真假木马进程巧分辨（下）

二、检查端口信息，揪出进程木马
如果你对可疑进程还拿不准，还可以查看该进程使用的端口，获得更多证据。
1. 检测远程IP 是否为网站木马
端口查看工具有很多，其功能也大同小异，这里就以前面介绍的Procexp 工具为例，打开Procexp 操作界面，选择自己认为可疑的进程后，单击“ 右键” 按钮，在弹出的菜单里选择“ Properties ” 选项，或者直接双击可疑进程，也可同样达到打开“ 进程属性” 对话框的目的。然后选择“ TCP/IP ” 选项，可以从中看到程序访问网络的具体情况。如果可疑进程所连接的远程IP 地址端口为80 端口，众所周知这是网站所开放的端口，如果不是那可就有问题了，通过IE 浏览器输入IP 地址进行查询，结果若出现无法打开网站的情况，便可判定它就木马进程。2. 查询远程IP 及其对应的物理地址
假如远程主机连接的不是80 端口，而是其他的数字端口，你就需要知道它确切的实际情况，比如域名地址、实际IP 地址的方位等等。打开“ CMD 命令” 窗口，输入ping - a IP 地址命令，对其IP 进行域名查询后，得知其IP 对应的域名情况。
然后进入IP 地址查询一类站点，将所得到的域名输入，进行查询后可知域名对应的IP 地址及物理地址（如图3 ）。目前系统没有跟美国有关系的应用软件，所以可以判定这是一个木马进程，而远程连接的IP 地址很可能是用来操控木马的肉鸡或者黑客的本机。

图3
三、检查注入类的木马
可能大家都会碰到过这种情况，其进程本身没有任何问题，但总是莫名其妙地打开可疑端口，弄得系统总被人入侵。想结束吧，害怕会影响到有关联的正常文件，所以很矛盾。其实我们可以根据进程调用的DLL 文件，核对描述信息逐一检查，很容易揪出捣乱的“ 罪魁祸首” 。
1. 检测DLL 文件产品信息
通常情况下安全进程加载到模块，都会有微软的“ Microsoft Corportaion ” 信息提示，由此也可判断它是否木马。运行Procexp 程序，在工具栏上点击“ View DLLs ” 按钮，然后就可在下面窗口显示出选中进程所调用的DLL 文件。从中你可逐一检查每个DLL 文件Company Name 栏，是否都是Microsoft Corportaion 的标志。如果遇到调用的文件信息为空或者其他公司，那么你就有必要怀疑它的安全性。
2. 通过版本信息来辨真伪
可能根据以上产品信息，对DLL 文件作判断有点太武断，如果怕弄错，你可以进一步分析。右键点击该进程或者DLL 文件，在弹出的属性对话框内，可以查询对应文件的相关信息。通常情况下，安全的文件都会有版本、公司、产品名称等信息，所以针对这种情况你可以查找一下，是否都具备以上信息条件。在非特殊情况下，倘若缺少任何一个信息，那么其文件就很有可能是木马。
3. 微软数字签名及“ 时间” 检测
这里不排除有些木马对以上文件的相关信息做了伪装，所以对于这类极难分辨的木马，我们可以通过观看微软数字签名，来识别文件的安全性。在Procexp 列表，右击可疑进程，选择“ Properties ” 选项，在弹出的属性对话框里，点击上方“ Image ” 标签，在显示的Image 页面内，可以看到其进程的描述信息。
其Verify 标签会显示出数字签名的验证信息，微软程序会提示“ ( Verified) Microsoft Windows Publisher ” 信息（如图4 ），如果不是的话，进程信息中会显示“ （not Verified ）” 信息。但是对于DLL 文件无法在Procexp 进行数字验证。

图4
因此这里只能通过文件“ 创建时间” 和“ 修改时间” 来作出判断。首先要知道系统正常DLL 文件创建的时间和修改时间，然后在系统目录下，找到与其不一样的DLL 文件时间，而这个文件就可以确定是木马DLL 文件。小提示：为了不让细心的用户发现木马进程运行，有很多木马作者在配置木马时，都会勾选上其木马运行的隐藏功能，这样当木马运行时不容易被发现其木马进程。我们可以用《 冰刃》 来查看隐藏进程，打开《 冰刃》 ，编辑区所显示的是当前系统运行的所有程序进程，如果有隐藏进程，其名称会以红色颜色标记上，而这类进程就有可能是为木马进程。