实验需要，我们放过该木马，允许它运行。

    启动QQ运行，并查看其进程模块，可以看到，进程空间内qn911.sys已经无法注入到QQ的进程中去。看来，终截者对ShellExecuteHook方式的线程注入还是有防御手段是非常成功有效的。既然qn911.sys不能注入到QQ进程空间中，那么截取密码当然也就无从谈起了。我们在查看指定接收密码的邮箱，里面自然一无所获。

    就这样一场QQ密码的攻防战就在用户毫不知情的状况中发生和结束了。

    用户唯一的线索大概就要到关闭QQ时，查看详细信息时才能从模块信息列表中看到木马曾经来过的蛛丝马迹。

    乘胜追击

    各位看官看到这，相比结果已经明了了，接下来就是打扫战场的工作了。从前面的木马分析中可以看到，木马残留在系统中有两个文件

    C:Program FilesInternet ExplorerPLUGINSqn911.sys

    C:Program FilesInternet ExplorerPLUGINSqn911.dll

    所以用户要做的事情就是删除这两个文件。但qn911.sys还在其他进程中运行，此时是不能删除的。