本文轉自：電腦報

　　安全診所的值班醫生張帆，正在查詢一些資料。這時推門進入一位病人。病人稱他最近一段時間，很多和自己相關的網路帳戶都被盜了，想讓醫生看看是什麼原因。張帆醫生詢問患者有沒有安裝殺毒軟體。患者稱自己安裝的殺毒軟體是最新版本的卡巴斯基，不但每天準時更新病毒庫，並且還打上了系統的所有補丁。

　　聽了病人的講述，張帆醫生說：在排除系統漏洞情況下，能夠繞過卡巴斯基的防禦的木馬就只有Evilotus。

　　Evilotus木馬檔案　　Evilotus木馬是由“一步江湖”推出的一款國產木馬程式。這款全新的木馬程式不但採用了反彈連接、執行緒插入、服務啟動等成熟的木馬技術，而且還有一些獨創的木馬技術。比如它具有SSDT恢復功能，通過它可以輕鬆繞過卡巴斯基的防禦功能，實現了對卡巴斯基殺毒軟體的免疫。

　　連接埠無法躲避　　張帆醫生明白，所有的木馬只要成功的進行連接，接收和發送資料則必然會打開系統埠，就是說採用了執行緒插入技術的木馬也不例外。他準備通過系統自帶的netstat命令查看開啟的埠。

　　為了避免其他的網路程式干擾自己的工作，首先將這些程式全部關閉，然後打開命令提示視窗。張帆醫生在命令列視窗中輸入“netstat -ano”命令，這樣很快就顯示出所有的連接和偵聽埠。張醫生在連接清單中發現，有一個進程正在進行對外連接，該進程的PID為1872(圖1)。

　　順藤摸瓜查找木馬　　由於已經獲得了重要的資訊內容，現在我們運行木馬輔助查找器，點擊“進程監控”標籤，通過PID值找到可疑的Svchost進程。　　選中該進程，在下面的模組清單查找，很快就找到了一個既沒有“公司”說明，也沒有“描述”資訊的可疑DLL檔，因此斷定這個就是木馬服務端檔(圖2)。看到該木馬使用了執行緒插入技術，並且插入的是系統的Svchost進程。

順利找到木馬程式的進程以後，張醫生開始查找木馬的啟動項。運行System Repair Engineer(SRE)這款系統檢測工具，依次點擊“啟動專案→服務→Win32 服務應用程式”按鈕。 　　在彈出的視窗中選擇“隱藏微軟服務”選項後，程式會自動的遮罩掉發行者是Microsoft的專案，很快醫生就發現一個和木馬檔案名稱相同的啟動服務(圖3)，因此斷定這就是木馬的啟動項。

　　清除木馬不過如此 在木馬輔助查找器的“進程監控”標籤中，通過PID值找到被木馬程式利用的Svchost進程，選中它，點擊 “終止選中進程”按鈕就可以終止該進程。選擇“啟動項管理”標籤中的“後臺服務管理”選項，在服務清單中找到木馬的啟動項，選擇“刪除服務”按鈕即可。

　　現在打開登錄編輯程式，接著點擊“編輯”功能表中的“查找”命令，在彈出的視窗中輸入剛剛查找到的木馬檔案名稱，當查找到和木馬檔案名稱相關的項 目後進行修改或刪除(圖4)。最後我們進入系統的System32目錄中，將和服務端相關的檔刪除即可完成服務端的清除工作。