【IT168 专稿】世界上没有绝对的安全，尽管你的机器里安有杀毒软件、防火墙等安全措施，但是一旦感染上“顽固不化”的病毒或者木马，恐怕它们也只能任由其不速之客的肆意破坏，十分恐怖。俗话说：“求人不如求自己，”倘若自己能有双识别病毒、木马的“慧眼”，即使是杀软查杀有“漏网之鱼”，也将不会驻留在系统太长时间。

    一、 常见木马的进程名称
    众所周知木马、病毒运行后，都会在系统中产生一个进程名称（插入型木马，暂且不算），实质这是木马在系统运行的成功标志。但是黑客为了掩盖木马的驻扎，会对其进程名称做以各种各样的伪装，例如把木马进程的名称，更改与系统极为相似的名称，让用户真假难辩，从而可以浑水摸鱼蒙混过关。一般常见伪装的木马进程，都会围绕svchost.exe、iexplore.exe、explorer.exe，以及winlogon.exe等系统进程展开扩展，比如把字母o改成极为相似的数字0，字母l改成数字１，举个伪装例子就像这样svch0st.exe、iexp1ore.exe、exp1orer.exe，如果不加以细心观察，就会很容易跟正常的系统进程混为一起，检查木马进程第一点就是要注意细心观察。

    二、 利用工具揪出伪装木马
    以上均为笔者经验之谈，可能对于新手来说有点“鸭子听雷”，不过没关系下面将会为大家，推荐几款优秀的木马检查工具，让新手朋友也能一眼就识别出真假木马。

    1.利用Process Explorer工具，揪出进程里的木马
    首先闪亮出场的是Process Explorer工具，它是一款进程监视工具，其功能不止局限于任务管理器里的监视、暂停、终止进程操作，而且还有查看进程调用的DLL文件功能。如果遇到不熟悉的进程，还可以通过软件增设的Google和MSN搜索进行身份查询，让你绝对不会错杀任何一个“好人”。这里可以用Procexp替换系统任务管理器，打开“Procexp”查看界面，选择“Options”菜单里的“Replace Task Manager”选项，以后你在使用Ctrl+Alt+Del组合键时，弹出的就会是“Procexp”监控对话框。由于有些木马监视系统进程，会对弹出的Procexp监控程序进行破坏，所以你要将其所运行的监视文件改名。另外Procexp程序界面，显示进程分为两类，一种是系统内核进程，一种是普通程序进程，系统进程树名为System idle process（如图1），

查看系统进程

    其余都是普通程序进程，对于安全问题来说，系统进程树名里的程序都是绝对安全的，反之普通程序可就要自己仔细检查来做以判断。根据笔者安装过的程序，发现在EXPLORER.EXE栏内，有一个与其系统进程相似的进程名称，貌似这种进程应该出现在System idle process栏里，所以出现在普通程序栏里就很可疑了，因此我们可以毫不犹豫的确定它就是木马进程。

    小提示：Process Explorer工具，把普通进程与系统进程分的很开，所以使的初学者只要考虑普通程序里的进程，就可轻松的将木马进程揪出。

    2.利用“智能杀毒伴侣”工具，检查木马进程
    智能杀毒伴侣工具，顾名思义是一款杀毒辅助软件，不过除了强悍的杀毒功能以外，它还具有强大的安全分析功能，能够支持隐藏进程检测，及进程创建监视拦截，来帮助用户分析出系统存在各种安全的隐患。打开“智能杀毒伴侣”客户端程序，默认选择的“进程管理”按钮，那就保持默认即可，那么此时编辑区所显示的就是当前系统中所有运行的程序进程（如图2），

当前系统所有运行的进程

    从图中可以清楚的看到杀毒伴侣已经为所有进程作好了标记，如果“安全”栏的里的标记为UN那么其进程就很有可能是木马进程，这里我们可以结合描述栏的相关信息，及其文件的路径，可轻松分辨出真假木马进程。倘若当你碰上了带有UN安全标记，却无描述信息的进程，一时间不知道咋办好，可以右击该进程，选择“用[Bai du]搜索”或者“用Google]搜索”选项，来调用出其进程的相关信息，作以参考再做判断就会轻松多了。