清除以服务启动DLL插入型木马

　　我们还可以借助一个功能更强大一些的工具Atool，这个工具可以直接看到服务幕后对应的模块，而冰刃最终看到的是某个进程启动，图8

　　图8

　　图8中最后的这个服务就是图7中我们排查到的服务，图8中的ATOOL直接显示出了模块名称。

　　最后我们清理系统中的残留文件首先，用冰刃删除System32下的1038953.bak和Iasex.dll，之后在“开始”?“运行”中输入regedit，打开注册表编辑器，当然你也可以借助冰刃来完成，之后在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 下删除Ias整个这一项，如图9，也就是删除木马的服务。

　　图9

　　这样整个木马的清除过程就完成了

　　小结：通过木马的种种迹象，最后得知这个木马的名字叫做“Gh0st RAT”，是一款远程控制木马，对服务器有所有的操作权限，包括文件的上传下载，屏幕查看，CMD命令执行，操作这款木马的黑客就像是在操作自己的电脑一样，这款木马是以DLL插入svchost.exe进程，之后以服务启动的，对于类似于这样的木马都可以按照本文的方式来清除。对于一个服务器管理者来说，仅仅有杀毒软件来防护木马是不够的，有些木马是黑客经过处理后对于杀软是免疫的，这样就需要养成比较好的习惯，例如经常给服务器的进程模块进行快照备份，在查找木马的时候就会事半功倍。