ghost520 发表于 2013-7-6 12:04:17

命令行轻松防病毒

      在不借助其他安全工具的情况下,系统自带的命令行或许就是你关键时刻的救命稻草,一起来看看如何利用命令行来反病毒。
1.Tasklist揪出可疑进程
          一般来说,病毒、木马运行后都是有进程的,因此,一些安全高手往往通过进程就能发现系统安全问题。常规的查看进程的方式就是打开了任务管理器,但是有些病毒木马会禁止任务管理器的运行,而且还有一些隐藏的进程在“进程标签”中是查看不到的,这种情况下tasklist这个命令就可以派上用场了。
          在“运行”中输入“cmd”并回车进入命令提示符窗口,然后输入tasklist,这样即可显示所有运行的程序。
          本机的进程显示结果由五部分组成:图像名(进程名)、PID、会话名、会话#、内存使用。这时候显示的进程信息比较简单,还不能从中判断出其有无危害。要判断进程是否有害,可以继续执行tasklist /m查看每个进程任务加载的DLL模块,运行tasklist /svc了解每个进程中活动服务的列表。通过某个具体的进程加载的DLL文件和服务,我们就可以揪出所属进程是否存在危害。
          Tasklist /pid 952
          对于一些系统进程来说,可以使用添加“/f”参数的方法来强行关闭。
          Tasklist /pid 952 /f
2.Ntsd结束病毒进程
          除了借助tasklist命令来结束进程外,ghost win7还可以通过Ntsd命令来结束可疑的病毒木马进程。与前面tasklist命令相似,要结束进程,我们首先需要运行tasklist查看进程的PID值,找到有害进程的PID值并将其记录下来,然后在命令行运行“ntsd –c q –p PID值”即可,通过这个命令可以将除系统核心进程外的所有进程都能关闭。
          提示:如果不喜欢tasklist命令来查看PID值,那么可以直接打任务管理器窗口,然后在“进程”标签中打开“查看”菜单,选择“选择列”命令,把“PID”项选中,这样在“进程”标签中就可以查看PID值了。
          此外,也可以使用命令“taskkill /im进程名”在DOS下杀除进程,如“askkill /im Explorer.exe”。
3.Find查看文件是否被捆绑
          中木马很多时候都是因为运行了一些来历不明的文件,而病毒木马就被捆绑在这些文件中,因此在运行这类文件之前,我们可以先用Find命令来看是否捆绑其它文件。
          在ghostxp命令提示符下输入“Find /c“This Program”检查的文件路径”,例如“Find /c”This Program”d:/1.doc”,命令执行后,如果显示为0表示正常,如果高于0则可能捆绑其它文件。如果检查的是EXE文件,那么返回的值则是1,高于1才认为是危险的。
4.FC检查注册表是否被篡改
          注册表也是很多病毒,木马经常光顾的地方,因此,建议大家在正常状态下先导出一个注册表备份,然后当你感觉系统出问题,被病毒破坏时,再次导出注册表,然后用FC命令进行比较即可。具体操作如下:
          运行“regedit”后打开注册表编辑器,然后选择根键后打开“文件”菜单下的“导出”命令,将正常的注册表导出一个备份文件。以后要检查时,只需要再次检查注册表,然后在命令提示符下运行“FC/u源文件.reg对比检查文件.reg>change.txt”,运行后我们只需要打开当前目录下的change.txe即可了解注册表改动的详细信息了。文章分享自ghost338.com。

19901314 发表于 2013-7-6 13:32:46

好东西 谢谢分享                        
页: [1]
查看完整版本: 命令行轻松防病毒