最近有一次调试网络时用一台笔记本，发现好像有木马，笔记本是公用的，操作系统是WIN XP，安装完系统后还未安装防火墙、杀毒一类的软件，中木马的可能性非常大，下面把抓木马的经过写出来，为了文章的可读性，先把过程写下来，最后附上本文所用软件的下载地及使用说明。
　　1、调试网络需要看连接，习惯地打开TCPView，看到如图1红框所示，有两个进程explorer.exe和rundll32.exe非常可疑，很多木马的进程都是这样的。

　　图1

　　2、如图2在命令窗口用tasklist /svc命令显示进程对应的服务，发现explorer.exe和rundll32.exe都不是系统服务。难道是木马？接着往下查。

　　3、先查rundll32，打开procexp.exe进程管理软件，点击rundll32进程，出现图3界面。看到图中红圈的数字吗？3721！看来是3721的插件，验证一下，打开IE中：工具->Internet->选项->常规->设置->查看对象， 出现图4界面，果然有3721的插件。看来rundll32不是木马进程了，我记得百度伴侣也是用的这个进程。

　　图3

　　图4

　　4、接着查explorer.exe，如图5所示，这时用TCPView看到explorer.exe居然和131.107.103.243这个地址建立了连接，是反弹型木马？第一反应是切断网，但一想本机没有什么可窃取的，还是接着查吧，到萍心网IP查询http://dheart.51.net/ip/，输入131.107.103.243地址后，你猜是哪的地址？显示的是Microsoft公司，不会吧？又到了几个IP查询的网址查询还是显示是Microsoft，难道是微软的一个什么服务？但是从图2中又没有显示服务名称。在IE中输入此地址，没有网页显示，在命令窗口输入telnet 131.107.103.243 80 出现黑屏，接着输入get命令，出现图6显示的内容，看来是个web服务，不是木马控制程序，那是什么呢？找来杀毒软件和木马克星，杀完毒后确实有木马也杀掉了，重启计算后explorer.exe进程依然处于Listing(侦听)状态，又想了很多办法，启动进程管理软件procexp.exe，点击explorer.exe进程，出现图7界面，看路径不像有什么问题，它是哪个服务用的吗？如图8所示，在TCPview中结束该进程，结束时发现如图9所示fxssvc.exe也跟着动起来了，是fxssvc.exe调用的？

　　图5

　　图6

　　图7

　　图8

　　图9

　　5、在命令窗口接着用tasklist /svc命令查看fxssvc.exe对应的服务，如下显示fxssvc.exe是Fax（传真）服务程序。

　　fxssvc.exe 584 Fax’

　　接着输入net stop fax停止fax服务。如下显示服务停止。

　　Fax 服务正在停止.

　　Fax 服务已成功停止。

　　停止fax服务后，把该服务改为手工启动，重启计算机后TCPview显示没有explorer.exe进程处于Listing(侦听)状态。

　　看来是虚惊一场，虽然没有抓住"马"，但我想抓马的过程还是有点借鉴作用的，所以写出此文，希望对你捉马有些帮助，顺便提一句，explorer是系统的正常进程，但很多木马也起成相同或相似的名字，系统启动后该进程就存在但一般不做网络连接，在TCPView中看到该进程处于LISTENING(侦听)和ESTABLISHED（连接）状态时一定要格外注意。

　　6、本文用到的软件和命令。

　　1)TCPView
　　下载地：http://www.mydown.com/soft/115/115304.html

　　使用方法请参见拙作：端口·木马·安全·扫描·震荡波

　　2）procexp.exe

　　下载地：http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

　　我写此文用的是procexp.exe 5.0，从上面的地址下载后发现版本已是8.4了，而且功能增加了不少，特别是增加了TCP/IP的连接功能，也就是说有了TCPView的功能，非常棒，使用方法很简单，快点下一个用用吧，肯定不会失望的。

　　3）tasklist命令

　　该命令是windows系统自带的命令，显示本地或远程机器上当前运行的进程列表，帮助里写的非常清楚，自己看吧。

　　4）net stop命令

　　该命令是windows系统自带的命令，作用是停止某个服务，用sc命令中的sc stop fax也行。

【转自世纪安全网 http://www.21safe.com】