あなたに抗麻薬エリートの下で簡単な抗麻薬共有のコマンドラインを教える

召喚された抗麻薬エリートを待っているコマンドラインのこのグループでは、ウイルスと戦うことがより効果的で便利になるでしょう。法律ネットワークから逃れることも困難です。

まず、TASKLIST——人目を引く目

今日、ウイルスはますます恥ずかしいものになっています。しかし、多くのウイルスはプロセスの中でキツネの尾を露出させる傾向があるので、プロセスを見ることはウイルスを殺すための重要な方法です。コマンドラインは、プロセスリスト（Windows XP以降）を表示するプロセスのコマンドツールを提供します。このコマンドは、タスクマネージャと同様に、アクティブなプロセスのリストを表示します。しかし、パラメーターを使用することで、タスクマネージャーが見ることができない情報を見ることができ、そしてより強力な機能を達成することができます。 ' /M'パラメータを使用して' Tasklist /M&r"を実行すると、各タスクによってロードされたすべてのDLLモジュールが表示され、' Tasklist /SVC&＃93;サービスを通じてプロセスsvchost.exeによってロードされたサービスを見ることができるアクティブなサービスのリストは、それが悪意のあるウイルスプロセスであるかどうかを知ることができます。さらに、Tasklistコマンドを使用して、IPアドレスが208.202であることを確認するためにコマンドプロンプトで「ldsklist /s 208.202.12.206 /u friend /p 123456」と入力するなど、リモートシステムの進行状況を表示できます。 12.206リモートシステムのプロセス。 /sパラメータ208.202.12.206 - 表示するリモートシステムのIPアドレスを指定し、Tasklistコマンドで使用するユーザーアカウントを/uの後に指定すると、リモートシステムの正規のアカウントになります。 ' 123456'の後/pは、友人アカウントのパスワードを表します。このように、ネットワーク管理者がリモートからウイルスを殺したりウイルスを殺したりする方がはるかに便利です。

2番目に、TASKKILL—— process killer

Tasklistの目にはたくさんのウイルスが出現していますが、ウイルスを見つけ出すのではなく、それらを駆除することがより重要です。別のコマンド—— TASKKILが役に立ちました。たとえば、プロセスを終了する場合は、タスクマネージャからプロセス名を書き留めて次のコマンドを実行するだけです。<; TASKKILL /F /IMプロセス名'; PIDに接続してメソッドを実行することもできます。 Tasklist'コマンド、プロセスのPID番号を書き留め、コマンドプロンプトの下に「ldskkill /pid PID number」と入力します。これについて言えば、私はこれがタスクマネージャを直接使用するほど便利ではないと誰かが言うのを恐れています。実際のところ、TASKKILLコマンドのユニークなトリックは、タスクマネージャで直接中断できないプロセスを終了させることができるということです。この場合、プロセスを強制的に終了させるために、パラメータ "ld"; /F - を追加します。 /F /pid 1606 - コマンドは、プロセスにPID 1656を強制的に終了させます。また、TASKKILLコマンドを使用してプロセスツリーやリモートプロセスを終了したり、クエリへのフィルタ処理やクエリのフィルタ処理のプロセスを指定したりすることもできます。

3番目に、Netstat—— Port Detective

今日のトロイの木馬はますます多くなっており、ユーザーへの脅威もますます大きくなっているので、トロイの木馬にはたくさんのツールがあります。実際、コマンドラインでNetstatコマンドを使用している限り、ほとんどのトロイの木馬はコンピュータに隠されています。

ほとんどのトロイの木馬は、システムに感染した後でサービスポートを使用します。そのようなサービスポートは通常LISTENING状態にあるため、ポートの使用状況からトロイの木馬のトレースを見つけることができます。これはNetstatコマンドを使用します。簡単に実装できます。コマンドラインで< Netstat> a'を実行すると、確立された接続（ESTABLISHED）、および接続要求を待機している接続（LISTENING）を含むすべての有効な接続情報の一覧が表示されます。 Protoはプロトコルを表し、Local Addressはローカルアドレス、コロンの後の番号はオープンポート番号、Foreign Addressはリモートアドレスを表し、他のマシンと通信している場合は相手のアドレスを表示し、Stateはステータスを表します。トロイの木馬が正常に開かれた後、バックドアがLISTENING状態にあるので、あなたはLISTENING状態にあるポートに注意を払う必要があります。大きい、あなたは警戒すべきです。

さらに確認するためにポートに対応するプロセスを確認することもできますが、これにはパラメータ「 - 」を追加する必要があります。「Netstat」コマンドを実行すると、すべての有効な接続情報の一覧が表示されます。そしてポートに対応するPID番号を与えます。

4、検索——バンドルされたnemesis

多くの人々がファイルバンドルされたトロイの木馬に参加してきたと思います。ファイルバインディングによるこの種の隠蔽は、トロイの木馬にとっての慣習的なトリックです。疑わしいファイルの必要なチェックとタイムリーな処理はしばしばより深刻な結果を防ぐことができるので、バンドルファイルをチェックするためのいくつかのツールがインターネットに登場しました。

Windowsでは、コマンドラインで簡単な確認もできます。ここでは文字列検索コマンド—— FINDを使用する必要があります。その主な機能はファイル内の文字列を検索することです。バンドルファイルをチェックするために使用できます。その方法は、コマンドラインで "ldIND; CIND /C /I"このプログラム "チェックするファイルのパス"（外側の引用符は除く）を実行します。EXEファイルの場合、戻り値は "1"になります。; 1より大きい状況がある場合は注意が必要ですが、写真などの実行不可能なファイルの場合は戻り値が通常 "0"である必要があり、0より大きい場合は注意が必要です。

V. NTSD——強力なターミネーター

今日のウイルスはますます広まっていますし、見つけることができても見つけることができる状況がしばしばあります。タスクマネージャと前述のTASKKILLコマンドで中止する方法はありません。もちろん、強力なProcess Explorerなどのプロセス管理ツールを使用することもできます。実際、Windowsに付属している秘密のツールを使用すると、NTSDコマンドである非常に頑固なプロセスを含む、ほとんどのプロセスを強制することができます。

コマンドラインから次のコマンドを実行します。

ntsd -c q -p PID

最後のPIDは、終了するプロセスのIDです。プロセスのIDがわからない場合は、Tasklistコマンドで表示できます。 System、SMSS.EXE、およびCSRSS.EXEを除くNTSDコマンドを使用すると、コアプロセスを強制終了することはめったになく、他のプロセスを強制的に終了させることができます。

6、FTYPE——ファイルの関連付けの修復の専門家

ファイルの関連付けの改ざんも、ウイルスやトロイの木馬にとって一般的なトリックです。別の便利な方法は、ファイルの関連付けを簡単に回復できるようにするコマンドラインツールのFTYPEを使用することです。たとえば、exefileのファイルの関連付けは最も変更が簡単で、通常のファイルの関連付けは"％1"％*です。回復するには、コマンドラインから次のコマンドを実行するだけです。' ftype exefile ="％1"％*' txtfileのファイルの関連付けを修正したい場合は、次のように入力してください。<; ftype txtfile =％SystemRoot％\\ system32 \\ NOTEPAD.EXE％1'

VII、FC——レジストリモニタ

上記のファイルの関連付けの改ざんなど、多くのウイルストロイの木馬がレジストリを攻撃の対象として使用し、現在いわゆるローグソフトウェアと呼ばれています。落ち着きのないソフトウェアの流れはレジストリに追加されるべきでない項目値を追加するので、レジストリの監視が必要になります。だから、レジストリ監視ソフトウェアがたくさんあります、実際には、我々は完全にこの機能を完了するためにWindowsシステムによって提供されるツールを使用することができます。

「監視」を実現する方法を紹介する例として、インストールソフトウェアのプロセスを監視するレジストリの変更を次に示します。

まず、ソフトウェアをインストールする前にレジストリをバックアップできます（REGとして保存されます）。 1.regなどのファイルは、エクスポート後にレジストリファイル（2.reg）をエクスポートし、Windows XPのコマンドプロンプトで次のコマンドを実行します。

D：\\> fc /u Reg 2.reg> changes.txt

次に、Dドライブのルートディレクトリにあるchanges.txtファイルを開くと、ソフトウェアによってレジストリに追加されたサブ項目、および変更内容がわかります。上記の例のインストールソフトウェアは特定の瞬間であり、あなたはいつでもレジストリで発生する可能性がある変更を分析するためにこの方法を使用することができます。