藏於系統的抗毒英雄

七劍客：藏於系統的抗毒英雄

早在幾年前，就有先知先覺的網友感嘆道：人在網上漂，哪能不中標。而到如今，電腦中招更是成了家常便飯。面對這來勢洶洶病毒木馬們，防毒軟體和防火牆自然是乙個都不能少。但有時還是有許多僅僅依靠防毒軟體和防火牆對付不了的頑固分子，這時該怎麼辦呢？而你可曾知道，在 windows 系統的命令列中，已經為我們提供一些非常有用的工具，充分利用就會變成我們對抗病毒的強力**，我們就能更有效地對抗病毒。下面我們就來看看命令列下的強力抗毒**。

一、tasklist——火眼金睛

如今的病毒越來越狡猾，常常不見首也不見尾。但許多病毒往往在程序這一環節中露出狐狸尾巴，因而檢視程序是查殺病毒的乙個重要的方法。當然我們通過系統的任務管理器或其它功能更強大的程序檢視器來檢視分析程序，而實際上在命令列也提供了程序檢視的命令工具——tasklist(windows xp 或更新版本)。此命令與任務管理器一樣可以顯示活動程序的列表。但通過使用引數，可以看到任務管理器檢視不到的資訊，但通過運用引數，我們可以實現更強大的功能。使用引數「/m」，執行「tasklist /m」將顯示每個任務載入的所有的 dll 模組，如圖1所示;使用引數「/svc」，執行「tasklist /svc」命令則會顯示每個程序中活動服務的列表，如圖2，從中我們可以看到程序svchost.exe載入的服務，通過服務就能分辨出究竟是不是惡意病毒程序。此外，我們還能利用tasklist命令來檢視遠端系統的程序，例如在命令提示符下輸入「tasklist /s 208.202.12.206 /u friend /p 123456」(不包括引號)即可檢視到ip位址為208.202.12.206的遠端系統的程序,。其中/s引數後的「208.202.12.206」指要檢視的遠端系統的ip位址，/u後的「friend」指tasklist命令使用的使用者賬號，它必須是遠端系統上的乙個合法賬號，/p後的「123456」指friend賬號的密碼。這樣，網管進行遠端查殺病毒也就方便多了。

tasklist命令

二.taskkill——程序殺手

有了tasklist這雙火眼金睛，許多病毒就現身了，但更重要的不是找出病毒，而是還要清除它們，這時另乙個命令——taskkil也就能派上用場了。例如想結束某個程序，只需從任務管理器中記下程序名，執行下列命令即可:「taskkill /f /im 程序名」;你也可以通過連線pid的方式，可先執行「tasklist」命令，記下程序的pid號，在命令提符下輸入「taskkill /pid pid號」即可。如圖3，執行「taskkill /pid 1656」結束了 pid 為 1656 的程序。說到這裡恐怕有人要說這還不如直接利用任務管理器方便。而實際上taskkill命令的獨門絕技就在於它能結束一些在任務管理器中不能直接中止的程序，這時就要加上引數「/f」，這樣就能強制關閉程序，例如執行「taskkill /f /pid 1606」命令就能強制結束 pid 為 1656 的程序。除此之外，taskkill命令還能結束程序樹、遠端程序、指定篩選進或篩選出查詢的的程序，具體操作可利用「taskkill/?」命令進行檢視。

taskkill命令

三. netstat——埠偵探

如今的木馬越來越多，造成的威脅也越來越大，於是出現許多專門用於木馬查殺的工具。其實只要我們合理使用命令列下的netstat命令就能查出大部分隱藏在電腦中的木馬。我們知道，大部分木馬感染系統後都留有服務埠，而這類服務埠通常都處於listening狀態,因而從埠的使用情況可以查到木馬的蹤跡，而這利用netstat命令就能輕鬆實現。在命令列中執行「netstat –a」，這個命令將顯示乙個所有的有效連線資訊列表，包括已建立的連線(established)，也包括監聽連線請求(listening)的那些連線，如圖4所示.其中proto代表協議，local address代表本機位址，該位址冒號後的數字就是開放的埠號，foreign address代表遠端位址，如果和其它機器正在通訊，顯示的就是對方的位址，state代表狀態，顯示的listening表示處於偵聽狀態，就是說該埠是開放的，由於木馬開啟後門成功後該後門處於listening狀態，因此你需要注意的就是處於listening狀態的埠，如果該埠號陌生，而且埠號數很大，你就應該有所警覺。你還可以檢視使用埠所對應的程序來進一步確認，這就需要加上引數「-o」,執行「netstat –ao」命令就會顯示乙個所有的有效連線資訊列表，並給出埠對應的pid號。

netstat命令

四. find——**克星

相信許多人都上過檔案**木馬的當，表面看起來是一張漂亮mm的，而暗地裡卻隱藏著木馬，這種通過檔案**進行隱藏是木馬的慣用伎倆。而對可疑檔案進行必要的檢查及時處理往往就能防止產生更嚴重的後果，於是網上也出現了一些檢查**檔案的工具。而實際上，在windows 中，也可通過命令列巧妙地進行簡單的檢查。這裡要用到字串搜尋命令——find，它的主要功能是在檔案中搜尋字串，我們可以利用它進行**檔案的檢查。方法為:在命令列下執行「find /c /i "this program " 待查檔案的路徑」(不包括外面的引號)，如果是exe檔案，正常情況下返回值應該為「1」，如果出現大於1的情況，你就必須小心了;如果是之類的不可執行檔案，正常情況下返回值應該為「0」，如果出現大於0的情況，就應該引起你的注意。

五. ntsd——強力終結者

如今的病毒越來越狡猾，經常出現即使你能找到它的程序，卻不能結束的情況用任務管理器和前面提到的taskkill命令都沒有辦法中止。當然我們可以使用程序管理工具，比如功能強大process explorer、icesword。而實際上使用windows自帶的乙個秘密工具就能強制結大部分程序，包括一些十分頑固的程序，這就是ntsd命令。

在命令列中執行以下命令:

ntsd -c q -p pid

最後那個pid指你要終止的程序的id。當然如果你不知道程序的id，可通過tasklist命令，或只需通過任務管理器->程序選項卡->檢視->選擇列->勾上"pid(程序識別符號)"，然後就能看見了。

利用ntsd命令，除了system、smss.exe和csrss.exe等極少核心程序不能殺外，其它程序都可以強行結束，幾乎能達到icesword相同的水平。

六. ftype——檔案關聯修復專家

和檔案**一樣，篡改檔案關聯也是病毒或木馬的慣用伎倆，通常的恢復方法主要是通過修改登錄檔，但登錄檔操作通常比較麻煩而且容易出錯，而實際上在 windows 系統中，有另乙個更方便的命令列工具——ftype，利用它可以非常輕鬆地恢復檔案關聯。比如exefile的檔案關聯最容易被修改，它的正常的檔案關聯為:"%1" %* 。恢復的時候，只需在命令列中執行下列命令:「ftype exefile="%1" %* 」就可以了。如果要修復txtfile的檔案關聯，只需輸入:「ftype txtfile= %systemroot%/system32/notepad.exe %1 」即可。

七. fc——登錄檔監控器

大家都知道，許多病毒木馬都把登錄檔當作攻擊物件，如上面提到的檔案關聯篡改，而現在所謂的流氓軟體之流的不安分的軟體在登錄檔中新增本不應該新增的項值，因而登錄檔監控就變成十分必要的了。於是出現了許多登錄檔監控類軟體，其實我們完全可以僅用windows 系統提供的工具就能實現監控(當然這樣提到的監控主要是指檢查出某個時刻究竟登錄檔發生的變化)。

下面就以監控安裝軟體過程對登錄檔做的修改為例介紹如何實現「監控」:

首先，我們可以在安裝軟體前備份一次登錄檔(儲存為reg檔案，如1.reg)，安裝後再匯出登錄檔檔案(2.reg)然後再在windows xp 的命令提示行下執行下列命令:

d:>fc /u 1.reg 2.reg>changes.txt

在d盤根目錄下再開啟changes.txt檔案，即可清楚地檢視該軟體對登錄檔新增了哪些子項，做了什麼修改了。上例中的安裝軟體是乙個特定的時刻，你可能用此方法分析任一時刻登錄檔可能發生的變化。

怎麼樣，通過上面的命令列下七種強力抗毒**，你還是對命令列的功能有了更新的認識了呢?有了這一群命令列下隨時等待召喚的抗毒精英，以後對抗病毒也就更有效、更方便，病毒木馬們也就難逃法網了。

藏於系統的抗毒英雄

民族融合的真正功臣閃耀於歷史的漢族英雄

唯一歷經五朝的皇妃，其印鑑藏於天津博物館

機櫃系統資料和業務的幕後英雄

藏於系統的抗毒英雄

民族融合的真正功臣 閃耀於歷史的漢族英雄

唯一歷經五朝的皇妃，其印鑑藏於天津博物館

機櫃系統 資料和業務的幕後英雄

相關推薦

民族融合的真正功臣閃耀於歷史的漢族英雄

機櫃系統資料和業務的幕後英雄