如何使用命令來(lái)抗毒？人在網(wǎng)上漂，哪能不中標(biāo)？電腦中毒現(xiàn)象已經(jīng)非常普遍，為了防止電腦中毒，我們會(huì)用到網(wǎng)絡(luò)防火墻和一些殺毒軟件，但是對(duì)于一些頑固病毒，這些遠(yuǎn)遠(yuǎn)不夠，其實(shí)我們可以使用命令行來(lái)抗毒，下面給大家分享令命行下的抗毒精英！

　　命行下的抗毒精英：

　　一、TASKLIST——火眼金睛

　　如今的病毒越來(lái)越狡猾，常常不見(jiàn)首也不見(jiàn)尾。但許多病毒往往在進(jìn)程這一環(huán)節(jié)中露出狐貍尾巴，因而查看進(jìn)程是查殺病毒的一個(gè)重要的方法。命令行提供了進(jìn)程查看的命令工具——Tasklist（Windows XP或更新版本）。此命令與任務(wù)管理器一樣可以顯示活動(dòng)進(jìn)程的列表。但通過(guò)使用參數(shù)，可以看到任務(wù)管理器查看不到的信息，可以實(shí)現(xiàn)更強(qiáng)大的功能。使用參數(shù)“/M”，運(yùn)行“Tasklist /M”將顯示每個(gè)任務(wù)加載的所有的DLL模塊;使用參數(shù)“/SVC”，運(yùn)行“Tasklist /SVC”命令則會(huì)顯示每個(gè)進(jìn)程中活動(dòng)服務(wù)的列表，從中可以看到進(jìn)程svchost.exe加載的服務(wù)，通過(guò)服務(wù)就能分辨出究竟是不是惡意病毒進(jìn)程。此外，還能利用Tasklist命令來(lái)查看遠(yuǎn)程系統(tǒng)的進(jìn)程，如在命令提示符下輸入“Tasklist /s 208.202.12.206 /u friend /p 123456”（不包括引號(hào)）即可查看到IP地址為208.202.12.206的遠(yuǎn)程系統(tǒng)的進(jìn)程。其中/s參數(shù)后的“208.202.12.206”指要查看的遠(yuǎn)程系統(tǒng)的IP地址，/u后的“friend”指Tasklist命令使用的用戶(hù)賬號(hào)，它必須是遠(yuǎn)程系統(tǒng)上的一個(gè)合法賬號(hào)，/p后的“123456”指friend賬號(hào)的密碼。這樣，網(wǎng)管進(jìn)行遠(yuǎn)程查殺病毒也就方便多了。

　　二、TASKKILL——進(jìn)程殺手

　　有了Tasklist這雙火眼金睛，許多病毒就現(xiàn)身了，但更重要的不是找出病毒，而是要清除它們，這時(shí)另一個(gè)命令——TASKKIL就派上用場(chǎng)了。例如想結(jié)束某個(gè)進(jìn)程，只需從任務(wù)管理器中記下進(jìn)程名，運(yùn)行下列命令即可：“TASKKILL /F /IM 進(jìn)程名”;也可以通過(guò)連接PID的方式，可先運(yùn)行“Tasklist”命令，記下進(jìn)程的PID號(hào)，在命令提符下輸入“taskkill /pid PID號(hào)”即可。說(shuō)到這里恐怕有人要說(shuō)這還不如直接利用任務(wù)管理器方便。而實(shí)際上TASKKILL命令的獨(dú)門(mén)絕技就在于它能結(jié)束一些在任務(wù)管理器中不能直接中止的進(jìn)程，這時(shí)就要加上參數(shù)“/F”，這樣就能強(qiáng)制關(guān)閉進(jìn)程，例如運(yùn)行“TASKKILL /F /pid 1606”命令就能強(qiáng)制結(jié)束PID為1656的進(jìn)程。除此之外，TASKKILL命令還能結(jié)束進(jìn)程樹(shù)、遠(yuǎn)程進(jìn)程、指定篩選進(jìn)或篩選出查詢(xún)的的進(jìn)程，具體操作可利用“taskkill/？”命令進(jìn)行查看。

　　三、 Netstat——端口偵探

　　如今的木馬越來(lái)越多，對(duì)用戶(hù)的威脅也越來(lái)越大，于是出現(xiàn)許多專(zhuān)門(mén)用于木馬查殺的工具。其實(shí)只要我們合理使用命令行下的Netstat命令就能查出大部分隱藏在電腦中的木馬。

　　我們知道，大部分木馬感染系統(tǒng)后都留有服務(wù)端口，而這類(lèi)服務(wù)端口通常都處于LISTENING狀態(tài)，因而從端口的使用情況可以查到木馬的蹤跡，而這利用Netstat命令就能輕松實(shí)現(xiàn)。在命令行中運(yùn)行“Netstat –a”，這個(gè)命令將顯示一個(gè)所有的有效連接信息列表，包括已建立的連接（ESTABLISHED），也包括監(jiān)聽(tīng)連接請(qǐng)求（LISTENING）的那些連接。其中Proto代表協(xié)議，Local Address代表本機(jī)地址，該地址冒號(hào)后的數(shù)字就是開(kāi)放的端口號(hào)，F(xiàn)oreign Address代表遠(yuǎn)程地址，如果和其它機(jī)器正在通信，顯示的就是對(duì)方的地址，State代表狀態(tài)，顯示的LISTENING表示處于偵聽(tīng)狀態(tài)，就是說(shuō)該端口是開(kāi)放的，由于木馬開(kāi)啟后門(mén)成功后該后門(mén)處于LISTENING狀態(tài)，因此你需要注意的就是處于LISTENING狀態(tài)的端口，如果該端口號(hào)陌生，而且端口號(hào)數(shù)很大，你就應(yīng)該有所警覺(jué)。

　　你還可以查看使用端口所對(duì)應(yīng)的進(jìn)程來(lái)進(jìn)一步確認(rèn)，這就需要加上參數(shù)“-O”，運(yùn)行“Netstat –ao”命令就會(huì)顯示一個(gè)所有的有效連接信息列表，并給出端口對(duì)應(yīng)的PID號(hào)。

　　四、 FIND——捆綁克星

　　相信許多人都上過(guò)文件捆綁木馬的當(dāng)，表面看起來(lái)是一張漂亮MM的圖片，而暗地里卻隱藏著木馬，這種通過(guò)文件捆綁進(jìn)行隱藏是木馬的慣用伎倆。而對(duì)可疑文件進(jìn)行必要的檢查及時(shí)處理往往就能防止產(chǎn)生更嚴(yán)重的后果，于是網(wǎng)上也出現(xiàn)了一些檢查捆綁文件的工具。

　　在Windows中，也可通過(guò)命令行巧妙地進(jìn)行簡(jiǎn)單的檢查。這里要用到字符串搜索命令——FIND，它的主要功能是在文件中搜索字符串，可以利用它進(jìn)行捆綁文件的檢查。方法為：在命令行下運(yùn)行“FIND /C /I "This program” 待查文件的路徑 ”（不包括外面的引號(hào)），如果是EXE文件，正常情況下返回值應(yīng)該為“1”，如果出現(xiàn)大于1的情況，你就必須小心了;如果是圖片之類(lèi)的不可執(zhí)行文件，正常情況下返回值應(yīng)該為“0”，如果出現(xiàn)大于0的情況，就應(yīng)該引起注意。

　　五、 NTSD——強(qiáng)力終結(jié)者

　　如今的病毒越來(lái)越狡猾，經(jīng)常出現(xiàn)即使你能找到它的進(jìn)程，卻不能結(jié)束的情況。用任務(wù)管理器和前面提到的TASKKILL命令都沒(méi)有辦法中止。當(dāng)然可以使用進(jìn)程管理工具，如功能強(qiáng)大Process Explorer等。而實(shí)際上使用Windows自帶的一個(gè)秘密工具就能強(qiáng)制結(jié)大部分進(jìn)程，包括一些十分頑固的進(jìn)程，這就是NTSD命令。

　　在命令行中運(yùn)行以下命令：

　　ntsd -c q -p PID

　　最后那個(gè)PID指要終止的進(jìn)程的ID。如果不知道進(jìn)程的ID，可通過(guò)Tasklist命令進(jìn)行查看。利用NTSD命令，除了System、SMSS.EXE和CSRSS.EXE等極少核心進(jìn)程不能殺外，其它進(jìn)程都可以強(qiáng)行結(jié)束。

　　六、 FTYPE——文件關(guān)聯(lián)修復(fù)專(zhuān)家

　　和文件捆綁一樣，篡改文件關(guān)聯(lián)也是病毒或木馬的慣用伎倆，通常的恢復(fù)方法主要是通過(guò)修改注冊(cè)表，但注冊(cè)表操作通常比較麻煩而且容易出錯(cuò)，另一個(gè)更方便的方法是使用命令行工具——FTYPE，利用它可以非常輕松地恢復(fù)文件關(guān)聯(lián)。比如exefile的文件關(guān)聯(lián)最容易被修改，它的正常的文件關(guān)聯(lián)為："%1" %*。恢復(fù)的時(shí)候，只需在命令行中運(yùn)行下列命令：“ftype exefile="%1" %*”就可以了。如果要修復(fù)txtfile的文件關(guān)聯(lián)，只需輸入：“ftype txtfile= %SystemRoot%\system32\NOTEPAD.EXE %1”即可。

　　七、FC——注冊(cè)表監(jiān)控器

　　許多病毒木馬都把注冊(cè)表當(dāng)作攻擊對(duì)象，如上面提到的文件關(guān)聯(lián)篡改，而現(xiàn)在所謂的流氓軟件之流的不安分的軟件在注冊(cè)表中添加本不應(yīng)該添加的項(xiàng)值，因而注冊(cè)表監(jiān)控就變成十分必要了。于是出現(xiàn)了許多注冊(cè)表監(jiān)控類(lèi)軟件，其實(shí)我們完全可以?xún)H用Windows系統(tǒng)提供的工具完成該功能。

　　下面以監(jiān)控安裝軟件過(guò)程對(duì)注冊(cè)表做的修改為例介紹如何實(shí)現(xiàn)“監(jiān)控”：

　　首先，可以在安裝軟件前備份一次注冊(cè)表（存儲(chǔ)為REG文件，如1.reg），安裝后再導(dǎo)出注冊(cè)表文件（2.reg）然后再在Windows XP的命令提示行下執(zhí)行下列命令：

　　D:\>fc /u 1.reg 2.reg>changes.txt

　　隨后在D盤(pán)根目錄下打開(kāi)changes.txt文件，即可清楚地查看該軟件對(duì)注冊(cè)表添加了哪些子項(xiàng)，做了什么修改。上例中的安裝軟件是一個(gè)特定的時(shí)刻，你可能用此方法分析任一時(shí)刻注冊(cè)表可能發(fā)生的變化。

　　以上就是小編要給大家分享的抗毒精英們，只要運(yùn)用得好，命令行也可以成為對(duì)抗病毒的強(qiáng)力武器，病毒木馬統(tǒng)統(tǒng)拒之門(mén)外！