DLL木马是依靠DLL文件来作恶的，木马运行时不会在进【huì zài jìn】程列表【chéng liè biǎo】出现新【chū xiàn xīn】✈的进程🈹，而且很🦅多【duō】🏊DLL木马还插入到【chā rù dào】🚍系统关键进程中📽（无法终【wú fǎ zhōng】止【zhǐ】），即使能被杀毒软件检测出来也无法查杀【chá shā】🆒，这给系统安全💇带来极【dài lái jí】🐩大的威胁。如果你的手头🚭没有趁🥨手的杀🚌马兵器🤗，抄起办公的【gōng de】Excel我们也可以肉【kě yǐ ròu】搏一番【bó yī fān】🕟。下面就看看我【kàn kàn wǒ】👻们是如【men shì rú】何用Excel对付这种插入lsass.exe进程的【jìn chéng de】木马吧！ 

第一步：查找被感染的进程

近日开机上网一段时【yī duàn shí】间后就👒觉得网🚁速特别的慢【de màn】，于是便🎯运行🚄"netstat -a -n -o"查看开【chá kàn kāi】📢放的端口和连接【lián jiē】🔒，其中进💸程PID为【wéi】580发起的连接【lián jiē】🔒极为【wéi】可疑：状态为【wéi】ESTABLISHED，表示两台机器【tái jī qì】正在通🤝信【xìn】🌴（见图1）。通过任务管理【wù guǎn lǐ】器可以【qì kě yǐ】知道这【zhī dào zhè】个进程【gè jìn chéng】🌊为【wéi】lsass.exe，根据进程的解释，lsass.exe是用于🌦微软Windows系统的安全机制🕕，它用于🐷本地安【běn dì ān】全和登陆策略🎦，显然这【xiǎn rán zhè】个进程【gè jìn chéng】🌊是不需要开放端口和外部连【wài bù lián】接【jiē】🔒的，据此判🐬断该进程极可🔭能插入❤DLL木马【mù mǎ】。如果牧【rú guǒ mù】马者当前没有【yǒu】进行连接【lián jiē】🔒，还可以【hái kě yǐ】🎋通过端口状态👙判断是【pàn duàn shì】否中招【fǒu zhōng zhāo】🌟，如TIME_WAIT的意思【de yì sī】是结束🥒了这次🚍连接【lián jiē】🔒，说明端口曾经【kǒu céng jīng】有过访【yǒu guò fǎng】✝问，但访问【dàn fǎng wèn】💽结束了，表明已【biǎo míng yǐ】经有【yǒu】黑客入侵过本机。 LISTENING表示处【biǎo shì chù】于侦听☔状态，等待连接【lián jiē】🔒，但还没有【yǒu】被连接【lián jiē】🔒，不过只🌗有【yǒu】TCP协议的📉服务端😰口才能🎺处于【chù yú】LISTENING状态。

小提示：判断是【pàn duàn shì】否中招的前提是要找出被感🕊染的进【rǎn de jìn】🏗程【chéng】🕗，按被插入进程【chéng】🌂的类别分【fèn】，DLL木马大致可以🧤分为【fèn wéi】： 

1.插入常🦐用进程【yòng jìn chéng】，如⤵Notepad.exe、Iexplorer.exe（此类木【cǐ lèi mù】马的判【mǎ de pàn】断很简单，开机后不启动【bú qǐ dòng】任何程序【xù】，打开任务管理【wù guǎn lǐ】🈯器如果😪发现上述进程😝，那就可以判断中招了🤕）。

2.插入系【chā rù xì】🏞统进程【chéng】，如Explorer.exe、lsass.exe（由于每🥢台电脑📡开机后【kāi jī hòu】都有上述的进程【chéng】，具体可【jù tǐ kě】以通过查看端👷口和进程本身【chéng běn shēn】特性加以判断📢，比如本【bǐ rú běn】🔜机的lsass.exe、winlogon.exe、explorer.exe就不会开放端【kāi fàng duān】🚈口连接）。

3.对于插🎢入本身【rù běn shēn】就开放端口进⤵程如alg.exe、svchost.exe，需要通🔽过连接【guò lián jiē】🧕状况【zhuàng kuàng】、连接【lián jiē】🧕IP、调用DLL综合加以判断。

第二步：追查木马真凶

知道被【zhī dào bèi】💈插入DLL木马的进程【jìn chéng】💭，我们就可以通【kě yǐ tōng】过比较进程【jìn chéng】💭调用的🤨DLL模块来【mó kuài lái】甑别😆。

1.到其它【dào qí tā】🐐正常电脑上启【nǎo shàng qǐ】🐙动命令提示符➿运行"tasklist /m /fo list >G：dll1.txt"，将当前进程加载所有DLL文件以【wén jiàn yǐ】🦐列表形🖱式输出，然后打【rán hòu dǎ】开【kāi】dll.txt并复制【bìng fù zhì】lsass.exe加载的DLL文件列🐔表（见图2）。

2.打开👉Excel，将正常电脑【nǎo】和【hé】中招电脑【nǎo】lsass.exe加载的【jiā zǎi de】📰DLL文件复🍟制到A、B列【liè】🚘，由于🔣Excel有序号【yǒu xù hào】，通过序号就可【hào jiù kě】以轻易🦔发现两个【gè】lsass.exe加载的【jiā zǎi de】📰DLL文件数【wén jiàn shù】量不同🚏（64和【hé】68）。现在将🍭B列【liè】🚘字体设置为【zhì wéi】🛅红色，剪切🔐B列【liè】🚘内容并粘贴到【zhān tiē dào】A列【liè】🚘，单击Excel的【de】📰“数据🐹/排序”，将数据🐹重新排【chóng xīn pái】序后🎾，木马文【mù mǎ wén】件就在连续红🥫色但和【hé】💼上格不相同的【xiàng tóng de】📰DLL文件中，分别是mswsock.dll、PSAPI.DLL、 wshtcpip.dll、share.dll。

小提示：

如果无【rú guǒ wú】😈法确定🏧哪个进程被插🎯入木马，可以先【kě yǐ xiān】输出所有DLL文件【wén jiàn】，然后在Excel中排序🔙和正常状态DLL文件比【wén jiàn bǐ】较【jiào】，依次找出新增👿的DLL文件一【wén jiàn yī】一排查💺。

第三步：删除木马文件

从上可【cóng shàng kě】🔂以知道【yǐ zhī dào】DLL木马就【mù mǎ jiù】🤟在上述【zài shàng shù】🚆多出的4个文件【wén jiàn】🍝中，现在通过搜索【guò sōu suǒ】功能找🛷到这些文件【wén jiàn】😍（DLL文件【wén jiàn】😍大多在【dà duō zài】系【xì】🚧统目录【tǒng mù lù】，搜索范围可限制在此），并通过查看属性最终找到真凶为c：windowssystem32share.dll.现在进🎙入安全【rù ān quán】🐼模式将share.dll删除🥟，然后根🛷据它的创建时【chuàng jiàn shí】间、大小找到木马🦐的同伙并删除【bìng shān chú】🥟。一般微软系【xì】统DLL文件【wén jiàn】😍都有版本标签【běn biāo qiān】，而且文【ér qiě wén】件【jiàn】😍日期大多是一样的，可以通📕过这些属性判🍑断。

小提示🤪：对于插【duì yú chā】👈入🕤notepad、IE、explorer.exe等进程的dll木马【mù mǎ】，可以将进程终【jìn chéng zhōng】🔘止后直接删除【jiē shān chú】dll木马【mù mǎ】。

第四步：做好备份，防患于未然

相对来【xiàng duì lái】🚭说，本例被🖲插入木🐎马的系统进程【tǒng jìn chéng】比较容👵易判断【yì pàn duàn】，但是对插入系【chā rù xì】🌀统本身就开放【jiù kāi fàng】⬆端口的【duān kǒu de】进程如【jìn chéng rú】svchost.exe，判断起😴来就比较困难。因此我【yīn cǐ wǒ】✡们平时要用🐧Tasklist命令做好常见【hǎo cháng jiàn】系统进程【tǒng jìn chéng】DLL文件备【wén jiàn bèi】份📗，这样就可以在怀疑自💝己中招【jǐ zhōng zhāo】时，重启并关闭任何无关【hé wú guān】程序，然后通🥛过Excel排序快【pái xù kuài】速找到🕳木马真凶！

注意：系统有多个【duō gè】🔷svchost.exe进程，但是它们进程🎽pid是不同【shì bú tóng】的，需要分【xū yào fèn】🐔开备份。