一、安装程序验身，木马后门不得入内

　　从网上下载各种软件程序，本身就是一种很危险的行为，许多下载站点网页被恶意者攻击挂马，或是在安装程序中捆绑木马。因此，首先对下载与安装程序过程进行了检测，看看是否包含木马病毒。

　　1.搭建测试环境

　　在进行测试前，笔者往往会先对当前系统备份。笔者最常用系统备份工具是“雨过天晴电脑保护系统”（如图1），这个软件可为系统建立多个还原点，可恢复到任何状态，还原速度不超过十秒钟，最适合进行软件安装测试。使用方法很简单，打开程序界面，点击左侧的“创建进度”按钮，输入进度名称为描述信息，确定后即可为当前系统创建一个备份。

图1 装个“雨过天晴”对电脑进行保护

　　同时，笔者在系统中安装了江民杀毒软件KV2006，并升级了最新的病毒库。然后点击菜单“工具”→“选项”，选择“实时监控”选项卡，开启病毒实时监控的所有项目。

　　2.检测下载网页及安装程序

　　因此在打开网页进行下载前，确定开启了杀毒软件网页实时监控项目（如图2），然后从测试网站上下载了一个安全工具，在下载过程中杀毒软件没有提示报警。然后在资源管理器中，右键点击下载来的工具压缩包，选择“江民杀毒”命令，进行彻底的病毒扫描，也未提示有病毒。

图2 江民提示没有病毒

二、监视安装过程，后门别想混进

　　确认开启了KV2006实时监控中的“文件监控”与“注册表监控”功能，开始安装下载的安全工具，在安装过程中KV2006未提示发现病毒，不过注册表监控功能有了提示（如图3）！

图3 注册表监有了提示

　　刚才安装程序对注册表动了什么手脚呢？点击KV2006界面菜单“工具”→“木马一扫光”，打开木马一扫光工具窗口。点击菜单“查看”→“拦截记录”，在中间的列表窗口中显示了被修改注册表键值是“HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Explorer\ Browser Helper Objects”，该注册表项用于管理IE插件的加载（如图4）。打开IE浏览器，看到工具栏中居然多出了一个“情色搜索”的按钮。

图4 IE工具栏多出了一个“情色搜索”

　　没办法，只好在“运行”中输入“regedit.exe”，执行后打开注册表管理器，找到拦截的注册表键，将其删除掉。最后再次用KV2006扫描程序的安装目录及整个系统，确认系统中没有感染木马及病毒，继续下面的检测。

三、勘察程序留下的脚印

　　有的程序虽然没有为系统带来木马和病毒，但是却无法完全彻底的卸载清除，会在系统中留下一些后门，悄悄记录用户私密数据。恢复干净的系统后，笔者进行了如下的卸载测试：

　　1.生成快照

　　在安装程序前，首先运行了快照工具Regshot（下载Regshot），设置“比较记录另存为HTML文档”；勾选“扫描”项，设置“快照目录”为“C:\”；在“输出路径”中设置对比文件保存在“D:\”。然后点击“摄取1”→“摄取并存档”命令，程序开始对当前系统文件及注册表情况生成快照（如图5）。

图5 生成系统快照

　　然后安装程序，运行一段时间后，将程序卸载掉，切换回Regshot程序。点击界面中的“摄取2”→“摄取并存档”命令，程序开始扫描程序卸载后的系统文件及注册表情况并生成快照文件。

　　2.快照对比

　　点击“比较”按钮，程序开始对比两次快照文件的不同，对比完毕自动打开比较记录文件。可以看到程序卸载后，未在硬盘中保留其它多余的文件，但是那个注册表键值还保留着的（如图6）。

图6 比较结果

四、检测伴生木马进程

　　有一些程序在运行时会同时在内存中解压并运行隐蔽的后门，因此检测程序的伴生进程是很重要的一个步骤。

　　1.生成进程记录文件

　　点击“开始”→“运行”菜单，执行“cmd.exe”命令，打开命令提示符窗口。在命令提示符下执行命令：“tasklist >D:\1.txt”，成功后将会在D盘下生成一个名为“1.txt”的文件，其中记录了当前系统中所有的进程名。