即使我们查找出了DLL插入进程，如果它是嵌入在系统基本进程中的，如“svchost.exe”等进程，我们是无法结束其运行的。

　　下面，将以实例演示一下线程插入类后门是如何在机器上运行的。我们以目前比较流行的“Devil4.exe”（魔鬼4号）程序为例。

　　运行“EditDevil4.exe”配置程序后，在显示界面中设置“配置文件”（即需要在目标上激活的可执行文件）、端口（可自定义，本例中为9000）、密码及插入进程（一般设置为系统基本进程，本例中为Explorer.exe）（图5）。配置完毕后，执行确认操作，使其生效。

图 5

　　一旦目标机器激活了配置好的程序，“Devil4.exe”将立即插入至指定进程中。我们可使用“fport v2.0”这款系统工具查看所有开放的TCP和UDP端口，并显示相应的应用程序（支持WinNT4/2000/XP）。运行“命令提示符”后，进入fport程序的存储路径，运行它。

　　大家注意查看其中的“Explorer.exe”进程，看到其TCP协议开放端口为适才笔者所定制9000端口，此时表明病毒进程插入成功（图6）。“Devil4.exe”后门本身具有删除程序，运行“DelDevil4.exe”程序后，就可清除驻留系统中的后门。

图 6

　　对于线程插入类木马的查杀，并非一件轻而易举的事，由于在配置插入进程时使用者可随意指定，因此，大家一定要安装杀毒软件并定期升级病毒库。

　　如果要手动查杀，则需要用户具有相当的知识水平与一定的经验积累。在此给大家推荐一款比较优秀的软件——进程间谍。利用它，可以查看窗口和子窗口句柄、ID、标题，以及父进程ID线程个数路径等，还可获知指定父进程的下属模块……我们要着重利用该程序的可查看DLL模块的功能，试图找出可疑的插入进程。

　　软件名称：进程间谍
　　软件版本：V1.0.2.1 
　　软件语言：简体中文 
　　软件类型：共享软件 
　　应用平台：Win9X/Me/2000/XP/2003
　　下载地址：http：//www.516688.net/bios/down/dpg1f.exe

　　运行《进程间谍》程序后，查看“进程树”标签页，点击“刷新进程”按钮，而后选择左侧列表的进程，当选定一个进程后，程序开始处理相关信息。我们切换到当前右侧视图中的“模块”标签页（图7），在此显示了很多该进程中插入的DLL线程，包括“模块名”（需要着重查看）、“基地地址”、“大小”及“进入口”。大家从中即可仔细排查可疑线程，例如广外女生的DLL插入线程是“%system32gwboydll.dll”。

图 7