前两天朋友的服务器被人挂马了，很可能服务器系统也被人植入了木马，朋友把排查木马的这个艰巨任务交给了我。最后成功地将服务器上的木马借助工具手工清除。(由于当时的过程没有记录下来，所以以下的操作过程是虚拟机搭建的win2003环境，模拟木马清除全过程)。

　　首先经过某个服务器版杀毒软件的一番扫描后，没有查出任何木马，但是这个完全不能确定服务器上没有被植入木马，接着查看进程，没有可疑的进程出现，查看进程只能对付一些没有插入进程的木马。最好的排查方式是查看端口，凌晨两点网站访问的人也十分少，索性关闭了IIS，以及所有可能进行网络连接的程序，通过冰刃1.22查看到了，一个对外连接的80端口开放，IIS已经关闭，服务器上也没有访问任何网站，显然这个80端口很可能是木马的对外连接。图1

　　图1

　　而且很明显是svchost.exe这个进程打开了80端口，更可疑了，甚至可以判定，是某个DLL插入型木马插入到了svchost.exe这个进程，在以某个模块的身份运行。

　　很高兴的是，在此之前我经常让朋友备份服务器上的加载模块快照，在此时派上用场，通过这些快照可疑迅速的找到可疑的被加载的DLL模块。在这里说一下如何创建进程加载模块快照，在“开始”?“运行”里输入msinfo32.exe，紧接着片打开了一个程序窗口，接着按照下面的方式进行建立，在左侧下拉列表菜单中选择“软件环境”?“加载的模块”，就可以查看到所有进程加载的模块，如图2

　　图2

　　然后点击下名称，使列表按照名称排列，都按照此方式，方便以后对照。