是密码而已,打开电脑任务管理器 点进程就可以看见了

‘贰’ 如何查看木马

用贝壳木马查杀试试吧！

‘叁’ 木马的检测

木马的检测、清除与防范
来源：CNCERT/CC广东分中心编写

木马程序不同于病毒程序，通常并不象病毒程序那样感染文件。木马一般是以寻找后门、
窃取密码和重要文件为主，还可以对电脑进行跟踪监视、控制、查看、修改资料等操作，具有很强的隐蔽性、
突发性和攻击性。由于木马具有很强的隐蔽性，用户往往是在自己的密码被盗、
机密文件丢失的情况下才知道自己中了木马。在这里将介绍如何检测自己的机子是否中了木马，
如何对木马进行清除和防范。

木马检测

1、查看开放端口

当前最为常见的木马通常是基于TCP/UDP协议进行Client端与Server端之间的通讯的，
这样我们就可以通过查看在本机上开放的端口，看是否有可疑的程序打开了某个可疑的端口。
例如冰河使用的监听端口是7626，Back Orifice 2000使用的监听端口是54320等。
假如查看到有可疑的程序在利用可疑端口进行连接，则很有可能就是中了木马。
查看端口的方法有几种：

(1)使用Windows本身自带的netstat命令

C:\>netstat -an
Active Connections

Proto Local Address Foreign Address State
TCP 0.0.0.0:113 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1033 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1230 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1232 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1239 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1740 0.0.0.0:0 LISTENING
TCP 127.0.0.1:5092 0.0.0.0: LISTENING
TCP 127.0.0.1:5092 127.0.0.1:1748 TIME_WAI
TCP 127.0.0.1:6092 0.0.0.0:0 LISTENING
UDP 0.0.0.0:69 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1703 *:*
UDP 0.0.0.0:1704 *:*
UDP 0.0.0.0:4000 *:*
UDP 0.0.0.0:6000 *:*
UDP 0.0.0.0:6001 *:*
UDP 127.0.0.1:1034 *:*
UDP 127.0.0.1:1321 *:*
UDP 127.0.0.1:1551 *:*

(2)使用windows2000下的命令行工具fport

E:\software>Fport.exe
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid Process Port Proto Path
420 svchost -> 135 TCP E:\WINNT\system32\svchost.exe
8 System -> 139 TCP
8 System -> 445 TCP
768 MSTask -> 1025 TCP E:\WINNT\system32\MSTask.exe
8 System -> 1027 TCP
8 System -> 137 UDP
8 System -> 138 UDP
8 System -> 445 UDP
256 lsass -> 500 UDP E:\WINNT\system32\lsass.exe

(3)使用图形化界面工具Active Ports

这个工具可以监视到电脑所有打开的TCP/IP/UDP端口，还可以显示所有端口所对应的程序所在的路径，
本地IP和远端IP(试图连接你的电脑IP)是否正在活动。这个工具适用于Windows NT/2000/XP平台。

2、查看win.ini和system.ini系统配置文件

查看win.ini和system.ini文件是否有被修改的地方。
例如有的木马通过修改win.ini文件中windows节 的“load=file.exe ，run=file.exe”语句进行自动加载。
此外可以修改system.ini中的boot节，实现木马加载。
例如 “妖之吻” 病毒，将“Shell=Explorer.exe” （Windows系统的图形界面命令解释器）
修改成“Shell=yzw.exe”，在电脑每次启动后就自动运行程序yzw.exe。
修改的方法是将“shell=yzw.exe”还原为“shell=explorer.exe”就可以了。

3、查看启动程序

如果木马自动加载的文件是直接通过在Windows菜单上自定义添加的，
一般都会放在主菜单的“开始->程序->启动”处，
在Win98资源管理器里的位置是“C:\windows\start menu\programs\启动”处。
通过这种方式使文件自动加载时，一般都会将其存放在注册表中下述4个位置上：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Explorer\Shell Folders
检查是否有可疑的启动程序，便很容易查到是否中了木马。
在Win98系统下，还可以直接运行Msconfig命令查看启动程序和system.ini、win.ini、autoexec.bat等
文件。

4、查看系统进程

木马即使再狡猾，它也是一个应用程序，需要进程来执行。可以通过查看系统进程来推断木马是否存在。
在Windows NT/XP系统下，按下“CTL+ALT+DEL”，进入任务管理器，就可看到系统正在运行的全部进程。
在Win98下，可以通过Prcview和winproc工具来查看进程。查看进程中，要求你要对系统非常熟悉，
对每个系统运行的进程要知道它是做什么用的，这样，木马运行时，
就很容易看出来哪个是木马程序的活动进程了。

5、查看注册表

木马一旦被加载，一般都会对注册表进行修改。一般来说，
木马在注册表中实现加载文件一般是在以下等处：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunServices
此外在注册表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=
““%1” %*”处，如果其中的“%1”被修改为木马，那么每次启动一个该可执行文件时木马就会启动一次，
例如着名的冰河木马就是将TXT文件的Notepad.exe改成了它自己的启动文件，
每次打开记事本时就会自动启动冰河木马，做得非常隐蔽。
还有“广外女生”木马就是在HKEY_CLASSES_ROOT\exefile\shell\open
\command=““%1” %*”处将其默认键值改成"%1" %*"，
并在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices添加了名称为"Diagnostic Configuration"的键值；

6、使用检测软件

上面介绍的是手工检测木马的方法，此外，我们还可以通过各种杀毒软件、
防火墙软件和各种木马查杀工具等检测木马。各种杀毒软件主要有：KV3000,Kill3000、瑞星等，
防火墙软件主要有国外的Lockdown，国内的天网、金山网镖等，各种木马查杀工具主要有：The Cleaner、
木马克星、木马终结者等。这里推荐一款工具防护工具McAfee VirusScan ，
它集合了入侵防卫及防火墙技术，为个人电脑和文件服务器提供全面的病毒防护。

木马清除
检测到电脑中了木马后，就要根据木马的特征来进行清除。查看是否有可疑的启动程序、
可疑的进程存在，是否修改了win.ini、system.ini系统配置文件和注册表。
如果存在可疑的程序和进程，就按照特定的方法进行清除。
主要的步骤都不外乎以下几个：
（但并不是所有的木马清除都能够根据下列步骤删除，这里只是介绍清除木马的基本方法）

1、删除可疑的启动程序

查看系统启动程序和注册表是否存在可疑的程序后，判断是否中了木马，
如果存在木马，则除了要查出木马文件并删除外，还要将木马自动启动程序删除。
例如Hack.Rbot病毒、后门就会拷贝自身到一些固定的windows自启动项中：
WINDOWS\All Users\Start Menu\Programs\StartUp
WINNT\Profiles\All Users\Start Menu\Programs\Startup
WINDOWS\Start Menu\Programs\Startup
Documents and Settings\All Users\Start Menu\Programs\Startup
查看一下这些目录，如果有可疑的启动程序，则将之删除。

2、恢复win.ini和system.ini系统配置文件的原始配置

许多病毒会将win.ini和system.ini系统配置文件修改，使之能在系统启动时加载和运行木马程序。
例如电脑中了“妖之吻”病毒后，病毒会将system.ini中的boot节的
“Shell=Explorer.exe”字段修改成“Shell=yzw.exe”,清除木马的方法是把system.ini给恢复原始配置，
即“Shell=yzw.exe”修改回“Shell=Explorer.exe”，再删除掉病毒文件即可。
TROJ_BADTRANS.A病毒，也会更改win.ini以便在下一次重新开机时执行木马程序。
主要是将win.ini中的windows节的“Run=”字段修改成“Run= C:%WINDIR%INETD.EXE”字段。
执行清除的步骤如下：

（1）打开win.ini文本文件，将字段“RUN=C:%WINDIR%INETD.EXE”中 等号后面的字符删除，
仅保留“RUN=”。
（2）将被TROJ_BADTRANS.A病毒感染的文件删除。

3、停止可疑的系统进程

木马程序在运行时都会在系统进程中留下痕迹。通过查看系统进程可以发现运行的木马程序，
在对木马进行清除时，当然首先要停掉木马程序的系统进程。
例如Hack.Rbot病毒、后门除了将自身拷贝到一些固定的windows自启动项中外，
还在进程中运行wuamgrd.exe程序，修改了注册表，以便病毒可随机自启动。
在看到有木马程序在进程中运行，则需要马上杀掉进程，并进行下一步操作，修改注册表和清除木马文件。

4、修改注册表

查看注册表，将注册表中木马修改的部分还原。例如上面所提到的Hack.Rbot病毒、后门，
向注册表的以下地方：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run
添加了键值"Microsoft Update" = "wuamgrd.exe"，以便病毒可随机自启动。
这就需要我们进入注册表，将这个键值给删除。注意：可能有些木马会不允许执行.exe文件，
这样我们就需要先将regedit.exe改成系统能够运行的，比如可以改成regedit.com。
这里就说说如何清除Hack.Rbot病毒、后门的。

（1）将进程中运行的wuamgrd.exe进程停止，这是一个木马程序；
（2）将Hack.Rbot拷贝到windows启动项中的启动文件删除；
（3）将Hack.Rbot添加到注册表中的键值"Microsoft Update"=
"wuamgrd.exe"删除；
（4）手工或用专杀工具删除被Hack.Rbot病毒感染的文件。并全面检查系统。

5、使用杀毒软件和木马查杀工具进行木马查杀

常用的杀毒软件包括KV3000、瑞星、诺顿等，这些软件对木马的查杀是比较有效的，
但是要注意时刻更新病毒库，而且对于一些木马查杀不彻底，在系统重新启动后还会自动加载。
此外，你还可以使用The Cleaner、木马克星、木马终结者等各种木马转杀工具对木马进行查杀。
这里推荐一款工具Anti-Trojan Shield，这是一款享誉欧洲的专业木马侦测、拦截及清除软件。
可以在http://www.atshield.com网站下载。

木马防范
随着网络的普及，硬件和软件的高速发展，网络安全显得日益重要。对于网络中比较流行的木马程序，
传播时间比较快，影响比较严重，因此对于木马的防范就更不能疏忽。
我们在检测清除木马的同时，还要注意对木马的预防，做到防范于未然。

1、不要随意打开来历不明的邮件

现在许多木马都是通过邮件来传播的，当你收到来历不明的邮件时，请不要打开，应尽快删除。
并加强邮件监控系统，拒收垃圾邮件。

2、不要随意下载来历不明的软件

最好是在一些知名的网站下载软件，不要下载和运行那些来历不明的软件。
在安装软件的同时最好用杀毒软件查看有没有病毒，之后才进行安装。

3、及时修补漏洞和关闭可疑的端口

一般木马都是通过漏洞在系统上打开端口留下后门，以便上传木马文件和执行代码，
在把漏洞修补上的同时，需要对端口进行检查，把可疑的端口关闭。

4、尽量少用共享文件夹

如果必须使用共享文件夹，则最好设置帐号和密码保护。注意千万不要将系统目录设置成共享，
最好将系统下默认共享的目录关闭。Windows系统默认情况下将目录设置成共享状态，这是非常危险的。

5、运行实时监控程序

在上网时最好运行反木马实时监控程序和个人防火墙，并定时对系统进行病毒检查。

6、经常升级系统和更新病毒库

经常关注厂商网站的安全公告，这些网站通常都会及时的将漏洞、木马和更新公布出来，
并第一时间发布补丁和新的病毒库等。

采用注册表来管理系统配置，主要是为了提高系统的稳定性，平时操作系统出现的一些问题，
诸如系统无法启动、应用程序无法运行、系统不稳定等情况，很多都是因为注册表出现错误而造成的，
而通过修改相应的数据就能解决这些问题，所以，掌握如何正确备份、恢复注册表的方法，
可以让每一个用户更加得心应手地使用自己的电脑。

一、利用注册表编辑器手工备份注册表

注册表编辑器（Regedit）是操作系统自带的一款注册表工具，通过它就能对注册表进行各种修改。
当然，"备份"与"恢复"注册表自然是它的本能了。

（1）通过注册表编辑器备份注册表
由于修改注册表有时会危及系统的安全，因此不管是WINDOWS 98还是WINDOWS 2000甚至WINDOWS XP，
都把注册表编辑器"藏"在了一个非常隐蔽的地方，要想"请"它出山，必须通过特殊的手段才行。
点击"开始"菜单，选择菜单上的"运行"选项，在弹出的"运行"窗口中输入"Regedit"后，点击"确定"按钮，
这样就启动了注册表编辑器。

点击注册表编辑器的"注册表"菜单，再点击"导出注册表文件"选项，
在弹出的对话框中输入文件名"regedit"，将"保存类型"选为"注册表文件"，再将"导出范围"设置为"全部"，
接下来选择文件存储位置，最后点击"保存"按钮，就可将系统的注册表保存到硬盘上。

完成上述步骤后，找到刚才保存备份文件的那个文件夹，就会发现备份好的文件已经放在文件夹中了。

（2）在DOS下备份注册表

当注册表损坏后，WINDOWS（包括"安全模式"）无法进入，此时该怎么办呢？
在纯DOS环境下进行注册表的备份、恢复是另外一种补救措施，下面来看看在DOS环境下，
怎样来备份、恢复注册表。

在纯DOS下通过注册表编辑器备份与恢复注册表前面已经讲解了利用注册表编辑器在WINDOWS环境下备份、
恢复注册表，其实"Regedit.exe"这个注册表编辑器不仅能在WINDOWS环境中运行，也能在DOS下使用。

虽然在DOS环境中的注册表编辑器的功能没有在WINDOWS环境中那么强大，但是也有它的独到之处。
比如说通过注册表编辑器在WINDOWS中备份了注册表，可系统出了问题之后，无法进入WINDOWS，
此时就可以在纯DOS下通过注册表编辑器来恢复注册表。

应该说在DOS环境中备份注册表的情况还是不多见的，一般在WINDOWS中备份就行了，
不过在一些特殊的情况下，这种方式就显得很实用了。

进入DOS后，再进入C盘的WINDOWS目录，在该目录的提示符下输入"regedit"后按回车键，
便能查看"regedit"的使用参数。

通过"Regedit"备份注册表仍然需要用到"system.dat"和"user.dat"这两个文件，
而该程序的具体命令格式是这样的：
Regedit /L:system /R:user /E filename.reg Regpath

参数含义：
/L：system指定System.dat文件所在的路径。
/R：user指定User.dat文件所在的路径。
/E：此参数指定注册表编辑器要进行导出注册表操作，在此参数后面空一格，输入导出注册表的文件名。
Regpath：用来指定要导出哪个注册表的分支，如果不指定，则将导出全部注册表分支。在这些参数中
，"/L：system"和"/R：user"参数是可选项，如果不使用这两个参数，
注册表编辑器则认为是对WINDOWS目录下的"system.dat"和"user.dat"文件进行操作。
如果是通过从软盘启动并进入DOS，
那么就必须使用"/L"和"/R"参数来指定"system.dat"和"user.dat"文件的具体路径，
否则注册表编辑器将无法找到它们。

比如说，如果通过启动盘进入DOS，
则备份注册表的命令是"Regedit /L:C:\windows\/R:C:\windows\/e regedit.reg",
该命令的意思是把整个注册表备份到WINDOWS目录下，其文件名为"regedit.reg"。
而如果输入的是"regedit /E D:\regedit.reg"这条命令，
则是说把整个注册表备份到D盘的根目录下（省略了"/L"和"/R"参数），其文件名为"Regedit.reg"。
（ 3）用注册表检查器备份注册表
在DOS环境下的注册表检查器Scanreg.exe可以用来备份注册表。

命令格式为：
Scanreg /backup /restore /comment

参数解释：
/backup用来立即备份注册表
/restore按照备份的时间以及日期显示所有的备份文件
/comment在/restore中显示同备份文件有关的部分

注意：在显示备份的注册表文件时，压缩备份的文件以 .CAB文件列出，
CAB文件的后面单词是Started或者是NotStarted，Started表示这个文件能够成功启动Windows，
是一个完好的备份文件，NotStarted表示文件没有被用来启动Windows，
因此还不能够知道是否是一个完好备份。

比如：如果我们要查看所有的备份文件及同备份有关的部分，命令如下：
Scanreg /restore /comment

注册表恢复

注册表中存放着计算机软硬件的配置信息，病毒、网页恶意代码往往要修改注册表，
平时安装、操作软件也会使注册表内容发生变化。当计算机工作不正常时，
往往可以通过恢复注册表来修复。所以，平时我们应经常备份注册表(运行regedit，导出注册表文件)。
这样，需要时就可以导入过去某个备份，使电脑恢复正常。
如果平时没有导出注册表，则只好通过运行 scanreg /restore来恢复注册表，
或运行scanreg
/fix来修复注册表。不过该命令应该在DOS下执行。对于win98系统，开机时按F8，
选择Command Prompt
Only进入DOS；对于WinMe系统，则可以运行Command进入DOS。当然，也可以用软盘引导系统，
进入C:\windows\command子目录，然后执行上述修复注册表的命令。
目前网页恶意代码最可恶的破坏行为之一是在注册表中禁止了程序运行。
此时因IE无法运行，不能使用在线自动修复；且“微机数据维护”等修复软件也不能运行；
同样也不能导入注册表文件来修复注册表。此时唯一的办法就是在DOS下运行C:\windows
scanreg /restore来修复注册表。

‘肆’ 如何在Win7系统任务管理器查出隐藏在进程中的木马

在Win7系统任务管理器中我们可以方便地对系统的各项资源、进程进行了解。有时候我们发现自己的电脑运行起来非常慢，这可能是由于一些木马程序进入占用大量的系统资源造成的。一些木马程序进入我们系统后，在后台运行时它都会伪装起来，这样我们会很难发现他的行踪。我们除了能方便的查看各个任务的进程来查看是否中了木马等病毒程序外，我们还可以通过Win7系统提供的“资源监视”功能，在查看进程的同时还能了解系统资源的各种状态，揪出系统背后木马程序。

首先在Windows任务栏按下鼠标右键，在右键菜单栏中选择“启动任务管理器”，在“性能”界面中单击“资源监视器”按钮，打开“资源监视器”界面

Win7系统“资源监视器”功能，比以前的版本要强大很多，在此我们可以方便地查看各项资源使用情况。在此我们可以非常方便的查看系统中运行的程序对CPU、内存、网络监视器等使用情况，下面我们就以查看哪个程序CPU使用率高 为例来了解一下查看方法.

一般木马程序在后台运行时都要不不断复制系统中的文件信息，这样该程序会占用大量的CPU和内存资源。首先我们来查看某个程序占用CPU资源情况，在“资源监视器”界面切换到CPU项下，在此显示出所有正在运行的程序的CPU使用情况。如果你发现某个进程CPU使用率较高，在“进程”列表中勾选某个需要查看的进程后，在“服务”项中我们可以看到与该进程相关联的所有服务项目，在下面的“关联句柄”项目中我们可以看到和该程序关联的所有进程信息。

‘伍’ 如何查看隐藏的木马进程啊，

病毒和木马隐藏的不外乎几个方面.
启动项. 服务..注册表.
如果你中了病毒.
首先查看一下启动.
有没有可疑的文件或程序在运行?

服务是病毒常光顾的地方.
如果你遇到不能删掉的文件.
有可能隐藏在里面了.
这方面要靠你仔细的观察了.
注册表你要看的是这个根项
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run

‘陆’ 如何查询电脑中木马程序

打开任务管理器查看进程 看看有无新加的进程 上网络搜索下

‘柒’ 怎样查看木马及病毒文件

你可以下载一款杀毒软件杀毒，比如腾讯电脑管家
打开腾讯电脑管家--闪电杀毒--全盘扫描--完成
腾讯电脑管家应用了具有“自学习能力”的自研第二代“鹰眼”引擎，
业界首创将CPU虚拟执行技术运用到杀毒软件中，
能够根除顽固病毒、大幅度提升深度查杀能力，
并且大大降低了杀毒软件对用户电脑系统资源的占用率。
同时，沿用“4+1”多引擎架构保证了腾讯电脑管家病毒查杀的稳定性。
误杀率也极低，深受广大用户的认可。

‘捌’ 怎么在任务管理器看木马

呵呵~~~打开任务管理器，查看进程 里面有很多了，自己去找可疑的进程，比如QQ的进程有QQ.EXE TIMPLAFORM.EXE等等，如果看到一个自己不知道的，可以在网络搜索一下，基本上就知道是什么了或者是不是病毒木马进程了。

‘玖’ 如何用最简单的方法检查计算机是否中了木马病毒

严格来讲，木马和病毒是两种概念。木马是一种载体，最终的目的是把宿主程序（一般是后门程序和病毒程序）植入目标计算机。
所以你的问题的答案应该是这样的：
对于木马程序，首先应该查看系统进程（使用windows2000/xp的任务管理器或者第三方软件）中有没有异常活动的进程，如果有，仔细检查该进程的来源。
再用工具查看windows的启动项，用winxp下的msconfig或者其他工具都可以。一般木马的入口都在这里，把可疑的启动项禁止，再次启动以确认。
使用netstat程序或者其他工具查看本机的端口开放情况，对于无法确认的开放端口，察看其监听程序是否为合法软件。
最后，可以用专用工具来查杀，比如木马防线，木马克星等工具，防病毒软件在这方面的功能比较弱，但也有一定的功效。

‘拾’ 怎样查看木马进程

第一步：打开任务管理器。根据和常见进程比较，很明显会发现两个“熟悉的陌生人”(和系统基本进程名称相似，但不相同)：“internet.exe”和“systemtray.exe”。请和上一实例中的”配角“进程比较。
第二步：打开“系统信息”的“软件环境→正在运行任务”，查看路径信息，两者均指向WindowsSystem32目录，而且文件大小、日期均相同，但从文件日期来看并不属于微软的系统文件。进入资源管理器查看其版本属性，虽然公司标明为Microsoft，但与系统文件中的微软公司名称书写并不相同，基本可断定是非法进程，并且为双进程模式。
第三步：在尝试结束进程时，第一次选择“systemtray.exe”来结束进程树，结果进程马上就再生了，任务管理器中又显示出这两个进程！于是再次选择“internet.exe”，然后结束进程树●。进程没有再生，从而将木马进程从系统中清除。
实例三：真真假假系统进程
许多病毒和木马为避免从进程名称中发现它们的踪影，往往会采用“障眼法”，使用和系统文件或系统进程名称类似的进程名称。
1.文件名伪装
(1)修改常见程序或进程个别字符
例如，上面介绍的“Falling Star”木马的进程名称“internet.exe”就与输入法进程“internat.exe”十分相似。“WAY无赖小子”的服务端进程名称为“msgsvc.exe”，与系统基本进程“msgsrv32.exe”类似，还有Explorer.exe和Exp1orer.exe的区别，不仔细的话你能看出来吗？(数字“1”取代了字母“l”)
(2)修改扩展名
着名的冰河木马的服务端进程为Kernel32.exe，乍一看很熟悉，好像是哪个系统进程，其实系统根本不存在这样一个文件，Windows 9x的基本进程中却有一个叫做“Kernel32.dll”的。诸如此类的还有“Shell32.exe”的木马进程是从“Shell32.dll”这个大家都很熟悉的文件“演变”而来的，实际在系统中都是不存在的。
2.路径伪装
Windows目录和System目录是系统核心文件所在地，一般是“闲人免进”。因此，出入它们的文件一般都被人们认为是系统文件，而病毒和木马就借机将源文件放在这两个目录中。对于这类情况，一般只需要通过系统信息找到其源文件路径，打开文件的属性，从日期(这个非常重要，可以看是否与系统文件日期一样)、版本、公司名称信息中即可看出破绽。没有哪个病毒、木马文件能设计得与系统文件完全一致。
实例四：优化系统从进程开始
除系统运行必须的基本进程外，每个程序运行后都会在系统中生成进程，每个进程都会占用一定的CPU资源和内存资源。过多的进程和一些设计不良的进程就会导致系统变慢、性能下降，这时可对它们进行一下优化。
1.精简进程
系统中的一些进程并不是必须的，结束它们并不会对系统造成什么损害。
比如：internat.exe(显示输入法图标)、systray.exe(显示系统托盘小喇叭图标)、ctfmon.exe(微软Office输入法)、mstask.exe(计划任务)、sysexplr.exe(超级解霸服务器)、winampa.exe(Winamp代理)、wzqkpick.exe(WinZip助手)等。
有一款叫做“进程杀手”的免费小工具，具备自动精简进程功能，可自动中止系统基本进程以外的所有进程。在怀疑电脑运行了某些黑客进程或病毒进程但又不能确定是哪一个时，该软件就可以有效清除那些非法进程。不过它只适合Windows 9x/Me。下载地址http://js-http.skycn.net:8080/down/prockiller_23.rar。
2.杀死不良进程
有时你会发现系统运行速度特别慢，这时可打开任务管理器，单击“进程”标签，点击“CPU”列标签让进程按CPU资源占用排序，可以很明显地看到资源占用最高的程序。同样方法，可以点击“内存”列标签，查看那些内存占用大户，及时结束进程。
这里有一种情况比较特殊：在查看CPU占用率时，一个叫做“System Idle Process”的进程会一直显示在90%左右。不必担心，实际上它并没有占用这么多系统资源，单击“性能”标签可看到其实际的CPU资源占用情况。
★对于Windows 9x，使用任务管理器是无法像Windows 2000/XP那样看到所有进程以及CPU、内存占用情况，推荐使用Process Explorer(下载地址http://www.sysinternals.com/ntw2k/freeware/procexp.shtml)。
★如果某个16位程序影响了系统运行，而且死活也关不掉，可进入任务管理器的进程选项卡，找到NTVDM.exe进程，将其关掉即可杀掉所有16位应用程序，而不用重启。
3.优化软件或游戏性能
你还可以通过改变软件和游戏进程优先级来提高其性能，这样能使它们运行得更快，当然负作用就是可能影响到其他正在运行的进程。比如，为避免刻录缓存溢出问题造成刻录失败，可进入任务管理器的进程选项卡，找到并右击刻录软件的进程项，选择“设置优先级”，然后在弹出的子菜单中选择“高”。如果你不想每次都这样设置，可使用下面的方法。
第一步：打开软件或游戏所在目录，比如：D:/game，在这里新建一个文本文件，在其中输入以下语句：
echo off
start /priority game.exe
说明：将priority替换为所需的CPU优先级，建议使用high(高)、abovenormal(高于标准)，因为它们的效果最好。将game.exe替换为软件或游戏的可执行文件名称，比如：stvoy.exe。
第二步：做完以上修改后将其保存为game.bat，现在就能通过这个文件来启动游戏或软件，而它将会使游戏或软件具有更高的CPU优先级。不过要注意的是，该文件必须要保存在游戏或软件所在目录