前排提醒：本文纯技术分享，不含任何样本，请放心阅读。如有雷同，那你电脑可能也有问题（笑）。 
一、我是如何中马并发觉自己中马的？ 
昨天晚上闲着没事，开System Informer看了一下进程，列表里赫然躺着一个colorcpl.exe。等会，colorcpl.exe？ 
？？？ 
[图片] 
打开Ark一看……好好好，反射加载dll。 
掏出 Process Explorer 一看，好家伙，一个我不认识的日历进程YXCalendar.exe内存映射里躺着一个熟悉的陌生人：libcurl.dll。 
按理说 libcurl 出现倒也不奇怪，毕竟很多程序都要用。但问题是，这文件尺寸比正常的大了那么一丢丢……就一丢丢。多出来的那部分，不用想也知道是"房东加的隔断"。 
而且，libcurl是白加黑重灾区。 
更离谱的是，这东西在我电脑里不知道待了多久。可能是我装某破解软件的时候顺手带进来的，...