狙剑的作者写的,非常细致,发给朋友们看看.文章很长，不得不分成两篇，有点考验人的耐性。 这次我们从一开始讲起，就从各位从朋友手中接过一台问题电脑，满怀信心的准备在朋友面前显摆显摆时开始～～现在，让我们打开电脑，准备检查！　　
　　序章，检查前的准备工作
　　 （对下面说的SSDT、INLINE-HOOK不明白.修。，请先看上面的内容）
　　 先要准备好一些专业的工具，并检测SSDT是否被HOOK 或INLINE-HOOK，如果被HOOK请判断是否是您安装的杀毒软件、所用的安全防护软件或所用的检查工具所为，如果不是，恭喜，你查到木马了！
　　 如果实在无法判断是否为正常HOOK，请暂时关闭杀毒软件，然后全部恢复被HOOK的SSDT！
　　 关闭了杀软后会不会不安全？如果开着就很安全的话，相信你也不会手工查杀了，更何况只是暂时关闭它。
　　 不恢复行不行？最好是先恢复，除非你用的工具不依赖于SSDT，什么样的工具不依赖于SSDT后面详说。
　　
　　第一章 进程篇
　　
　　 先关闭所有无关的程序，然后，偶们开始检查当前进程，当前进程是什么呢？当前进程就是现在所有正在运行的程序！查看当前进程，就是查看现在有哪些程序正在运行，如果有未知的程序呢？可能就是木马了，因为通常木马也是做为一个程序存在的。
　　 怎么看当前进程呢？ 请借助专业工具，实在没有工具时，再同时按下Ctrl + Alt + Delete键调出任务管理器来查看。
　　 那什么样子的程序是未知程序呢？
　　 这里，我要再强调一下子，一定要找一个能够对进程文件进行数字签名验证的进程查看工具，不然你无法区分某一进程是否为可疑进程，只凭文件名字是完全不够用的。
　　 如果一个进程不是系统进程，也不是你正在运行的某一程序的进程，那这个进程就是我们说的可疑进程。（不能通过数字签名验证的为非系统进程）
　　
　　 找到了可疑进程又如何呢？杀掉后删除么？
　　 NO，不要杀它～不杀的原因有三点：
　　 1、杀掉它的结果是什么，很难预料，如果其正在与其它程序或内核驱动进行交互，你杀它，很可能就是自杀，会把系统杀崩的。
　　 2、杀掉并删除它，并不会清除它写入注册表的启动项，这样每次开机时仍然会尝试加载这个程序，虽然文件已经不在，无法使木马运行，但每次的试图加载，都是需要时间的，这也是系统变慢的一个原因所在。
　　 3、最后，只凭上面的检测，只能说明这个进程是可疑进程，但无法就此确认这就是木马，所以，你现在杀掉它，很可能会误杀～

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点