之后在顶部的下拉菜单中选择“文件”?“导出”，将当前的列表导出为文本文件。这样就完成了备份，由于服务器配置完毕后很少在进行其他的软件安装，也很少更改当前的配置，所以这些被加载模块的名称一般是不变的。在这里还可以查看模块文件的创建日期等信息，对于一个隐蔽比较强的木马，一般在安装的时候都会把自身改成一个较早的文件日期，所以在查看文件创建信息的时候也没有查看到引起怀疑的信息。

　　接着拿出朋友以前备份的模块快照和当前的进行比对，发现了多了一个可疑的模块，名称为iasex，图3

　　图3

　　用记事本记录下了这个这个模块的名称，在Windows任务管理器中搜索这个文件，没有找到任何文件，这也是很常见的情况，现在的木马都很难缠，不会这么轻易的就被查找出来的，当然更不会就这么轻易的放弃，接下来借助冰刃查看system32目录下的所有文件终于找到了一个名为iasex.dll的文件，如图4

　　图4

　　这个文件在资源管理器中是搜索不到的。可以判定这个就是对比出来的被加载的模块。之后将这个文件复制出来。为了进一步确认一下这个文件到底是不是木马，可以用冰刃来查看打开80端口的svchost.exe所加载的模块里面是否有这个文件，查找过程过程：先在冰刃里记录打开80端口的svchost.exe的进程ID(图1中，进程ID为820)，之后在冰刃中查看进程，查看ID为820的进程，图5

　　图5