早在几年前就有先知先觉的网友感歎道人在网上漂哪能不中标如今电脑中招更是成了家常便饭面对来势汹汹的病毒木马们杀毒软件和防火墙自然是一个都不能少但有时还是有许多仅仅依靠杀毒软件和防火墙对付不了的顽固分子这时该怎么办呢?其实在Windows系统的命令行中已为我们提供了一些非常有用的工具充分利用就会变成我们对抗病毒的强力武器下面我们就来看看命令行下的强力抗毒武器
一TASKLIST——火眼金睛
如今的病毒越来越狡猾常常不见首也不见尾但许多病毒往往在进程这一环节中露出狐狸尾巴因而查看进程是查杀病毒的一个重要的方法命令行提供了进程查看的命令工具——Tasklist(Windows XP或更新版本)此命令与任务管理器一样可以显示活动进程的列表但通过使用参数可以看到任务管理器查看不到的信息可以实现更强大的功能使用参数/M运行Tasklist /M将显示每个任务加载的所有的DLL模块(如图)使用参数/SVC运行Tasklist /SVC命令则会显示每个进程中活动服务的列表(如图)从中可以看到进程svchostexe加载的服务通过服务就能分辨出究竟是不是恶意病毒进程此外还能利用Tasklist命令来查看远程系统的进程如在命令提示符下输入Tasklist /s /u friend /p (不包括引号)即可查看到IP地址为的远程系统的进程其中/s参数后的指要查看的远程系统的IP地址/u后的friend指Tasklist命令使用的用户账号它必须是远程系统上的一个合法账号/p后的指friend账号的密码这样网管进行远程查杀病毒也就方便多了
二TASKKILL——进程杀手
有了Tasklist这双火眼金睛许多病毒就现身了但更重要的不是找出病毒而是要清除它们这时另一个命令——TASKKIL就派上用场了例如想结束某个进程只需从任务管理器中记下进程名运行下列命令即可TASKKILL /F /IM 进程名也可以通过连接PID的方式可先运行Tasklist命令记下进程的PID号在命令提符下输入taskkill /pid PID号即可说到这里恐怕有人要说这还不如直接利用任务管理器方便而实际上TASKKILL命令的独门绝技就在于它能结束一些在任务管理器中不能直接中止的进程这时就要加上参数/F这样就能强制关闭进程例如运行TASKKILL /F /pid 命令就能强制结束PID为的进程除此之外TASKKILL命令还能结束进程树远程进程指定筛选进或筛选出查询的的进程具体操作可利用taskkill/?命令进行查看
三 Netstat——端口侦探
如今的木马越来越多对用户的威胁也越来越大于是出现许多专门用于木马查杀的工具其实只要我们合理使用命令行下的Netstat命令就能查出大部分隐藏在电脑中的木马
我们知道大部分木马感染系统后都留有服务端口而这类服务端口通常都处于LISTENING状态因而从端口的使用情况可以查到木马的蹤迹而这利用Netstat命令就能轻松实现在命令行中运行Netstat –a这个命令将显示一个所有的有效连接信息列表(如图)包括已建立的连接(ESTABLISHED)也包括监听连接请求(LISTENING)的那些连接其中Proto代表协议Local Address代表本机地址该地址冒号后的数字就是开放的端口号Foreign Address代表远程地址如果和其它机器正在通信显示的就是对方的地址State代表状态显示的LISTENING表示处于侦听状态就是说该端口是开放的由于木马开启后门成功后该后门处于LISTENING状态因此你需要注意的就是处于LISTENING状态的端口如果该端口号陌生而且端口号数很大你就应该有所警觉
还可以查看使用端口所对应的进程来进一步确认这就需要加上参数O运行Netstat –ao命令就会显示一个所有的有效连接信息列表并给出端口对应的PID号
四 FIND——捆绑克星
相信许多人都上过文件捆绑木马的当表面看起来是一张漂亮MM的图片而暗地里却隐藏着木马这种通过文件捆绑进行隐藏是木马的惯用伎俩而对可疑文件进行必要的检查及时处理往往就能防止产生更严重的后果于是网上也出现了一些检查捆绑文件的工具
在Windows中也可通过命令行巧妙地进行简单的检查这里要用到字符串搜索命令——FIND它的主要功能是在文件中搜索字符串可以利用它进行捆绑文件的检查方法为在命令行下运行FIND /C /I This program 待查文件的路径 (不包括外面的引号)如果是EXE文件正常情况下返回值应该为如果出现大于的情况你就必须小心了如果是图片之类的不可执行文件正常情况下返回值应该为如果出现大于的情况就应该引起注意
五 NTSD——强力终结者
如今的病毒越来越狡猾经常出现即使你能找到它的进程却不能结束的情况用任务管理器和前面提到的TASKKILL命令都没有办法中止当然可以使用进程管理工具如功能强大Process Explorer等而实际上使用Windows自带的一个秘密工具就能强制结大部分进程包括一些十分顽固的进程这就是NTSD命令
在命令行中运行以下命令
ntsd c q p PID
最后那个PID指要终止的进程的ID如果不知道进程的ID可通过Tasklist命令进行查看利用NTSD命令除了SystemSMSSEXE和CSRSSEXE等极少核心进程不能杀外其它进程都可以强行结束
六 FTYPE——文件关联修复专家
和文件捆绑一样篡改文件关联也是病毒或木马的惯用伎俩通常的恢复方法主要是通过修改注册表但注册表操作通常比较麻烦而且容易出错另一个更方便的方法是使用命令行工具——FTYPE利用它可以非常轻松地恢复文件关联比如exefile的文件关联最容易被修改它的正常的文件关联为% %* 恢复的时候只需在命令行中运行下列命令ftype exefile=% %* 就可以了如果要修复txtfile的文件关联只需输入ftype txtfile= %SystemRoot%\system\NOTEPADEXE % 即可
七FC——注册表监控器
许多病毒木马都把注册表当作攻击对象如上面提到的文件关联篡改而现在所谓的流氓软件之流的不安分的软件在注册表中添加本不应该添加的项值因而注册表监控就变成十分必要了于是出现了许多注册表监控类软件其实我们完全可以仅用Windows系统提供的工具完成该功能
下面以监控安装软件过程对注册表做的修改为例介绍如何实现监控
首先可以在安装软件前备份一次注册表(存储为REG文件如reg)安装后再导出注册表文件(reg)然后再在Windows XP的命令提示行下执行下列命令
D:>fc /u reg reg>changestxt
随后在D盘根目录下打开changestxt文件即可清楚地查看该软件对注册表添加了哪些子项做了什么修改上例中的安装软件是一个特定的时刻你可能用此方法分析任一时刻注册表可能发生的变化
怎么样有了这一群命令行下随时等待召唤的抗毒精英以后对抗病毒也就更有效更方便病毒木马们也就难逃法网了
