还可以查看使用端口所对应的进程来进一步确认,这就需要加上参数“-O”,运行“Netstat –ao”命令就会显示一个所有的有效连接信息列表,并给出端口对应的PID号。 内容来自dedecms
四、 FIND——捆绑克星
dedecms.com
相信许多人都上过文件捆绑木马的当,表面看起来是一张漂亮MM的图片,而暗地里却隐藏着木马,这种通过文件捆绑进行隐藏是木马的惯用伎俩。而对可疑文件进行必要的检查及时处理往往就能防止产生更严重的后果,于是网上也出现了一些检查捆绑文件的工具。 织梦好,好织梦
在Windows中,也可通过命令行巧妙地进行简单的检查。这里要用到字符串搜索命令——FIND,它的主要功能是在文件中搜索字符串,可以利用它进行捆绑文件的检查。方法为:在命令行下运行“FIND /C /I "This program" 待查文件的路径 ”(不包括外面的引号),如果是EXE文件,正常情况下返回值应该为“1”,如果出现大于1的情况,你就必须小心了;如果是图片之类的不可执行文件,正常情况下返回值应该为“0”,如果出现大于0的情况,就应该引起注意。 内容来自dedecms
五、 NTSD——强力终结者 本文来自织梦
如今的病毒越来越狡猾,经常出现即使你能找到它的进程,却不能结束的情况。用任务管理器和前面提到的TASKKILL命令都没有办法中止。当然可以使用进程管理工具,如功能强大Process Explorer等。而实际上使用Windows自带的一个秘密工具就能强制结大部分进程,包括一些十分顽固的进程,这就是NTSD命令。 织梦好,好织梦
在命令行中运行以下命令: 织梦好,好织梦
ntsd -c q -p PID
copyright dedecms
最后那个PID指要终止的进程的ID。如果不知道进程的ID,可通过Tasklist命令进行查看。利用NTSD命令,除了System、SMSS.EXE和CSRSS.EXE等极少核心进程不能杀外,其它进程都可以强行结束。 dedecms.com
六、 FTYPE——文件关联修复专家 织梦好,好织梦
和文件捆绑一样,篡改文件关联也是病毒或木马的惯用伎俩,通常的恢复方法主要是通过修改注册表,但注册表操作通常比较麻烦而且容易出错,另一个更方便的方法是使用命令行工具——FTYPE,利用它可以非常轻松地恢复文件关联。比如exefile的文件关联最容易被修改,它的正常的文件关联为:"%1" %* 。恢复的时候,只需在命令行中运行下列命令:“ftype exefile="%1" %* ”就可以了。如果要修复txtfile的文件关联,只需输入:“ftype txtfile= %SystemRoot%\system32\NOTEPAD.EXE %1 ”即可。
copyright dedecms
七、FC——注册表监控器 本文来自织梦
许多病毒木马都把注册表当作攻击对象,如上面提到的文件关联篡改,而现在所谓的流氓软件之流的不安分的软件在注册表中添加本不应该添加的项值,因而注册表监控就变成十分必要了。于是出现了许多注册表监控类软件,其实我们完全可以仅用Windows系统提供的工具完成该功能。 本文来自织梦
下面以监控安装软件过程对注册表做的修改为例介绍如何实现“监控”: 织梦好,好织梦
首先,可以在安装软件前备份一次注册表(存储为REG文件,如1.reg),安装后再导出注册表文件(2.reg)然后再在Windows XP的命令提示行下执行下列命令: 内容来自dedecms
D:\>fc /u 1.reg 2.reg>changes.txt
dedecms.com
随后在D盘根目录下打开changes.txt文件,即可清楚地查看该软件对注册表添加了哪些子项,做了什么修改。上例中的安装软件是一个特定的时刻,你可能用此方法分析任一时刻注册表可能发生的变化。 copyright dedecms
怎么样,有了这一群命令行下随时等待召唤的抗毒精英,以后对抗病毒也就更有效、更方便,病毒木马们也就难逃法网了。 本文来自织梦