早在幾年前就有先知先覺的網友感歎道人在網上漂哪能不中標如今電腦中招更是成了家常便飯面對來勢洶洶的病毒木馬們殺毒軟件和防火牆自然是一個都不能少但有時還是有許多僅僅依靠殺毒軟件和防火牆對付不了的頑固分子這時該怎麼辦呢?其實在Windows系統的命令行中已為我們提供了一些非常有用的工具充分利用就會變成我們對抗病毒的強力武器下面我們就來看看命令行下的強力抗毒武器
一TASKLIST——火眼金睛
如今的病毒越來越狡猾常常不見首也不見尾但許多病毒往往在進程這一環節中露出狐狸尾巴因而查看進程是查殺病毒的一個重要的方法命令行提供了進程查看的命令工具——Tasklist(Windows XP或更新版本)此命令與任務管理器一樣可以顯示活動進程的列表但通過使用參數可以看到任務管理器查看不到的信息可以實現更強大的功能使用參數/M運行Tasklist /M將顯示每個任務加載的所有的DLL模塊(如圖)使用參數/SVC運行Tasklist /SVC命令則會顯示每個進程中活動服務的列表(如圖)從中可以看到進程svchostexe加載的服務通過服務就能分辨出究竟是不是惡意病毒進程此外還能利用Tasklist命令來查看遠程系統的進程如在命令提示符下輸入Tasklist /s /u friend /p (不包括引號)即可查看到IP地址為的遠程系統的進程其中/s參數後的指要查看的遠程系統的IP地址/u後的friend指Tasklist命令使用的用戶賬號它必須是遠程系統上的一個合法賬號/p後的指friend賬號的密碼這樣網管進行遠程查殺病毒也就方便多了
二TASKKILL——進程殺手
有了Tasklist這雙火眼金睛許多病毒就現身了但更重要的不是找出病毒而是要清除它們這時另一個命令——TASKKIL就派上用場了例如想結束某個進程只需從任務管理器中記下進程名運行下列命令即可TASKKILL /F /IM 進程名也可以通過連接PID的方式可先運行Tasklist命令記下進程的PID號在命令提符下輸入taskkill /pid PID號即可說到這裡恐怕有人要說這還不如直接利用任務管理器方便而實際上TASKKILL命令的獨門絕技就在於它能結束一些在任務管理器中不能直接中止的進程這時就要加上參數/F這樣就能強制關閉進程例如運行TASKKILL /F /pid 命令就能強制結束PID為的進程除此之外TASKKILL命令還能結束進程樹遠程進程指定篩選進或篩選出查詢的的進程具體操作可利用taskkill/?命令進行查看
三 Netstat——端口偵探
如今的木馬越來越多對用戶的威脅也越來越大於是出現許多專門用於木馬查殺的工具其實只要我們合理使用命令行下的Netstat命令就能查出大部分隱藏在電腦中的木馬
我們知道大部分木馬感染系統後都留有服務端口而這類服務端口通常都處於LISTENING狀態因而從端口的使用情況可以查到木馬的蹤跡而這利用Netstat命令就能輕松實現在命令行中運行Netstat –a這個命令將顯示一個所有的有效連接信息列表(如圖)包括已建立的連接(ESTABLISHED)也包括監聽連接請求(LISTENING)的那些連接其中Proto代表協議Local Address代表本機地址該地址冒號後的數字就是開放的端口號Foreign Address代表遠程地址如果和其它機器正在通信顯示的就是對方的地址State代表狀態顯示的LISTENING表示處於偵聽狀態就是說該端口是開放的由於木馬開啟後門成功後該後門處於LISTENING狀態因此你需要注意的就是處於LISTENING狀態的端口如果該端口號陌生而且端口號數很大你就應該有所警覺
還可以查看使用端口所對應的進程來進一步確認這就需要加上參數O運行Netstat –ao命令就會顯示一個所有的有效連接信息列表並給出端口對應的PID號
四 FIND——捆綁克星
相信許多人都上過文件捆綁木馬的當表面看起來是一張漂亮MM的圖片而暗地裡卻隱藏著木馬這種通過文件捆綁進行隱藏是木馬的慣用伎倆而對可疑文件進行必要的檢查及時處理往往就能防止產生更嚴重的後果於是網上也出現了一些檢查捆綁文件的工具
在Windows中也可通過命令行巧妙地進行簡單的檢查這裡要用到字符串搜索命令——FIND它的主要功能是在文件中搜索字符串可以利用它進行捆綁文件的檢查方法為在命令行下運行FIND /C /I This program 待查文件的路徑 (不包括外面的引號)如果是EXE文件正常情況下返回值應該為如果出現大於的情況你就必須小心了如果是圖片之類的不可執行文件正常情況下返回值應該為如果出現大於的情況就應該引起注意
五 NTSD——強力終結者
如今的病毒越來越狡猾經常出現即使你能找到它的進程卻不能結束的情況用任務管理器和前面提到的TASKKILL命令都沒有辦法中止當然可以使用進程管理工具如功能強大Process Explorer等而實際上使用Windows自帶的一個秘密工具就能強制結大部分進程包括一些十分頑固的進程這就是NTSD命令
在命令行中運行以下命令
ntsd c q p PID
最後那個PID指要終止的進程的ID如果不知道進程的ID可通過Tasklist命令進行查看利用NTSD命令除了SystemSMSSEXE和CSRSSEXE等極少核心進程不能殺外其它進程都可以強行結束
六 FTYPE——文件關聯修復專家
和文件捆綁一樣篡改文件關聯也是病毒或木馬的慣用伎倆通常的恢復方法主要是通過修改注冊表但注冊表操作通常比較麻煩而且容易出錯另一個更方便的方法是使用命令行工具——FTYPE利用它可以非常輕松地恢復文件關聯比如exefile的文件關聯最容易被修改它的正常的文件關聯為% %* 恢復的時候只需在命令行中運行下列命令ftype exefile=% %* 就可以了如果要修復txtfile的文件關聯只需輸入ftype txtfile= %SystemRoot%\system\NOTEPADEXE % 即可
七FC——注冊表監控器
許多病毒木馬都把注冊表當作攻擊對象如上面提到的文件關聯篡改而現在所謂的流氓軟件之流的不安分的軟件在注冊表中添加本不應該添加的項值因而注冊表監控就變成十分必要了於是出現了許多注冊表監控類軟件其實我們完全可以僅用Windows系統提供的工具完成該功能
下面以監控安裝軟件過程對注冊表做的修改為例介紹如何實現監控
首先可以在安裝軟件前備份一次注冊表(存儲為REG文件如reg)安裝後再導出注冊表文件(reg)然後再在Windows XP的命令提示行下執行下列命令
D:>fc /u reg reg>changestxt
隨後在D盤根目錄下打開changestxt文件即可清楚地查看該軟件對注冊表添加了哪些子項做了什麼修改上例中的安裝軟件是一個特定的時刻你可能用此方法分析任一時刻注冊表可能發生的變化
怎麼樣有了這一群命令行下隨時等待召喚的抗毒精英以後對抗病毒也就更有效更方便病毒木馬們也就難逃法網了
From:http://tw.wingwit.com/Article/Network/201311/29919.html
