影子程序又是如何发现木马主程序被清除的呢？
　　 有两种途径，一是将自己也加在某一个启动位置上，每次开机自动启动，在启动后如果发现木马主程序已经不在，就释放一份，并将木马启动，接着自己就退出了。如果在，影子程序就直接退出了。
　　 二是，利用触发机制等待，等你触发影子程序后，由影子程序去检查木马是否存在，如果不存在就释放并启动然后自己退出，如果在同样也就直接退出了。
　　 由于，影子程序只是运行了那么零点零几秒而已～～所以你的进程检查对它没什么用处，因为它平时是不运行的～
　　 对付影子程序，只能由启动项入手，而影子程序也注意到了这一点，所以很多就采取了触发机制，因此，我们检查时，也要注意检查触发式木马。　　
　　 呵，结论出来了，各位朋友不要看到进程中的可疑进程就眼红红的冲过去狂杀一通～～杀进程、删除文件、卸模块只是治标不治本的做法～～什么事情都要寻根求源，进行“根治”～～否则，轻则病毒木马是杀不完去不净～～重则是系统被越杀越慢～～杀到最后，不得不重装系统完事儿～～～　　
　　 用GHOST恢复也很快？呵，难道你不知道熊猫烧香会删除GHOST的备份文件么？熊猫能删除～～其它的当然也能删～～删个文件对它们来说绝不是什么难事儿～～　　 重装系统就安全么？也不见得～～在网上搜一下儿～看看网上提供下载的操作系统风险又有多大～很多木马是在做操作系统安装盘时就放进去了～～
　　 放进去为什么查不到呢？
　　 这就是另一个话题了～～文件修改替换型的木马～～很让人郁闷的一类木马～～下次再说吧～～
　 　汗～～想起来就头大～

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点