最近有一次调试网络时用一台笔记本，发现好像有木马，笔记本是公用的，操作系统是WIN XP，安装完系统后还未安装防火墙、杀毒一类的软件，中木马的可能性非常大，下面把抓木马的经过写出来，为了文章的可读性，先把过程写下来，最后附上本文所用软件的下载地及使用说明。

　　1、调试网络需要看连接，习惯地打开TCPView，看到如图1红框所示，有两个进程explorer.exe和rundll32.exe非常可疑，很多木马的进程都是这样的。

图1

　　2、如图2在命令窗口用tasklist /svc命令显示进程对应的服务，发现explorer.exe和rundll32.exe都不是系统服务。难道是木马？接着往下查。

图2

[1] [2] [3] 下一页