从系统命令下手，查看进程加载文件

    许多DLL木马往往都是通过Rundll32.exe系统进程加载到服务器系统中的，其实我们如果能够及时查清楚Rundll32.exe系统进程当前究竟调用的是什么DLL文件，就能将隐藏在系统中的一些DLL木马“揪”出来了，以防止其对服务器造成安全威胁。在查看Rundll32.exe系统进程究竟加载的是什么DLL文件时，可以使用Windows服务器系统自带的WMIC命令来实现，下面就是具体的查看步骤：
   
    首先单击系统桌面中的“开始”按钮，在弹出的系统“开始”菜单中执行“运行”命令，打开系统运行文本框，在其中输入字符串命令“WMIC”，单击回车键后，系统就会自动安装WMIC，并且将系统屏幕切换到MS-DOS窗口，同时DOS命令提示符变成“wmic:root\cli>”，如图3所示；

图3

    倘若发现目前的任务管理器窗口中存在Rundll32.exe系统进程时，我们只要在“wmic:root\cli>”命令提示符下输入字符串命令“process where[description="rundll32.exe"]”，单击回车键后我们就能在随后的结果界面中看到该系统进程所调用的DLL系统文件了。

    同样地如果我们要查看其他服务进程加载了哪些DLL文件时，只需要将上面字符穿命令中的“rundll32.exe”换成目标进程名称就可以了。倘若在“wmic:root\cli>”提示符下单纯地执行“process”命令的话，我们还能获取所有活动系统进程在当前状态下的命令行参数，通过这种方法我们往往能查看到任务管理器进程标签页面中无法显示的“隐形”进程。