Enseñarle a usar fácilmente y antivirus Compartir la élite antidrogas en la línea de comando

  

¿Qué tal, con este grupo de élites antidrogas de línea de comando que esperan ser convocadas en cualquier momento, será más efectivo y conveniente luchar contra los virus en el futuro, y los troyanos de virus no escaparán a la Internet francesa?

Primero, TASKLIST — — ojos llamativos

Hoy en día, el virus se está volviendo cada vez más vergonzoso, a menudo sin ver lo primero. Pero muchos virus tienden a exponer la cola del zorro en el proceso, por lo que ver el proceso es una forma importante de eliminar el virus. La línea de comando proporciona la herramienta de comando para que el proceso vea — — Tasklist (Windows XP o más reciente). Este comando, como el Administrador de tareas, muestra una lista de procesos activos. Pero al usar los parámetros, puede ver la información que el administrador de tareas no puede ver y puede lograr funciones más potentes. Al usar el parámetro " /M ", ejecutando " Tasklist /M " se mostrarán todos los módulos DLL cargados por cada tarea; use el parámetro " /SVC ", ejecute el comando " Tasklist /SVC " mostrará cada proceso Una lista de servicios activos, desde la cual puede ver el servicio cargado por el proceso svchost.exe, a través del servicio puede indicar si se trata de un proceso de virus malicioso. Además, puede usar el comando Lista de tareas para ver el progreso del sistema remoto, como ingresar "ldsklist /s 208.202.12.206 /u friend /p 123456" (sin las comillas) en el símbolo del sistema para ver que la dirección IP es 208.202. 12.206 El proceso del sistema remoto. El parámetro /s 208.202.12.206 " se refiere a la dirección IP del sistema remoto que se va a ver. Después de /u, <; friend " se refiere a la cuenta de usuario utilizada por el comando Tasklist, debe ser una cuenta legítima en el sistema remoto. " 123456 " after /p se refiere a la contraseña de la cuenta de amigo. De esta manera, es mucho más conveniente para el administrador de la red eliminar y eliminar virus de forma remota.

En segundo lugar, TASKKILL — — process killer

A los ojos de Tasklist, muchos virus han aparecido, pero es más importante no descubrir el virus, sino eliminarlos. Otro comando — — TASKKIL fue útil. Por ejemplo, si desea finalizar un proceso, simplemente escriba el nombre del proceso desde el administrador de tareas y ejecute el siguiente comando: <; TASKKILL /F /IM nombre del proceso "; También puede ejecutar el método conectándose al PID. En la lista de tareas " comando, anote el número PID del proceso, ingrese "ldskkill /pid PID number" en el símbolo del sistema. Hablando de esto, me temo que alguien diría que esto no es tan conveniente como usar el administrador de tareas directamente. De hecho, el único truco del comando TASKKILL es que puede finalizar algunos procesos que no se pueden suspender directamente en el administrador de tareas. En este caso, se agrega el parámetro "ld"; /F " para forzar el cierre del proceso, por ejemplo, ejecutando "TASKKILL". El comando /F /pid 1606 " forzará el proceso para finalizar el PID 1656. Además, el comando TASKKILL también puede finalizar el árbol de procesos, los procesos remotos y especificar el proceso de filtrado o filtrado de la consulta. La operación específica se puede ver con el comando "taskkill /? ".

Tercero, Netstat — — Detective de puertos

Los troyanos de hoy en día se están volviendo más y más, y la amenaza para los usuarios es cada vez más grande, por lo que hay muchas herramientas para los troyanos. De hecho, mientras usemos el comando Netstat debajo de la línea de comandos, podemos encontrar la mayoría de los troyanos ocultos en la computadora.

Sabemos que la mayoría de los troyanos tienen un puerto de servicio después de que infectan el sistema, y ​​dichos puertos de servicio generalmente están en el estado de ESCUCHAR, por lo que la traza de troyanos se puede encontrar en el uso del puerto, y esto usa el comando Netstat. Se puede implementar fácilmente. Ejecute " Netstat – a " en la línea de comando. Este comando mostrará una lista de toda la información de conexión válida, incluidas las conexiones establecidas (ESTABLECIDO), así como las conexiones que escuchan las solicitudes de conexión (ESCUCHANDO). Proto representa el protocolo, la dirección local representa la dirección local, el número después de los dos puntos es el número de puerto abierto y la dirección extranjera representa la dirección remota. Si se está comunicando con otras máquinas, se muestra la dirección de la otra parte y el estado representa el estado. ESCUCHANDO indica que el puerto está en el estado de escucha, es decir, el puerto está abierto. Dado que la puerta trasera está en el estado de ESCUCHAR después de que el troyano se haya abierto con éxito, debe prestar atención al puerto en el estado de ESCUCHAR. Si el número de puerto no es familiar y el número de puerto es muy grande, Grande, deberías estar alerta.

También puede verificar el proceso correspondiente al puerto para una confirmación adicional. Esto requiere agregar el parámetro " -O ", ejecutando " Netstat – ao " el comando mostrará una lista de toda la información de conexión válida. Y dar el número de PID correspondiente al puerto.

Cuatro, ENCUENTRE — — paquete nemesis

Creo que muchas personas han estado en el archivo Trojan incluido, la superficie parece una hermosa imagen MM, pero oculta dentro del Trojan, Este tipo de ocultación por enlace de archivos es un truco habitual para los troyanos. Las comprobaciones necesarias y el procesamiento oportuno de los archivos sospechosos a menudo pueden evitar consecuencias más graves, por lo que algunas herramientas para verificar los archivos empaquetados han aparecido en Internet.

En Windows, también puede realizar una comprobación simple en la línea de comandos. Aquí necesitamos usar el comando de búsqueda de cadenas — — FIND, su función principal es buscar cadenas en el archivo, puede usarlo para verificar el archivo del paquete. El método es: ejecute "ldIND; CIND /C /I" Este programa " la ruta del archivo que debe verificarse (excluyendo las comillas externas) debajo de la línea de comandos. Si se trata de un archivo EXE, el valor de retorno debe ser "1";, si hay una situación mayor que 1, debe tener cuidado; si se trata de un archivo no ejecutable, como una imagen, el valor de retorno normalmente debería ser "" 0 "", si hay más de 0, debe tenerse en cuenta.

V. NTSD — — Powerful Terminator

Los virus de hoy en día se están volviendo cada vez más rampantes, y a menudo hay situaciones en las que puedes encontrarlo, incluso si puedes encontrarlo. No hay forma de abortar con el Administrador de tareas y el comando TASKKILL mencionado anteriormente. Por supuesto, puede usar herramientas de administración de procesos como el poderoso Process Explorer. De hecho, el uso de una herramienta secreta que viene con Windows puede forzar la mayoría de los procesos, incluidos algunos procesos muy difíciles, que es el comando NTSD.

Ejecute el siguiente comando desde la línea de comandos:

ntsd -c q -p PID

El último PID se refiere al ID del proceso para finalizar. Si no conoce el ID del proceso, puede verlo a través del comando Lista de tareas. Con el comando NTSD, a excepción de Sistema, SMSS.EXE y CSRSS.EXE, que rara vez eliminan los procesos centrales, otros procesos pueden ser forzados a finalizar.

Seis, FTYPE — — experto en reparación de asociaciones de archivos

Al igual que la vinculación de archivos, la manipulación de las asociaciones de archivos también es un truco común para los virus o troyanos. El método de recuperación habitual es principalmente mediante la modificación del registro, pero Las operaciones de registro a menudo son complicadas y propensas a errores. Otro método conveniente es utilizar la herramienta de línea de comandos — — FTYPE, lo que facilita mucho la recuperación de las asociaciones de archivos. Por ejemplo, la asociación de archivos de exfile es la más fácil de modificar. Su asociación de archivos normal es: "% 1 "% *. Para recuperar, simplemente ejecute el siguiente comando desde la línea de comandos: " ftype exefile = "% 1 "% * " Si desea arreglar la asociación de archivos de txtfile, simplemente escriba: <; ftype txtfile =% SystemRoot% \\ system32 \\ NOTEPAD.EXE% 1 "

VII, FC — — monitor de registro

Muchos troyanos de virus utilizan el registro como un objeto de ataque, como la manipulación de la asociación de archivos mencionada anteriormente, y ahora el llamado software fraudulento El flujo de software inquieto agrega valores de elementos que no deben agregarse al registro, por lo que la supervisión del registro se vuelve necesaria. Así que hay una gran cantidad de software de monitoreo de registro, de hecho, podemos usar completamente las herramientas provistas por el sistema de Windows para completar esta función.

La siguiente es una modificación del registro para monitorear el proceso del software de instalación como ejemplo para presentar cómo lograr el "monitoreo":

Primero, puede hacer una copia de seguridad del registro antes de instalar el software (almacenado como REG Archivo, como 1.reg), después de exportar, exporte el archivo de registro (2.reg) y luego ejecute el siguiente comando en el símbolo del sistema de Windows XP:

D: \\ > fc /u 1. Reg 2.reg > changes.txt

Luego, abra el archivo changes.txt en el directorio raíz de la unidad D, puede ver claramente qué subelementos agrega el software al registro y qué cambios se han realizado. El software de instalación en el ejemplo anterior es un momento específico, y puede usar este método para analizar los cambios que pueden ocurrir en el registro en cualquier momento.

Copyright © Conocimiento de Windows All Rights Reserved