步骤三：比较exe.txt和exe1.txt文件以及dll.txt和dll1.txt文件，运行CMD--fc exe.txt exe1.txt>change.txt & fc dll.txt dll1.txt>change.txt，如下图所示：

    对比后得到changedll.txt和changeexe.txt两个文件内容如下：

    changedll.txt：

    正在比较文件 dll.txt 和 DLL1.TXT

    ***** dll.txt

    2005-03-31 02:52a 36,924 php5apache.dll

    ***** DLL1.TXT

    2005-03-31 02:52a 417,792 fdftk.dll

    2005-03-31 02:52a 90,112 fribidi.dll

    2005-03-31 02:52a 346,624 gds32.dll

    2005-03-31 02:52a 36,924 php5apache.dll

    *****

    ***** dll.txt

    2005-03-31 02:52a 53,314 php5apache_hooks.dll

    3 个文件127,163 字节

    0 个目录505,454,592 可用字节

    ***** DLL1.TXT

    2005-03-31 02:52a 53,314 php5apache_hooks.dll

    6 个文件981,691 字节

    0 个目录475,787,264 可用字节

    *****

    其中我们只需看上面我加粗的部分，这部分内容为增加的文件。加粗部分上面一段dll.txt内容只显示一行信息2005-03-31 02:52a 36,924 php5apache.dll，其他文件内容信息省略了，这一行内容就代表了dll.txt中的内容，而加粗这部分DLL1.TXT中的2005-03-31 02:52a 36,924 php5apache.dll就代表了dll.txt中所有内容，剩下的就是我加粗了的文件了，即增加了的文件。

    changeexe.txt：

    正在比较文件 exe.txt 和 EXE1.TXT

    ***** exe.txt

    2005-12-04 11:59a 473,600 g5setup解码.exe

    2 个文件 27,246,080 字节

    0 个目录505,454,592 可用字节

    ***** EXE1.TXT

    2005-12-04 11:59a 473,600 g5setup解码.exe

    2005-12-04 12:02p 13,058,048 mpsetup.exe

    2004-10-30 09:11a 11,761,184 RealPlayer10-5GOLD_cn.EXE

    2005-12-04 12:02p 3,963,392 Winamp278cn_DFX_Blue.EXE

    5 个文件 56,028,704 字节

    0 个目录475,787,264 可用字节

    *****

    以上增加了的内容为：

    2005-12-04 12:02p 13,058,048 mpsetup.exe

    2004-10-30 09:11a 11,761,184 RealPlayer10-5GOLD_cn.EXE

    2005-12-04 12:02p 3,963,392 Winamp278cn_DFX_Blue.EXE

    步骤四：判断以上增加的内容是否是自己，曾经安装在test文件夹中的exe或者dll文件，如果不是则删除即可。

    结束语

    总而言之要查杀这类嵌入式木马最有效的办法就是文件对比法，除了上面介绍的一些缩小查找范围的办法外，用户还可以自己再发挥想象把范围缩至最小，从而更加准确的查杀此类嵌入式木马，让嵌入式木马在我们面前无法遁形。