cómo de línea de comandos, con la línea en cualquier tiempo de espera para la siguiente llamada de este grupo de comandos de élite contra las drogas, después de luchar contra el virus se ha vuelto aún más eficaz, más convenientes, sino que también es difícil virus troyano Escapar de la red jurídica.
One, TASKLIST — — ojos llamativos
El virus se está volviendo cada vez más incómodo, a menudo sin ver el primero. Pero muchos virus tienden a exponer la cola del zorro en el proceso, por lo que ver el proceso es una forma importante de eliminar el virus. La línea de comandos proporciona la herramienta de comandos — — Tasklist (Windows XP o más reciente) para la visualización del proceso. Este comando, como el Administrador de tareas, muestra una lista de procesos activos. Pero al usar los parámetros, puede ver la información que el administrador de tareas no puede ver y puede lograr funciones más potentes. Utilice el parámetro y " /M ", ejecutar y " lista de tareas /M " se mostrarán todos los módulos DLL cada carga de trabajo; parámetro y " /SVC y ", ejecutar y " lista de tareas /SVC y " comando se mostrará en cada proceso Una lista de servicios activos, desde la cual puede ver el servicio cargado por el proceso svchost.exe, a través del servicio puede indicar si se trata de un proceso de virus malicioso. Además, se puede utilizar la lista de tareas del sistema para ver el proceso del sistema remoto, como el indicador de entrada de comando y " lista de tareas /s 208.202.12.206 /u amigo /p 123456 y " (sin las comillas) para ver la dirección IP 208.202. 12.206 El proceso del sistema remoto. En el que la /s parámetro y " 208.202.12.206 y " significa que la dirección IP para ver el sistema remoto, /u es y " amigo y " se refiere cuenta de usuario de comandos de lista de tareas, debe ser una cuenta válida en el sistema remoto, " 123456 " after /p se refiere a la contraseña de la cuenta de amigo. De esta manera, es mucho más conveniente para el administrador de la red eliminar y eliminar virus de forma remota.
dos, TASKKILL y mdash; — el proceso tiene asesino lista de tareas
este par de ojos, una gran cantidad de virus aparecido, pero lo más importante no es identificar el virus, pero para eliminarlas, a continuación, otro comando y mdash; — TASKKIL es muy útil. Por ejemplo, quiere terminar un proceso, sólo desde el Administrador de tareas, anote el nombre del proceso, puede ejecutar el siguiente comando: " TASKKILL /F /IM nombre del proceso y "; también se pueden ejecutar mediante la conexión de la forma PID y " primera; En la lista de tareas " comando, anote el número PID del proceso, ingrese "ldskkill /pid PID number" en el símbolo del sistema. Hablando de esto, me temo que algunas personas dicen que esto no es tan conveniente como usar el administrador de tareas directamente. La habilidades únicas comando realidad TASKKILL es que puede acabar con algunos del Administrador de tareas no se puede suspender directamente en el proceso, entonces debemos añadir parámetros " /F ", por lo que podemos forzar el proceso de apagado, como correr y " TASKKILL El comando /F /pid 1606 " forzará el proceso para finalizar el PID 1656. Además, el mando TASKKILL puede terminar el árbol de procesos, proceso remoto, especifique un filtro o filtrar en el proceso de consulta, la operación específica puede aprovechar y " taskkill /y "? Comando para visualizarla.
Tres, Netstat — — Detective de puertos
Hay más y más troyanos en la actualidad, y la amenaza para los usuarios es cada vez mayor, por lo que hay muchas herramientas dedicadas a la matanza de troyanos. De hecho, mientras usemos el comando Netstat debajo de la línea de comandos, podemos encontrar la mayoría de los troyanos ocultos en la computadora.
sabemos, han dejado la infección de Troya puerto de servicio después de la mayor parte del sistema, y este tipo de servicios son por lo general en el estado del puerto de escucha, y por lo tanto de la utilización de los puertos se pueden encontrar rastros de Troya, que será capaz de utilizar fácilmente Netstat . Y " ejecuta desde la línea de comandos; Netstat y ndash; a ", este comando se mostrará una lista de toda la información de conexión válida, incluyendo la conexión (lo establecido) se ha establecido, sino también a la escucha de peticiones de conexión (escuchar) de esas conexiones. En la que el Protocolo Proto representante, Dirección local en nombre de la dirección local, el número después de la dirección del colon es abrir el número de puerto, nombre Dirección de Asuntos Exteriores de la dirección remota, si otras máquinas se comunican, la pantalla es su dirección, Estado Estado representantes, la pantalla de escuchando la representación está escuchando, que el puerto está abierto, ya que los troyanos abrir la puerta de atrás después del éxito de la puerta de atrás en el estado de escucha, por lo que es necesario prestar atención a es el puerto en estado de escucha, si el número de puerto extraño, pero el número es el número de puerto Grande, deberías estar alerta.
También puede ver el uso del puerto correspondiente al proceso de confirmación posterior, que necesita agregar el parámetro y " -O y ", ejecutar y " Netstat y ndash; ao y " comando muestra una lista de TODAS LAS información de conexión válida, ya El número PID correspondiente al puerto de salida. Cuatro
, Encontrar y mdash; — némesis incluido
creen que muchas personas han sido archivados al estar empaquetados de Troya, MM superficie parece ser un cuadro bonito, pero el caballo de Troya en secreto escondido, que por el archivo de la agrupación Oculto es el truco habitual del troyano. Las verificaciones necesarias y el procesamiento oportuno de archivos sospechosos a menudo pueden evitar consecuencias más graves, por lo que algunas herramientas para verificar los documentos empaquetados han aparecido en Internet.
En Windows, también puede realizar una comprobación simple en la línea de comandos. Aquí necesitamos usar el comando de búsqueda de cadenas — — FIND, su función principal es buscar cadenas en el archivo, puede usarlo para verificar el archivo del paquete. Método: se ejecuta desde la línea de comandos y " FIND /C /I '' Este programa " archivos &" trayectoria buscó; (sin incluir las comillas externas), y si un archivo EXE, en circunstancias normales, el valor de retorno debe ser y " 1 y " si la situación es mayor que 1 aparece, hay que tener cuidado; si se trata de imágenes de archivos no ejecutables y similares, en circunstancias normales, el valor de retorno debe ser y " 0 ", si la situación es mayor que 0 aparece, debe tenerse en cuenta.
5, NTSD — — potente terminator
El virus de hoy se está volviendo cada vez más embarazoso, a menudo incluso si puede encontrar su proceso, pero no puede terminar. No hay forma de abortar con el Administrador de tareas y el comando TASKKILL mencionado anteriormente. Por supuesto, puede usar herramientas de administración de procesos como el poderoso Process Explorer. De hecho, el uso de una herramienta secreta que viene con Windows puede forzar la mayoría de los procesos, incluidos algunos procesos muy difíciles, que es el comando NTSD.
Ejecute el siguiente comando desde la línea de comandos:
ntsd -c q -p PID
El último PID se refiere al ID del proceso que se debe finalizar. Si no conoce el ID del proceso, puede verlo a través del comando Lista de tareas. Con el comando NTSD, a excepción de Sistema, SMSS.EXE y CSRSS.EXE, que rara vez eliminan los procesos centrales, otros procesos pueden ser forzados a finalizar.
seis, FTYPE y mdash; —
de asociación de archivo expertos en restauración y archivo de paquetes como instrumento para la manipulación de la asociación de archivos es un virus o un troyano truco, el método de recuperación habitual principalmente modificando el registro, pero la operación de registro es por lo general más problemas Y es fácil cometer errores. Otra forma conveniente es usar la herramienta de línea de comandos — — FTYPE, lo que hace que sea muy fácil recuperar las asociaciones de archivos. Por ejemplo, la asociación de archivos de exfile es la más fácil de modificar. Su asociación de archivos normal es: "% 1 "% *. Para recuperar, simplemente ejecute el siguiente comando desde la línea de comandos: " ftype exefile = "% 1 "% * " Si desea reparar txtfile archivos asociados, entra: " ftype txtfile =% SystemRoot% \\ system32 \\ NOTEPAD.EXE% 1 y " puede ser.
siete, FC y mdash; — registro de monitores Registro ¿Cuántas considerado como un troyano objetos de ataque de virus, tales como asociaciones de archivos mencionados anteriormente manipulación, y ahora inquieto llamado software calaña software falso Agregar valores de elementos que no deben agregarse al registro hace que la supervisión del registro sea una necesidad. Así que hay una gran cantidad de software de monitoreo de registro, de hecho, podemos usar completamente las herramientas provistas por el sistema de Windows para completar esta función.
La siguiente es una modificación del registro para monitorear el proceso del software de instalación como ejemplo para presentar cómo lograr el "monitoreo":
Primero, puede hacer una copia de respaldo del registro antes de instalar el software (almacenado como un archivo REG, como 1.reg ) y, a continuación, instalar el archivo de registro de exportaciones (2.rEG) y luego ejecutar el siguiente comando en el símbolo del sistema de Windows XP:
D: \\ > fc /u 1.rEG 2.rEG > changes.txt < Br> A continuación, abra el archivo changes.txt en el directorio raíz de la unidad D, puede ver claramente qué elementos secundarios agrega el software al registro y qué cambios se han realizado. El software de instalación en el ejemplo anterior es un momento específico, y puede usar este método para analizar los cambios que pueden ocurrir en el registro en cualquier momento.