绝招3：巧用画图，揪出狡猾木马

    我们知道，许多狡猾的木马都是双进程的，其中守护进程更具有较强的隐蔽性，这给我们的“围剿”工作带来了不少烦恼。比方说，笔者曾经在系统任务管理器窗口中，发现一个名为“ixplorer.exe”的异常系统进程，将该进程强行删除后，它又会立即复活。考虑到木马的守护进程被复活后，原先的可疑进程又立即消失，因此笔者始终没有办法找到究竟哪个是木马的守护进程；其实，我们完全可以巧妙地利用Windows系统内置的“画图”程序，来将这种狡猾的木马从系统中揪出来，下面就是具体的实施步骤：

　　首先打开系统的任务管理器窗口，单击其中的“进程”选项卡，并在对应的选项设置页面中，将一些暂时用不到的系统进程临时关闭掉，确保系统中当前运行着的进程能够全部显示在一个窗口页面中；

　　其次按下键盘中的复合键“ALT+PrintScreen”，将任务管理器窗口的“进程”选项页面复制下来；之后依次单击“开始”/“程序”/“附件”/“画图”命令，在弹出的画图编辑窗口中，依次单击菜单栏中的“编辑”/“粘贴”命令，将任务管理器窗口的“进程”选项页面粘贴到画图程序中，并将该图象保存为“1.bmp”；

    之后在任务管理器窗口的“进程”选项页面中，将“ixplorer.exe”系统进程临时关闭，同时仔细观察系统进程数量的变化，一旦发现进程数量突然增加了2个时，我们再及时按下键盘中的复合键“ALT+PrintScreen”，将当前的“进程”选项页面再复制下来，并粘贴到画图程序中，再将该截图文件保存为“2.bmp”；

    最后同时打开“1.bmp”文件和“2.bmp”文件，仔细对比其中的内容，我们就能很快地将新生成的木马守护进程找到了，将该守护进程先删除掉，我们就能非常轻松地将双进程的木马给“围剿”了。