我们可看到“定义文件列表”中显示的是程序预置的定义级别及其功能说明。可根据个人机器的程序运行情况，自行添加定义。例如，平日经常使用“Virtual PC”虚拟机等程序，可将它设置为“正常文件”。在“添加文件定义”弹出窗口中（图3），输入“程序名称”及“功能说明”并定义级别即可。另外，也可将已知的木马进程添加为“危险文件”。最后，点击“确定并保存设置”按钮。经过这一番定制后，哪些进程存在问题就一目了然了。

图 3

我们在程序中执行的各项操作，将会被自动记录下来，大家在“柳叶日志”中可以查看（图4）。

图 4

揭露进程伪装术

木马伪装技术的发展可谓日新月异，由进程隐藏到进程插入，使得在查杀方面越来越难以应付了。一般具有进程插入功能的木马会把自身注入其它应用程序的地址空间，而这个应用程序对于系统来说，是一个绝对安全的程序。

即使我们查找出了DLL插入进程，如果它是嵌入在系统基本进程中的，如“svchost.exe”等进程，我们是无法结束其运行的。

下面，将以实例演示一下线程插入类后门是如何在机器上运行的。我们以目前比较流行的“Devil4.exe”（魔鬼4号）程序为例。

运行“EditDevil4.exe”配置程序后，在显示界面中设置“配置文件”（即需要在目标上激活的可执行文件）、端口（可自定义，本例中为9000）、密码及插入进程（一般设置为系统基本进程，本例中为Explorer.exe）（图5）。配置完毕后，执行确认操作，使其生效。

图 5