一旦目标机器激活了配置好的程序，“Devil4.exe”将立即插入至指定进程中。我们可使用“fport v2.0”这款系统工具查看所有开放的TCP和UDP端口，并显示相应的应用程序（支持WinNT4/2000/XP）。运行“命令提示符”后，进入fport程序的存储路径，运行它。

大家注意查看其中的“Explorer.exe”进程，看到其TCP协议开放端口为适才笔者所定制9000端口，此时表明病毒进程插入成功（图6）。“Devil4.exe”后门本身具有删除程序，运行“DelDevil4.exe”程序后，就可清除驻留系统中的后门。

图 6

小提示：如果大家要封杀可疑端口，可以使用Active Ports及DBPort之类的第三方端口工具。这两款软件均是图形化界面，操作方法非常类似。不仅可自动刷新进程，还能够立即关闭指定端口。对于线程插入类木马的查杀，并非一件轻而易举的事，由于在配置插入进程时使用者可随意指定，因此，大家一定要安装杀毒软件并定期升级病毒库。

如果要手动查杀，则需要用户具有相当的知识水平与一定的经验积累。在此给大家推荐一款比较优秀的软件——进程间谍。利用它，可以查看窗口和子窗口句柄、ID、标题，以及父进程ID线程个数路径等，还可获知指定父进程的下属模块……我们要着重利用该程序的可查看DLL模块的功能，试图找出可疑的插入进程。

软件名称：进程间谍

软件版本：V1.0.2.1

软件语言：简体中文

软件类型：共享软件

应用平台：Win9X/Me/2000/XP/2003

运行《进程间谍》程序后，查看“进程树”标签页，点击“刷新进程”按钮，而后选择左侧列表的进程，当选定一个进程后，程序开始处理相关信息。我们切换到当前右侧视图中的“模块”标签页（图7），在此显示了很多该进程中插入的DLL线程，包括“模块名”（需要着重查看）、“基地地址”、“大小”及“进入口”。大家从中即可仔细排查可疑线程，例如广外女生的DLL插入线程是“%system32gwboydll.dll”。

图 7

进程级别有高低

我们在使用MyIE 2浏览网页时，又同时运行了下载工具等。这种情况下，我们就可以通过相应的设置，使系统优先处理MyIE 2，为它分配更多的CPU资源。

按“Ctrl+Alt+Del”组合键，调出“Windows任务管理器”，查看“进程”标签页，选定其中希望优先处理的程序后，在其右键弹出菜单中选择“设置优先级→‘高’或‘高于标准’”（图8）。而其它在后台处理的程序，则可将进程设置为“低”或“低于标准”。

图 8

小提示：如果调节进程优先级别后，感觉CPU占用率过高，要实时还原为原来的级别，以免系统因资源耗尽而当机。