科技时代新浪首页 > 科技时代 > 学园 > 病毒与杀毒专区专题 > 正文

系统工具有妙用 详解命令行强力抗毒武器(3)


http://www.sina.com.cn 2006年07月17日 09:42 天极yesky

  四. FIND——捆绑克星

  相信许多人都上过文件捆绑木马的当,表面看起来是一张漂亮MM的图片,而暗地里却隐藏着木马,这种通过文件捆绑进行隐藏是木马的惯用伎俩。而对可疑文件进行必要的检查及时处理往往就能防止产生更严重的后果,于是网上也出现了一些检查捆绑文件的工具。而实际上,在Windows 中,也可通过命令行巧妙地进行简单的检查。这里要用到字符串搜索命令——FIND,它的主要功能是在文件中搜索字符串,我们可以利用它进行捆绑文件的检查。方法为:在命令行下运行“FIND /C /I "This program " 待查文件的路径 ”(不包括外面的引号),如果是EXE文件,正常情况下返回值应该为“1”,如果出现大于1的情况,你就必须小心了;如果是图片之类的不可执行文件,正常情况下返回值应该为“0”,如果出现大于0的情况,就应该引起你的注意。

  五. NTSD——强力终结者

  如今的病毒越来越狡猾,经常出现即使你能找到它的进程,却不能结束的情况用任务管理器和前面提到的TASKKILL命令都没有办法中止。当然我们可以使用进程管理工具,比如功能强大Process Explorer、IceSword。而实际上使用Windows自带的一个秘密工具就能强制结大部分进程,包括一些十分顽固的进程,这就是NTSD命令。

  在命令行中运行以下命令:

  ntsd -c q -p PID

  最后那个PID指你要终止的进程的ID。当然如果你不知道进程的ID,可通过Tasklist命令,或只需通过任务管理器->进程选项卡->查看->选择列->勾上"PID(进程标识符)",然后就能看见了。

  利用NTSD命令,除了System、SMSS.EXE和CSRSS.EXE等极少核心进程不能杀外,其它进程都可以强行结束,几乎能达到IceSword相同的水平。

  六. FTYPE——文件关联修复专家

  和文件捆绑一样,篡改文件关联也是病毒或木马的惯用伎俩,通常的恢复方法主要是通过修改

注册表,但注册表操作通常比较麻烦而且容易出错,而实际上在 Windows 系统中,有另一个更方便的命令行工具——FTYPE,利用它可以非常轻松地恢复文件关联。比如exefile的文件关联最容易被修改,它的正常的文件关联为:"%1" %* 。恢复的时候,只需在命令行中运行下列命令:“ftype exefile="%1" %* ”就可以了。如果要修复txtfile的文件关联,只需输入:“ftype txtfile= %SystemRoot%\system32\NOTEPAD.EXE %1 ”即可。

  七. FC——注册表监控器

  大家都知道,许多病毒木马都把注册表当作攻击对象,如上面提到的文件关联篡改,而现在所谓的流氓软件之流的不安分的软件在注册表中添加本不应该添加的项值,因而注册表监控就变成十分必要的了。于是出现了许多注册表监控类软件,其实我们完全可以仅用Windows 系统提供的工具就能实现监控(当然这样提到的监控主要是指检查出某个时刻究竟注册表发生的变化)。

  下面就以监控安装软件过程对注册表做的修改为例介绍如何实现“监控”:

  首先,我们可以在安装软件前备份一次注册表(存储为REG文件,如1.reg),安装后再导出注册表文件(2.reg)然后再在Windows XP 的命令提示行下执行下列命令:

  D:>fc /u 1.reg 2.reg>changes.txt

  在D盘根目录下再打开changes.txt文件,即可清楚地查看该软件对注册表添加了哪些子项,做了什么修改了。上例中的安装软件是一个特定的时刻,你可能用此方法分析任一时刻注册表可能发生的变化。

  怎么样,通过上面的命令行下七种强力抗毒武器,你还是对命令行的功能有了更新的认识了呢?有了这一群命令行下随时等待召唤的抗毒精英,以后对抗病毒也就更有效、更方便,病毒木马们也就难逃法网了。

[上一页] [1] [2] [3]

发表评论

爱问(iAsk.com) 相关网页共约1,680,000



评论】【论坛】【收藏此页】【 】【多种方式看新闻】【下载点点通】【打印】【关闭




科技时代意见反馈留言板 电话:010-82628888-5595   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2006 SINA Inc. All Rights Reserved

新浪公司 版权所有