DOS命令下查杀病毒.docVIP

轻轻松松防毒 命令行下的抗毒精英 摘要：如今，电脑中招更是成了家常便饭。面对来势汹汹的病毒木马们，其实在Windows系统的命令行中，已为我们提供了一些非常有用的工具，充分利用就会变成我们对抗病毒的强力武器。 早在几年前，就有网友感叹道：人在网上漂，哪能不中标。如今，电脑中招更是成了家常便饭。面对来势汹汹的病毒木马们，杀毒软件和防火墙自然是一个都不能少。但有时还是有许多仅仅依靠杀毒软件和防火墙对付不了的顽固分子，这时该怎么办呢?其实在Windows系统的命令行中，已为我们提供了一些非常有用的工具，充分利用就会变成我们对抗病毒的强力武器。下面我们就来看看命令行下的强力抗毒武器。 一、TASKLIST——火眼金睛 如今的病毒越来越狡猾，常常不见首也不见尾。但许多病毒往往在进程这一环节中露出狐狸尾巴，因而查看进程是查杀病毒的一个重要的方法。命令行提供了进程查看的命令工具——Tasklist(Windows XP或更新版本)。此命令与任务管理器一样可以显示活动进程的列表。但通过使用参数，可以看到任务管理器查看不到的信息，可以实现更强大的功能。使用参数“/M”，运行“Tasklist /M”将显示每个任务加载的所有的DLL模块;使用参数“/SVC”，运行“Tasklist /SVC”命令则会显示每个进程中活动服务的列表，从中可以看到进程svchost.exe加载的服务，通过服务就能分辨出究竟是不是恶意病毒进程。此外，还能利用Tasklist命令来查看远程系统的进程，如在命令提示符下输入 “Tasklist /s 208.202.12.206 /u friend /p 123456”(不包括引号)即可查看到IP地址为208.202.12.206的远程系统的进程。其中/s参数后的 “208.202.12.206”指要查看的远程系统的IP地址，/u后的“friend”指Tasklist命令使用的用户账号，它必须是远程系统上的一个合法账号，/p后的“123456”指friend账号的密码。这样，网管进行远程查杀病毒也就方便多了。IE被恶意篡改，各种方法都改不会来了 二、TASKKILL——进程杀手 有了Tasklist这双火眼金睛，许多病毒就现身了，但更重要的不是找出病毒，而是要清除它们，这时另一个命令——TASKKIL就派上用场了。例如想结束某个进程，只需从任务管理器中记下进程名，运行下列命令即可：“TASKKILL /F /IM 进程名”;也可以通过连接PID的方式，可先运行“Tasklist”命令，记下进程的PID号，在命令提符下输入“taskkill /pid PID号”即可。说到这里恐怕有人要说这还不如直接利用任务管理器方便。而实际上TASKKILL命令的独门绝技就在于它能结束一些在任务管理器中不能直接中止的进程，这时就要加上参数“/F”，这样就能强制关闭进程，例如运行“TASKKILL /F /pid 1606”命令就能强制结束PID为1656的进程。除此之外，TASKKILL命令还能结束进程树、远程进程、指定筛选进或筛选出查询的的进程，具体操作可利用“taskkill/?”命令进行查看。 三、 Netstat——端口侦探 如今的木马越来越多，对用户的威胁也越来越大，于是出现许多专门用于木马查杀的工具。其实只要我们合理使用命令行下的Netstat命令就能查出大部分隐藏在电脑中的木马。 我们知道，大部分木马感染系统后都留有服务端口，而这类服务端口通常都处于 LISTENING状态，因而从端口的使用情况可以查到木马的踪迹，而这利用Netstat命令就能轻松实现。在命令行中运行“Netstat –a”，这个命令将显示一个所有的有效连接信息列表，包括已建立的连接(ESTABLISHED)，也包括监听连接请求(LISTENING)的那些连接。其中Proto代表协议，Local Address代表本机地址，该地址冒号后的数字就是开放的端口号，Foreign Address代表远程地址，如果和其它机器正在通信，显示的就是对方的地址，State代表状态，显示的LISTENING表示处于侦听状态，就是说该端口是开放的，由于木马开启后门成功后该后门处于LISTENING状态，因此你需要注意的就是处于LISTENING状态的端口，如果该端口号陌生，而且端口号数很大，你就应该有所警觉。 还可以查看使用端口所对应的进程来进一步确认，这就需要加上参数“-O”，运行 “Netstat –ao”命令就会显示一个所有的有效连接信息列表，并给出端口对应的PID号。 四、 FIND——捆绑克星 相信许多人都上过文件捆绑木马的当，表面看起来是一张漂亮MM的图片，而暗地里却隐藏着木马，这种通过文件捆绑进行隐藏是木马的惯用伎俩。而对可疑文件进行必要的检查及时处理往往就