2.快照对比

点击“比较”按钮，程序开始对比两次快照文件的不同，对比完毕自动打开比较记录文件。可以看到程序卸载后，未在硬盘中保留其它多余的文件，但是那个注册表键值还保留着的（如图6）。

四、检测伴生木马进程

有一些程序在运行时会同时在内存中解压并运行隐蔽的后门，因此检测程序的伴生进程是很重要的一个步骤。

1.生成进程记录文件

点击“开始”→“运行”菜单，执行“cmd.exe”命令，打开命令提示符窗口。在命令提示符下执行命令：“tasklist >D:\1.txt”，成功后将会在D盘下生成一个名为“1.txt”的文件，其中记录了当前系统中所有的进程名。

运行程序后，再次执行命令：“tasklist >D:\2.txt”，将会生成新的进程记录文件“2.txt”。

3.对比进程列表

在命令提示符窗口中执行命令：“FC D:\1.txt D:\2.txt >D:\3.txt”，成功后将会自动对比两个进程记录文件中的不同，并生成对比文件。打开对比文件“3.txt”，可以看到程序运行后只产生了一个名为“domain3.5.exe”的进程（如图7）。

4.检测隐藏进程

不过Windows中自带的进程管理命令，无法显示一些内核级或带有ROOTKIT隐藏性能的进程，因此还是需要检测程序运行时是否产生了隐藏的间谍进程。可使用我们以前介绍过的IceSword工具，使用方法很简单，这里就不多作介绍了。

上一页  [1] [2] [3] [4] 下一页