注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

Tenhlf的博客

 
 
 

日志

 
 

系统进程心知肚明  

2009-01-16 10:03:49|  分类: Microsoft |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

一、轻松辨别不明进程——Tasklist

通常的病毒、木马的运行,都是有一定的进程的。查看进程通常大家会想到打开任务管理器,直接在“进程”标签中查看,且不说有一些病毒本身会禁止任务管理器的运行,在“进程”标签中有很多隐藏的进程是无法查看的,而且即使能够看到的进程的信息也是比较有限的。这时候不防试试第一位壮士:tasklist。

首先我们在“运行”中输入“cmd”并回车进入命令提示符窗口,然后输入tasklist,这样即可显示所有运行的进程。不过这时候显示的进程信息比较简单,还不能从中判断出其有无危害。对此,我们可以继续执行tasklist /m查看每个进程任务加载的dll模块,运行tasklist /svc了解每个进程中活动服务的列表。通过某个具体的进程加载的dll文件和服务,我们就可以辨别出所属进程是否存在危害。

二、进程轻松关闭——Ntsd

当我们查看到危险进程时,自然要将其关闭了。要关闭这些进程,有时在任务管理器的“进程”标签是关不掉的。这时另外一修正反毒壮士就派上用场了。

在通过运行Tasklist查看进程信息时,进程信息列表中有一列PID,找到然害进程的PID值并将其记录下来,然后在命令行下运行“ntsd -c q -p PID值”即可,通过这个命令可以将除系统核心进程外所有进程都能关闭。

另外如果不喜欢通过tasklist命令来查看PID值,那么可以直接打任务管理器窗口,然后在“进程”标签中打开“查看”菜单,选择“选择列”命令,把“PID”项选中,这样在“进程”标签中就可以直接查看PID值了。

三、查看开放端口——Netstat

木马病毒要通过网络进行传播,产生危害,都是通过电脑上一个个开放的端口来完成的,这些开放的端口就相当于一扇扇没有人看管的大门。

这时你不防在DOS提示符下运行“Netstat -a”,这样即可显示所有的端口开放连接信息。其信息中的Proto表示连接的协议,一般主要是TCP和UDP,Local Address是本地名称和地址,其中冒号后面的则是开放的端口号,Foreign Address表示远程连接的地址,State表示连接的状态,如果状态是Established表示已建立连接,如果是Listening表示有监听连接请求。如果发现有陌生的端口正处于监听状态或连接状态,那么就要进行进一步检查是否存在木马了。

四、揭开幕后黑手——Find

中木马很多时候都是因为运行了一些来历不明的文件,因为将木马捆绑在文件中是隐藏木马最常用的一种方法。因此在运行这类文件之前,我们可以先用Find命令来看是否捆绑其它文件。

在命令提示符下输入“Find /c "This Program" 检查的文件路径”,例如“Find /c "This Program" d:/itedit.doc”,命令执行之后,如果显示为0表示正常,如果高于0则可能捆绑其它文件。不过如果检查的是EXE文件,那么返回的值则是1,高于1才认为是危险的。

五、注册表保镖——FC

注册表也是很多病毒、木马以及恶意软件攻击的地方。如果要想检查是否被修改,那么可以事先做好准备工作。即运行“regedit”后打开注册表编辑器,然后选择根键后打开“文件”菜单下的“导出”命令,将正常的注册表导出一个源备份文件。

接下来要检查时,只需要再次检查注册表,然后在命令提示符下运行“FC /u 源文件.reg 对比检查文件.reg>change.txt”,运行执行后我们只需要打开当前目录下的change.txt即可了解注册表改动的详细信息了。

  评论这张
 
阅读(475)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018