自從惡意軟件背后的黑幕公諸于眾之后，越來越多的安全廠商加入圍剿惡意軟件的戰場，但惡意軟件同時也在不斷進化，許多新技術應用到惡意軟件的開發中，惡意軟件對查殺的抵抗性越來越強。雖然在圖形界面下有許多反病毒軟件或惡意軟件清理工具可以選擇，但用戶常會遇到用這類工具無法查殺惡意軟件，反被惡意軟件刪除或禁用的情況，而在系統命令行下進行惡意軟件檢測和清除工作則沒有以上缺點，用戶了解一下具體的步驟是十分有必要的。筆者將通過實例向用戶介紹一下系統命令行下進行惡意軟件檢測和清除的步驟、常用的系統自帶的命令和第三方工具。
測試環境是運行在虛擬機中的英文版WindowsXPSP2，補丁齊全，惡意軟件樣本則選擇了一個互聯網上比較常見的木馬，如下圖：

圖1

執行后木馬程序消失：

圖2

假設用戶在此時發現自己的機器有異常，比如網絡連接活動異常，或是反病毒軟件/防火墻頻繁報警，用戶可以按照以下步驟檢查一下：
1、先退出所有的瀏覽器、應用程序、即時聊天工具，檢查網絡連接，然后在開始菜單里的“運行”輸入cmd，進入命令行狀態，如下圖

圖3

Netstat是系統自帶的網絡狀態檢查工具，可以發現一般木馬的網絡活動，但無法發現一些使用Rootkit技術的惡意軟件，用戶可以使用Microsoft的免費工具TCPview來加強檢測的效果。上圖能看出Netstat和TCPview的區別，Netstat顯示正常，但TCPview顯示有一個由svchost.exe發起，到192.168.4.134的異常TCP連接。
2、檢查完網絡連接之后，接下去要檢查系統中是否有異常進程，在這里我們使用系統自帶的命令Tasklist：

圖4

上圖是使用Tasklist/svc的顯示結果，/svc參數是顯示進程和服務的對應關系。紅框內的svchost.exe就是可疑進程，它啟動了一個名為zzxrubbr的服務。順便說一句，如果發信目標惡意軟件不是安裝成服務，而是獨立的一個進程，用戶可以使用taskkilltarget/force命令從內存中殺掉惡意軟件的進程。
3、使用Microsoft的免費工具psservice來查看該可疑服務的信息，psservice可以從PSTools工具包里找到，下圖是使用psservice查看zzxrubbr的結果：

圖5

4、根據服務名和可執行文件名字一般是相同的和絕大部分的服務程序或其他關鍵文件都放在system32下這一原則，先使用系統自帶的dir命令查找該可疑服務的文件：

圖6

由上圖可見dir命令找不到文件，dir的/a參數指顯示所有屬性的文件，包括隱藏和系統問題，/s參數是搜索的范圍包括當前目錄的所有子目錄。

共2頁: 1 [2] 下一頁