利用系统自带命令.docx

1、利用系统自带命令利用系统自带命令搞定:手动杀毒面面观上网最恐怖的事莫过于新病毒出来的时候，尽管电脑上我们都装有各种强大的杀毒软件，也配置了定时自动更新病毒库，但病毒总是要先于病毒库的更新的，所以中招的每次都不会是少数，这里列举一些通用的杀毒方法，自己亲自动手来用系统自带的工具绞杀病毒：一、自己动手前，切记有备无患用TaskList备份系统进程新型病毒都学会了用进程来隐藏自己，所以我们最好在系统正常的时候，备份一下电脑的进程列表，当然最好在刚进入Windows时不要运行任何程序的情况下备份，样以后感觉电脑异常的时候可以通过比较进程列表，找出可能是病毒的进程。在命令提示符下输入：TaskList

2、/fo:csvg:zc.csv上述命令的作用是将当前进程列表以csv格式输出到“zc.csv”文件中，g:为你要保存到的盘，可以用Excel打开该文件.二、自己动手时，必须火眼金睛用FC比较进程列表文件如果感觉电脑异常，或者知道最近有流行病毒，那么就有必要检查一下。进入命令提示符下，输入下列命令：TaskList /fo:csvg:yc.csv生成一个当前进程的yc.csv文件列表，然后输入：FC g:zccsv g:yc.csy回车后就可以看到前后列表文件的不同了，通过比较发现，电脑多了一个名为“Winion0n.exe”(这里以这个进程为例)不是“Winionon.exe”的异常进程。三、

3、进行判断时，切记证据确凿用Netstat查看开放端口对这样的可疑进程，如何判断它是否是病毒呢？根据大部分病毒（特别是木马）会通过端口进行对外连接来传播病毒，可以查看一下端口占有情况。在命令提示符下输入：Netstat -a-n-o参数含义如下：a:显示所有与该主机建立连接的端口信息n:显示打开端口进程PID代码o：以数字格式显示地址和端口信息回车后就可以看到所有开放端口和外部连接进程，这里一个PID为1756（以此为例）的进程最为可疑，它的状态是“ESTABLISHED”，通过任务管理器可以知道这个进程就是“Winion0n.exe”，通过查看本机运行网络程序，可以判断这是一个非法连接！连接参

4、数含义如下：LISTENINC：表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接，只有TCP协议的服务端口才能处于LISTENINC状态。ESTABLISHED的意思是建立连接。表示两台机器正在通信。TIME-WAIT意思是结束了这次连接。说明端口曾经有过访问，但访问结束了，用于判断是否有外部电脑连接到本机。四：下手杀毒时，一定要心狠手辣用NTSD终止进程虽然知道 “Winion0n.exe”是个非法进程，但是很多病毒的进程无法通过任务管理器终止，怎么办？在命令提示符下输入下列命令：ntsd c q-p 1756回车后可以顺利结束病毒进程。提示：“1756”为进程PID值，如果

5、不知道进程的ID，打开任务管理器，单击“查看选择列勾上PID（进程标识符）即可。NTSD可以强行终止除Sytem,SMSS.EXE,CSRSS.EXE外的所有进程。五、断定病毒后，定要斩草除根搜出病毒原文件对于已经判断是病毒文件的“Winion0n.exe”文件，通过搜索“本地所有分区”、“搜索系统文件夹和隐藏的文件和文件夹”，找到该文件的藏身之所，将它删除。不过这样删除的只是病毒主文件，通过查看它的属性，依据它的文件创建曰期、大小再次进行搜索，找出它的同伙并删除。如果你不确定还有那些文件是它的亲戚，通过网络搜索查找病毒信息获得帮助。六、清除病毒后一定要打扫战场手动修复注册表虽然把病毒文件删除

6、了，但病毒都会在注册表留下垃圾键值，还需要把这些垃圾清除干净。1、用reg export备份自启动。由于自启动键值很多，发现病毒时手动查找很不方便。这里用reg export+批处理命令来备份。启动记事本输入下列命令：reg export HKLMsoftwareMicrosoftWindowsCurrentVersionRun fo:hklmrun.regreg export HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun f:hklcu.regreg export HKLMSOFTWAREMicrosoftWind

7、owsCurrentVersionPoliciesExplorerRun hklml.reg注：这里只列举几个常见键值的备份，其它键值请参照上述方法制作。然后将它保存为ziqidong.bat在命令提示符下运行它，即可将所有自启动键值备份到相应的reg文件中，接着再输入：copy f:*.reg ziqidong.txt命令的作用是将所有备份的reg文件输出到“ziqidong.txt”中，这样如果发现病毒新增自启动项，同上次导出自启动值，利用上面介绍的FC命令比较前后两个txt文件，即可快速找出新增自启动项目。2、用reg delete删除新增自启动键值。比如：通过上面的方法在HKER_CU

8、RRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun,找到一个“Logon”自启动项，启动程序为“c:windowswinlogon.exe”,现在输入下列命令即可删除病毒自启动键值reg delete HKLMsoftwareMicrossoftWindowsCurrentVersionRun /f3、用reg import恢复注册表。Reg de-lete删除是的是整个RUN键值，现在用备份好的reg文件恢复即可，输入下列命令即可迅速还原注册表：reg import f:hklmrun.reg上面介绍手动杀毒的几个系统命令，其实只要用好这些

9、命令，我们基本可以KILL掉大部分的病毒，当然平时就一定要做好备份工作。提示：上述操作也可以在注册表编辑器里手动操作，但是REG命令有个好处，那就是即使注册表编辑器被病毒设置为禁用，也可以通过上述命令导出/删除/导入操作，而且速度更快！七、捆绑木马克星FIND上面介绍利用系统命令查杀一般病毒，下面再介绍一个检测捆绑木马的“FIND”命令。相信很很多网虫都遭遇过捆绑木刀，这些“批着羊皮的狼”常常躲在图片、FLASH、甚至音乐文件后面。当我们打开这些文件的时候，虽然在当前窗口显示的确实是一幅图片（或是播放的FLASH），但可恶的木马却已经在后台悄悄地运行了。比如近曰我就收到一张好友从QQ传来的超女

10、壁纸，但是当我打开图片时却发现：图片已经用“图片和传真查看器”打开了，硬盘的指示灯却一直在狂闪。显然在我打开图片的同时，有不明的程序在后台运行。现在用FIND命令检测图片是否捆绑木马，在命令提示符输入：FIND /c /IThis programg:chaonv.jpe.exe其中:g:chaonv.jpe.exe表示需要检测的文件FIND命令返回的提示是“_G:CHAONV.EXE: 2”,这表明“G：、CHAONV.EXE”确实捆绑了其它文件。因为FIND命令的检测：如果是EXE文件，正常情况下返回值应该为“1”；如果是不可执行文件，正常情况下返回值应该为“0”，其它结果就要注意了。提示：

11、其实很多捆绑木马是利用Windows默认的“隐藏已知类型文件扩展名”来迷惑我们，比如本例的“chaonv.jpe.exe”，由于这个文件采用了JPG文件的图标，才导致上当。打开“我的电脑”，单击“工具文件夹选项”，“单击”“查看”，去除“隐藏已知类型文件扩展名”前的小勾，即可看清“狼”的真面目。八、总结最后我们再来总结一下手动毒的流程：用TSKLIST备份好进程列表通过FC比较文件找出病毒用NETSTAT判断进程用FIND终止进程搜索找出病毒并删除用REG命令修复注册表。这样从发现病毒、删除病毒、修复注册表，这完成整个手动查毒、杀毒过程。S下面是手动杀毒的方法及注意的事项： 1、关闭系统还原功

12、能。 你要用一只笔把病毒所在文件路径和文件名抄下来。 2、你在安全模式下,按照它的路径和文件名,把病毒所在那个文件找到,删除就可以了。 你可以在搜索一栏中输入病毒所在路径,文件名，找到后，删除就可以了。具体方法是在安全模式下打开我的电脑，在上面菜单上点击搜索（一个放大镜一样的图标），然后在左面弹出的页面上输入你刚抄下的病毒所在路径，文件名，点下面的“立即搜索”按钮，然后在右边弹出的页面上找到该文件，然后右键点它，右键菜单点删除。就可以删除了。 3、删除病毒所在文件后，最好再清理一下注册表：方法是：开始运行（点任务栏左下角的开始,在弹出的菜单中选“运行”)，在弹出的运行对话框中输入regedit

13、,从而打开了注册表编辑器。然后在注册表编辑器中点：“我的电脑”，然后是“编辑”，在弹出的菜单中点“查找”，在“查找”中你输入你所用的杀毒软件所查到的病毒所在路径和文件名，找到一个，右键点它，在快捷菜单中点“删除”，按F3继续查找，直到查完，删完。没有，就删完了。 请删完之后清空回收站。如何手动杀毒(转卡巴论坛)2007-12-21 13:49 上网最恐怖的事莫过于新病毒出来的时候，尽管电脑上我们都装有各种强大的杀毒软件，也配置了定时自动更新病毒库，但病毒总是要先于病毒库的更新的，所以中招的每次都不会是少数，这里列举一些通用的杀毒方法，自己亲自动手来用系统自带的工具绞杀病毒： 一、自己动手前，切

14、记有备无患用TaskList备份系统进程 新型病毒都学会了用进程来隐藏自己，所以我们最好在系统正常的时候，备份一下电脑的进程列表，当然最好在刚进入Windows时不要运行任何程序的情况下备份，样以后感觉电脑异常的时候可以通过比较进程列表，找出可能是病毒的进程。 在命令提示符下输入： TaskList /fo:csvg:zc.csv 上述命令的作用是将当前进程列表以csv格式输出到“zc.csv”文件中，g:为你要保存到的盘，可以用Excel打开该文件. 二、自己动手时，必须火眼金睛用FC比较进程列表文件 如果感觉电脑异常，或者知道最近有流行病毒，那么就有必要检查一下。 进入命令提示符下，输入下

15、列命令： TaskList /fo:csvg:yc.csv 生成一个当前进程的yc.csv文件列表，然后输入： FC g:zccsv g:yc.csy 回车后就可以看到前后列表文件的不同了，通过比较发现，电脑多了一个名为“Winion0n.exe”(这里以这个进程为例)不是“Winionon.exe”的异常进程。 三、进行判断时，切记证据确凿用Netstat查看开放端口 对这样的可疑进程，如何判断它是否是病毒呢？根据大部分病毒（特别是木马）会通过端口进行对外连接来传播病毒，可以查看一下端口占有情况。 在命令提示符下输入： Netstat -a-n-o 参数含义如下： a:显示所有与该主机建立连

16、接的端口信息 n:显示打开端口进程PID代码 o：以数字格式显示地址和端口信息 回车后就可以看到所有开放端口和外部连接进程，这里一个PID为1756（以此为例）的进程最为可疑，它的状态是“ESTABLISHED”，通过任务管理器可以知道这个进程就是“Winion0n.exe”，通过查看本机运行网络程序，可以判断这是一个非法连接！ 连接参数含义如下： LISTENINC：表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接，只有TCP协议的服务端口才能处于LISTENINC状态。 ESTABLISHED的意思是建立连接。表示两台机器正在通信。TIME-WAIT意思是结束了这次连接。说

17、明端口曾经有过访问，但访问结束了，用于判断是否有外部电脑连接到本机。 四：下手杀毒时，一定要心狠手辣用NTSD终止进程 虽然知道 “Winion0n.exe”是个非法进程，但是很多病毒的进程无法通过任务管理器终止，怎么办？ 在命令提示符下输入下列命令： ntsd c q-p 1756 回车后可以顺利结束病毒进程。 提示：“1756”为进程PID值，如果不知道进程的ID，打开任务管理器，单击“查看选择列勾上PID（进程标识符）即可。NTSD可以强行终止除Sytem,SMSS.EXE,CSRSS.EXE外的所有进程。 五、断定病毒后，定要斩草除根搜出病毒原文件 对于已经判断是病毒文件的“Winio

18、n0n.exe”文件，通过搜索“本地所有分区”、“搜索系统文件夹和隐藏的文件和文件夹”，找到该文件的藏身之所，将它删除。不过这样删除的只是病毒主文件，通过查看它的属性，依据它的文件创建日期、大小再次进行搜索，找出它的同伙并删除。如果你不确定还有那些文件是它的亲戚，通过网络搜索查找病毒信息获得帮助。 六、清除病毒后一定要打扫战场手动修复注册表虽然把病毒文件删除了，但病毒都会在注册表留下垃圾键值，还需要把这些垃圾清除干净。1、用reg export备份自启动。由于自启动键值很多，发现病毒时手动查找很不方便。这里用reg export+批处理命令来备份。 启动记事本输入下列命令： reg expor

19、t HKLMsoftwareMicrosoftWindows CurrentVersionRun fo:hklmrun.reg reg export HKCUSoftwareMicrosoftWindows CurrentVersionPoliciesExplorerRun f:hklcu.reg reg export HKLMSOFTWAREMicrosoftWindows CurrentVersionPoliciesExplorerRun hklml.reg 注：这里只列举几个常见键值的备份，其它键值请参照上述方法制作。 然后将它保存为ziqidong.bat在命令提示符下运行它，即可将所

20、有自启动键值备份到相应的reg文件中，接着再输入： copy f:*.reg ziqidong.txt 命令的作用是将所有备份的reg文件输出到“ziqidong.txt”中，这样如果发现病毒新增自启动项，同上次导出自启动值，利用上面介绍的FC命令比较前后两个txt文件，即可快速找出新增自启动项目。 2、用reg delete删除新增自启动键值。比如：通过上面的方法在HKER_CURRENT_USERSOFTWAREMicrosoft WindowsCurrentVersionRun,找到一个“Logon”自启动项，启动程序为“c:windowswinlogon.exe”,现在输入下列命令即可

21、删除病毒自启动键值： reg delete HKLMsoftwareMicrossoftWindows CurrentVersionRun /f 3、用reg import恢复注册表。Reg de-lete删除是的是整个RUN键值，现在用备份好的reg文件恢复即可，输入下列命令即可迅速还原注册表： reg import f:hklmrun.reg 上面介绍手动杀毒的几个系统命令，其实只要用好这些命令，我们基本可以KILL掉大部分的病毒，当然平时就一定要做好备份工作。 提示：上述操作也可以在注册表编辑器里手动操作，但是REG命令有个好处，那就是即使注册表编辑器被病毒设置为禁用，也可以通过上述命令

22、导出/删除/导入操作，而且速度更快！原文地址：练好安全防范基本功之3.2建立基本的黑客防线返回 转到页尾“黑客”是时下最热门的话题之一，在聊天室讨论问题或者在论坛上发帖时，有些人动不动就说“我是黑客我怕谁”、“小心我黑了你”这一切都说明了“黑客”已不再是神秘的代名词。不管你愿不愿意，网络中的共享入侵、木马入侵、QQ安全、各类“炸弹”、密码安全、网页浏览安全等都已经出现在我们的网络生活中。对于新手来说，遭遇到这些问题通常会感到莫名其妙的恐惧，事实上并不是因为黑客的攻击手段有多么高明，只是我们了解的网络安全知识还不够！导引：防止“被黑”的一般方法Windows是一个非常开放的操作系统，虽然其自身具

23、备一定程序的安全功能，但对于日益严重的安全问题来说是远远不够的，因此就像给人进补一样，必须从多方面对系统进行调整，以提高系统对黑客程序的免疫能力。对系统的安全性能的强化一般可从两个方面入手： 从操作系统本身入手，通过软件或手工修改系统的某些内部设置来实现对系统某些功能的加强或限制。 是在原有的操作系统上安装某种防护工具（如防火墙）。这些工具在后台协助操作系统负责阻止黑客程序或恶意代码进入本地计算机。一、如何判断被“黑”黑客程序与病毒往往有着密不可分的关系，很多黑客程序也拥有较为全面的病毒特征，如传染性、隐蔽性、破坏性等，它们二者的主要区别在于黑客程序的目的是窥探用户隐私，窃取用户信息，控制用户

24、计算机的全部或部分资源，实现远程控制。但要具体地说黑客程序发作时是什么样子则很难，因为它们发作时的情况多种多样。但无论如何，黑客程序还是有规律可循的，如果你的系统有以下表现，那么你很可能被“黑”了。系统有时死机，有时又重新启动（这与某些病毒极类似，其实可能是黑客程序在活动，或者黑客在通过网络控制你的计算机） ；用户没有执行读写操作时出现频繁的硬盘读写现象（注意某些后台驻留的合法程序也会自动访问硬盘，如SecondCopy2000等；物理内存不足时系统大量用硬盘交换文件也会造成硬盘的频繁读写，必须加以区分）；系统莫明其妙地对软驱进行搜索；没有运行大型程序的情况下，系统运行速度越来越慢；在“控制面

25、板”的“系统”属性中查看“性能”选项。其中的可用系统资源正常时一般都在90%以上，而前系统可用资源即使不启动任何应用程序也非常紧张；用“Ctrl+Alt+Del”调出“任务管理器”，发现有多个名字相同的进程在运行，而且可能会随时间的增加而增多，或者任务列表中出现平时不常见的进程名称，或者除平时正常的几个任务在运行外，看不到其它任何可疑之处，但这也值得怀疑，因为现在的黑客程序很多会隐藏自己，Windows引导画面被更改、屏幕出现特殊信息、光驱自动弹出、某些程序自动被运行或被关闭，鼠标指针自动移动、显示器无端被关闭。如果是在联入Internet或局域网后计算机才出现上述这些现象，更应特别小心！出现

26、上述现象后，我们仍然不能确定到底是一般病毒，还是黑客程序，因此还要用新的杀毒软件或专门的黑客扫描工具进行扫描，但根据不同的操作系统，还可以从以下几个方面着手进一步加以判定。 如果是Windows 9X系统，则在“开始”“运行”中键入Msconfig然后按“确定”按钮，这时就可以直接查看Autoexec.bat、Config.sys、System.ini、Win.ini等系统配置文件的有关内容，还可以在“启动”选项卡中查看所有系统启动时自动加载的程序列表。如果有值得怀疑的对象存在，为保险起见，先不要直接删除值得怀疑的项目，只须取消选择对应项目前面的复选框即可。通常情况下，黑客程序为保护自己，即使

27、你通过上述途径禁止其自动加载，它也会采取其它不易被发现的方法重新恢复自动运行，因此如果发现未知程序被禁用后，系统重新启动后该程序却自动重新被加载的话，则很可能是黑客程序。有关系统配置的具体查看方法如下：对于Windows目录下的Win.ini文件，请检查前几行：WINDOWSload=run=这两个位置放置的是启动Windows后自动执行的程序；黑客程序也可能在这儿被加载。你也可以用记事本或Edit等文本编辑器打开系统配置文件，将被怀疑的对象前面加上“;”注释掉，需要恢复时只须将“;”去掉即可。对于Windows目录下的System.ini文件，请用查找功能找到以下几行：386Enhdevic

28、e=此处通常放置系统本身和另外添加的专用驱动程序。外加的驱动程序一般都用全路径。处理方法同上。对于自动运行程序还必须进行以下检查 ：一是查看“开始”菜单中的“程序”“启动”组中可以发现某些自动运行程序的蛛丝马迹，但由于这个地方极不隐蔽，因此黑客程序往往都不会笨拙地将自己放到这个地方进行加载。删除其中的项目只需要在“开始”菜单中打开“程序”“启动”，在有关项目上右击鼠标，然后在弹出的快捷菜单中选择“删除”命令，或者打开“C:WINDOWSStart MenuPrograms启动”文件夹（Windows 2000/XP的公共启动组在“C:Documents and SettingsAll User

29、s开始菜单程序启动”中，用户启动组在“C:Documents and Settings用户名开始菜单程序启动”中），将所对应项目删除至“回收站”，必要时还可从“回收站”恢复。需要注意的是：如果将程序的快捷方式设置为“隐藏”的话，则直接从“开始”菜单的启动组中看不到它，但它却能够被顺利地自动运行，必须在资源管理器的文件夹选项中选定“显示所有文件”的选项才能发现它（见图3-2-1）。也许对于黑客程序来说，越是“危险”的地方反而越“安全”，我们应当注意每一个细节。二是检查Windows注册表。在“开始”“运行”中执行“Regedit”，打开以下键值进行检查：HKEY_LOCAL_MACHINESof

30、twareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices看看有无可疑键值，如大名鼎鼎的“backorifice”就躲在这里。三是注意一个不起眼的后门，在Windows目录下有时存放一个名为Winstart.bat的文件，它是一个功能与Autoexec.bat类似的自动批处理文件，不同的是它只能在Windows启动时被执行而不会在引导到DOS环境时被调用。用记事本或Edit编辑器打开看看其中有无什么值得怀疑的程序，建议你将这个文件直接删除，对系统的运行不会产生不良影响，因为必要时系统会自动生成这个文件。Windows目录下与此类似的还有一个名为Dosstart.bat的批处理程序，它在我们关闭Windows并退出到MS-DOS方式时自动运行，其中一般加载了实模式的光驱驱动程序等，也许这个地方会被黑客用来作为恢复黑客程序自动加载的一个预备位置。对它的处理方法是用文本编辑器打开检查，其中一般只有光驱的实模式驱动和声卡