走近Procexp
　　我们可以到相关网站去下载Procexp，然后通过“选项”菜单中的“替换Windows任务管理器”来实现对操作系统默认任务管理器的代替。从此，只要按组合键“Ctrl+Alt+Del”，点击任务管理器，出现的便是Procexp8.0的面孔了。
　　在进程列表中，Procexp8.0用不同颜色对不同类型的进程进行了标记，蓝色为当前用户进程，粉红色为系统服务进程，使用户对各个进程的类别便一目了然。而且，它还提供了保存当前进程的功能，只要按下快捷键“Ctrl+A”，便可以将当前进程列表保存为文本文件。尤其特别的使，Procexp8.0提供了“冻结”功能，这个功能可以暂时冻结某个进程，使它无法运行，需要的时候还可以方便地随时唤醒它。这样当我们遇到一个可疑进程时，如果无法判断关闭这个进程是否会对系统造成什么不良影响，便可以先冻结这个进程，待搞清楚后再决定关闭或者唤醒该进程。

让DLL木马无处遁形
　　没有发现不了的木马，DLL木马既然藏身于系统进程之内，那么我们只需要利用DLL查看功能，便可以发现木马的踪迹了。
　　如果怀疑自己的电脑中了木马，可以首先对关键系统进程做一番排查。以某台机器为例，在进程列表中，双击explorer.exe，将会出来一个窗口显示这个进程的属性，选择“线程”面板，便会发现可疑文件G_server.dll，如图1所示。

图1 发现可疑文件（灰鸽子）

实际上在Procexp主界面的下方面板中，我们也可以找到这样一个DLL文件。
　　对一个有一定电脑使用经验的用户而言，这样文件名的DLL文件一定会引起怀疑的。针对该文件单击右键，我们可以直接使用Procexp提供的google搜索功能。搜索出来的信息会告诉我们这个文件是属于木马文件，还是系统正常的DLL文件。经过搜索，事实证明这是木马灰鸽子的文件。
　　如果您只是怀疑自己的电脑感染了某类DLL木马，只要对这个木马的一些关键文件名有所了解，便可以使用Procexp的DLL文件搜索功能。只需在Procexp的主界面查找菜单中选择“查找DLL”，如果中了木马，下面便会显示出来木马在系统中的痕迹了。

文章转载地址：http://www.365master.com/kt_article_show.php?article_id=1588&categ_code=10041003