如何查詢系統是否中了木馬

1.通過啟動文件檢測木馬

一旦計算機中了木馬，則在開機時一般都會自動加載木馬文件，由于木馬的隱蔽性比較強，在啟動后大部分木馬都會更改其原來的文件名。如果用戶對計算機的啟動文件非常熟悉，則可以從Windows操作系統自動加載文件中分析木馬的存在并清除木馬，這種方式是最有效、最直接的檢測木馬方式。但是，由于木馬自動加載的方法和存放的位置比較多，對于初學者來說，處理起來比較有難度。

2.通過進程檢測木馬

由于木馬也是一個應用程序，一旦運行，就會在計算機系統的內存中駐留進程。因此，用戶可以通過系統自帶的“任務管理器”來檢測系統中是否存在木馬進程，具體的操作步驟如下。

• 在Windows操作系統中，按Ctrl+ Alt+Delete組合鍵，打開“任務管理器”窗口。

• 選擇“進程”選項卡，選中某個進程并右擊，從彈出的快捷菜單中選擇相應的菜單項，即可對進程進行相應的管理操作。

另外，用戶還可以利用進程管理軟件來檢查系統進程并發現木馬。常用的工具軟件是“Windows進程管理器”，該軟件可以更全面地對進程進行管理。其最大的特點是包含了幾乎全部的Windows系統進程和大量的常用軟件進程及不少的病毒和木馬進程。

使用Windows進程管理器查詢系統中木馬的具體操作步驟如下。

• 下載并解壓縮“Windows進程管理器”軟件后，可看到其中包含的4個文件。

雙擊“補丁”文件夾，打開“補丁”文件夾，在其中可以看到Windows進程管理器的補丁程序和補丁說明文件。

• 雙擊補丁應用程序，打開“Windows進程管理器補丁程序”對話框，在其中顯示了補丁介紹及詳細信息。

• 單擊“應用補丁”按鈕，即可應用補丁程序，并彈出“提示”對話框，提示用戶補丁應用成功。

• 單擊“確定”按鈕，關閉“提示”對話框。然后雙擊Windows進程管理器啟動程序，打開“Windows進程管理器”窗口。其中顯示了系統當前正在運行的所有進程，與“任務管理器”窗口中的進程列表是完全相同的。

• 在列表中選擇一個進程選項后，單擊“描述”按鈕，即可看到該進程的詳細信息。

• 單擊“模塊”按鈕，即可查看該進程的進程模塊。

• 在進程列表中右擊某個進程，在其中可以進行結束/暫停進程、查看屬性、刪除文件等操作。

提示： 按進程的安全等級進行了區分。①黑色表示的是正常進程（正常的系統或應用程序進程，安全）。②藍色表示可疑進程（容易被病毒或木馬利用的正常進程，需要留心）。③紅色表示病毒&木馬進程（危險）。

3.通過網絡連接檢測木馬

木馬的運行通常是通過網絡連接實現的，因此，用戶可以通過分析網絡連接來推測木馬是否存在，最簡單的辦法是利用Windows自帶的Netstat命令，具體的操作步驟如下。

• 右擊“開始”按鈕，在彈出的快捷菜單中選擇“運行”選項。

• 在彈出的對話框中，在“打開”文本框中輸入cmd命令。

• 單擊“確定”按鈕，打開“命令提示符”窗口。

• 在“命令提示符”窗口中輸入“netstat –a”，按Enter鍵，其運行結果如下圖所示。

提示： 參數“-a”的作用是顯示計算機中目前所有處于監聽狀態的端口。如果出現不明端口處于監聽狀態，而目前又沒有進行任何網絡服務的操作，則在監聽該端口的很可能是木馬。

回答所涉及的環境：聯想天逸510S、Windows 10。