を使うことがいかに簡単であるかをあなたに教えることは、ウイルスと戦うことがより効果的で便利になるでしょう。法律ネットワークを脱出する。
1、TASKLIST——人目を引く目
今、ウイルスはますます厄介になっています。しかし、多くのウイルスはプロセスの中でキツネの尾を露出させる傾向があるので、プロセスを見ることはウイルスを殺すための重要な方法です。コマンドラインは、プロセスリスト(Windows XP以降)を表示するプロセスのコマンドツールを提供します。このコマンドは、タスクマネージャと同様に、アクティブなプロセスのリストを表示します。しかし、パラメータを使用することで、タスクマネージャが見ることができない情報を見ることができ、そしてより強力な機能を達成することができます。 ' Tasklist /M'パラメータを使用して' Tasklist /M'を実行すると、各タスクによって読み込まれたすべてのDLLモジュールが表示されます。サービスを通じてプロセスsvchost.exeによってロードされたサービスを見ることができるアクティブなサービスのリストは、それが悪意のあるウイルスプロセスであるかどうかを知ることができます。さらに、Tasklistコマンドを使用して、IPアドレスが208.202であることを確認するためにコマンドプロンプトで「ldsklist /s 208.202.12.206 /u friend /p 123456」と入力するなど、リモートシステムの進行状況を表示できます。 12.206リモートシステムのプロセス。 /sパラメータ208.202.12.206 - 表示するリモートシステムのIPアドレスを指定し、Tasklistコマンドで使用するユーザーアカウントを/uの後に指定すると、リモートシステムの正規のアカウントである必要があります。 ' 123456'の後/pは、友人アカウントのパスワードを表します。このように、ネットワーク管理者がリモートからウイルスを殺したりウイルスを殺したりするのは、はるかに便利です。
2、TASKKILL—— process killer
この一対の目で、たくさんのウイルスが出現しましたが、より重要なのはウイルスを見つけることではなく、それらをクリアすることです。 — TASKKILは便利です。たとえば、プロセスを終了する場合は、タスクマネージャからプロセス名を書き留めて次のコマンドを実行します。<; TASKKILL /F /IMプロセス名'; PIDに接続してメソッドを実行することもできます。 Tasklist'コマンド、プロセスのPID番号を書き留め、コマンドプロンプトの下に「ldskkill /pid PID number」と入力します。これについて言えば、私はこれがタスクマネージャを直接使用するのと同じくらい便利ではないと誰かが言うのを恐れています。実際、TASKKILLコマンドのユニークなトリックは、タスクマネージャで直接中断できないプロセスを終了させることができるということです。この場合、パラメータ "ld"; /F - を追加してプロセスを強制的に閉じます(たとえば "TASKKILL"の実行)。 /F /pid 1606 - コマンドは、プロセスにPID 1656を強制的に終了させます。また、TASKKILLコマンドを使用してプロセスツリーやリモートプロセスを終了したり、クエリへのフィルタ処理またはクエリのフィルタ処理のプロセスを指定したりすることもでき、特定の操作は「taskkill /?」コマンドを使用して表示できます。
3、Netstat—— Port Detective
今日のトロイの木馬はますます多くなっており、ユーザーへの脅威はますます大きくなっているため、Trojanの殺害に特化したツールが数多くあります。実際、コマンドラインでNetstatコマンドを使用している限り、ほとんどのトロイの木馬はコンピュータに隠されています。
ほとんどのトロイの木馬は、システムに感染した後でサービスポートを取得し、そのようなサービスポートは通常LISTENING状態になっているため、ポートの使用状況からトロイの木馬のトレースを見つけることができます。 。コマンドラインで< Netstat> a'を実行すると、確立された接続(ESTABLISHED)を含むすべての有効な接続情報と、接続要求を待機する接続(LISTENING)の一覧が表示されます。 Protoはプロトコルを表し、Local Addressはローカルアドレス、コロンの後の番号はオープンポート番号、Foreign Addressはリモートアドレスを表し、他のマシンと通信している場合は相手のアドレスを表示し、Stateはステータスを表します。トロイの木馬が正常に開かれた後、バックドアがLISTENING状態にあるので、あなたはLISTENING状態にあるポートに注意を払う必要があります。大きい、あなたは警戒すべきです。ポートに対応するプロセスを確認して確認することもできますが、これにはパラメータ「-O」を追加する必要があります。「Netstat」コマンドを実行すると、すべての有効な接続情報のリストが表示されます。発信ポートに対応するPID番号。
4つのバンドルされたネメシス
多くの人々がファイルバンドルされたトロイの木馬に参加していると思います、表面は美しいMM画像のように見えますが、暗闇の中に隠されたトロイの木馬です。トロイの木馬の慣習的なトリックは隠されています。疑わしいファイルの必要なチェックとタイムリーな処理はしばしばより深刻な結果を防ぐことができるので、バンドルファイルをチェックするためのいくつかのツールがインターネットに現れました。
Windowsでは、コマンドラインで簡単なチェックを実行することもできます。ここでは文字列検索コマンド—— FINDを使用する必要があります。その主な機能はファイル内の文字列を検索することです。バンドルファイルをチェックするために使用できます。コマンドラインで "ldIND; CIND /C /I"このプログラム "チェックするファイルのパス"(外側の引用符は除く)を実行します。EXEファイルの場合、戻り値は "1"になります。;; 1より大きい状況がある場合は注意が必要です;画像のように実行不可能なファイルの場合は戻り値は通常「' 0」でなければならず、0より大きい場合は注意が必要です。
5、NTSD——強力なターミネーター
今日のウイルスは、そのプロセスを見つけることができたとしても、多くのことで厄介な問題になっていますが、それは終わることはできません。タスクマネージャと前述のTASKKILLコマンドで中止する方法はありません。もちろん、強力なProcess Explorerなどのプロセス管理ツールを使用することもできます。実際、Windowsに付属の秘密のツールを使用すると、NTSDコマンドである非常に頑固なプロセスを含め、ほとんどのプロセスを強制することができます。
コマンドラインから次のコマンドを実行します。
ntsd -c q -p PID
最後のPIDは、終了するプロセスのIDです。プロセスのIDがわからない場合は、Tasklistコマンドで表示できます。 System、SMSS.EXE、およびCSRSS.EXEを除くNTSDコマンドを使用すると、コアプロセスを強制終了することはめったにありませんが、他のプロセスを強制的に終了させることができます。
6、FTYPE——ファイルの関連付けの修復のエキスパート
ファイルの関連付けの改ざんもウイルスやトロイの木馬の一般的なトリックです通常の回復方法は主にレジストリの変更ですが、レジストリの操作は通常面倒です。もう1つの便利な方法は、ファイルの関連付けを簡単に回復できるようにするコマンドラインツールのFTYPEを使用することです。たとえば、exefileのファイルの関連付けは最も変更が簡単で、通常のファイルの関連付けは"%1"%*です。回復するには、コマンドラインから次のコマンドを実行するだけです。' ftype exefile ="%1"%*' txtfileのファイルの関連付けを修正したい場合は、次のように入力してください。<; ftype txtfile =%SystemRoot%\\ system32 \\ NOTEPAD.EXE%1'
Seven、FC - mdash; - mdash;レジストリモニタ
上記のファイルの関連付けの改ざんなど、多くのウイルストロイの木馬がレジストリを攻撃対象として使用しています。レジストリに追加してはいけない項目値を追加すると、レジストリの監視が必要になります。だから、レジストリ監視ソフトウェアがたくさんあります、実際には、我々は完全にこの機能を完了するためにWindowsシステムによって提供されるツールを使用することができます。
次に、「監視」を実現する方法を紹介する例として、インストールソフトウェアのプロセスを監視するためのレジストリの変更を示します。
まず、ソフトウェアをインストールする前にレジストリをバックアップできます(1.regなどのREGファイルとして保存)。 )インストール後、レジストリファイル(2.reg)をエクスポートし、Windows XPのコマンドプロンプトで次のコマンドを実行します。
D:\\> fc /u 1.reg 2.reg> changes.txt < Br>次にDドライブのルートディレクトリにあるchanges.txtファイルを開くと、ソフトウェアがレジストリに追加したサブ項目の種類および変更内容を確認することができます。上記の例のインストールソフトウェアは特定の瞬間であり、あなたはいつでもレジストリに発生する可能性のある変更を分析するためにこの方法を使用することができます。