七种强力抗毒武器

TASKLIST/FIND2007-01-09 10:41一、TASKLIST Tasklist(Windows XP 或更新版本)。此命令与任务管理器一样可以显示活动进程的列表。 但通过使用参数，可以看到任务管理器查看不到的信息 Tasklist /M 将显示每个任务加载的所有的 DLL 模块 Tasklist /SVC 显示每个进程中活动服务的列表，通过服务就能分辨出究竟是不是恶意病毒进程。 Tasklist /s 208.202.12.206 /u friend /p 123456”(不包括引号)即可查看到IP地址为 208.202.12.206的远程系统的进程,。 其中/s参数后的“208.202.12.206”指要查看脑冻滔低车腎P地址，/u后的“friend”指 Tasklist命令使用的用户账号，它必须是远程系统上的一个合法账号，/p后的“123456”指 friend账号的密码。这样，网管进行远程查杀病毒也就方便多了。 二.TASKKILL TASKKILL /F /IM 进程名 你也可以通过连接PID的方式，可先运行“Tasklist”命令，记下进程的PID号，在命令提符下 输入“taskkill /pid PID号”即可。运行“taskkill /pid 1656”结束了 PID 为 1656 的进 程。说到这里恐怕有人要说这还不如直接利用任务管理器方便。而实际上TASKKILL命令的独门 绝技就在于它能结束一些在任务管理器中不能直接中止的进程，这时就要加上参数“/F”，这 样就能强制关闭进程， TASKKILL /F /pid 1606 能强制结束 PID 为 1656 的进程。除此之外，TASKKILL命令还能结束进程树、远程进程、指定 筛选进或筛选出查询的的进程，具体操作可利用“taskkill/?”命令进行查看。 三. Netstat Netstat –a 这个命令将显示一个所有的有效连接信息列表，包括已建立的连接(ESTABLISHED)，也包括监听 连接请求(LISTENING)的那些连接，如图4所示.其中Proto代表，Local Address代表本机地 址，该地址冒号后的数字就是开放的端口号，Foreign Address代表远程地址，如果和其它机器 正在通信，显示的就是对方的地址，State代表状态，显示的LISTENING表示处于侦听状态，就 是说该端口是开放的，由于木马开启后门成功后该后门处于LISTENING状态，因此你需要注意的 就是处于LISTENING状态的端口，如果该端口号陌生，而且端口号数很大，你就应该有所警觉。 Netstat –ao 命令就会显示一个所有的有效连接信息列表，并给出端口对应的PID号。 四. FIND 在Windows 中，也可通过命令行巧妙地进行简单的检查。这里要用到字符串搜索命令——FIND ，它的主要功能是在文件中搜索字符串，我们可以利用它进行捆绑文件的检查。 第 1 页 FIND /C /I "This program " 待查文件的路径 ”(不包括外面的引号)，如果是EXE文件，正常 情况下返回值应该为“1”，如果出现大于1的情况，你就必须小心了;如果是图片之类的不可执 行文件，正常情况下返回值应该为“0”，如果出现大于0的情况，就应该引起你的注意。 五. NTSD 在命令行中运行以下命令: ntsd -c q -p PID 最后那个PID指你要终止的进程的ID。当然如果你不知道进程的ID，可通过Tasklist命令，或只 需通过任务管理器->进程选项卡->查看->选择列->勾上"PID(进程标识符)"，然后就能看见了。 利用NTSD命令，除了System、SMSS.EXE和CSRSS.EXE等极少核心进程不能杀外，其它进程都可以 强行结束，几乎能达到IceSword相同的水平。 六. FTYPE 和文件捆绑一样，篡改文件关联也是病毒或木马的惯用伎俩，通常的恢复方法主要是通过修改 注册表，但注册表操作通常比较麻烦而且容易出错，而实际上在 Windows 系统中，有另一个更 方便的命令行工具——FTYPE，利用它可以非常轻松地恢复文件关联。比如exefile的文件关联 最容易被修改，它的正常的文件关联为:"%1" %* 。恢复的时候，只需在命令行中运行下列命 令:“ftype exefile="%1" %* ”就可以了。如果要修复txtfile的文件关联，只需输入:“ ftype txtfile= %SystemRoot%\system32\NOTEPAD.EXE %1 ”即可。 七. FC——注册表监控器 大家都知道，许多病毒木马都把注册表当作攻击对象，如上面提到的文件关联篡改，而现在所 谓的流氓软件之流的不安分的软件在注册表中添加本不应该添加的项值，因而注册表监控就变 成十分必要的了。于是出现了许多注册表监控类软件，其实我们完全可以仅用Windows 系统提 供的工具就能实现监控(当然这样提到的监控主要是指检查出某个时刻究竟注册表发生的变化) 。 下面就以监控安装软件过程对注册表做的修改为例介绍如何实现“监控”: 首先，我们可以在安装软件前备份一次注册表(存储为REG文件，如1.reg)，安装后再导出 注册表文件(2.reg)然后再在Windows XP 的命令提示行下执行下列命令: D:>fc /u 1.reg 2.reg>changes.txt 在D盘根目录下再打开changes.txt文件，即可清楚地查看该软件对注册表添加了哪些子 项，做了什么修改了。上例中的安装软件是一个特定的时刻，你可能用此方法分析任一时刻注 册表可能发生的变化。 怎么样，通过上面的命令行下七种强力抗毒武器，你还是对命令行的功能有了更新的认识 了呢?有了这一群命令行下随时等待召唤的抗毒精英，以后对抗病毒也就更有效、更方便，病毒 木马们也就难逃法网了。 第 2 页