自從惡意軟件背后的黑幕公諸于眾之后，越來越多的安全廠商加入圍剿惡意軟件的戰(zhàn)場(chǎng)，但惡意軟件同時(shí)也在不斷進(jìn)化，許多新技術(shù)應(yīng)用到惡意軟件的開發(fā)中，惡意軟件對(duì)查殺的抵抗性越來越強(qiáng)。雖然在圖形界面下有許多反病毒軟件或惡意軟件清理工具可以選擇，但用戶常會(huì)遇到用這類工具無法查殺惡意軟件，反被惡意軟件刪除或禁用的情況，而在系統(tǒng)命令行下進(jìn)行惡意軟件檢測(cè)和清除工作則沒有以上缺點(diǎn)，用戶了解一下具體的步驟是十分有必要的。筆者將通過實(shí)例向用戶介紹一下系統(tǒng)命令行下進(jìn)行惡意軟件檢測(cè)和清除的步驟、常用的系統(tǒng)自帶的命令和第三方工具。
測(cè)試環(huán)境是運(yùn)行在虛擬機(jī)中的英文版WindowsXPSP2，補(bǔ)丁齊全，惡意軟件樣本則選擇了一個(gè)互聯(lián)網(wǎng)上比較常見的木馬，如下圖：

圖1

執(zhí)行后木馬程序消失：

圖2

假設(shè)用戶在此時(shí)發(fā)現(xiàn)自己的機(jī)器有異常，比如網(wǎng)絡(luò)連接活動(dòng)異常，或是反病毒軟件/防火墻頻繁報(bào)警，用戶可以按照以下步驟檢查一下：
1、先退出所有的瀏覽器、應(yīng)用程序、即時(shí)聊天工具，檢查網(wǎng)絡(luò)連接，然后在開始菜單里的“運(yùn)行”輸入cmd，進(jìn)入命令行狀態(tài)，如下圖

圖3

Netstat是系統(tǒng)自帶的網(wǎng)絡(luò)狀態(tài)檢查工具，可以發(fā)現(xiàn)一般木馬的網(wǎng)絡(luò)活動(dòng)，但無法發(fā)現(xiàn)一些使用Rootkit技術(shù)的惡意軟件，用戶可以使用Microsoft的免費(fèi)工具TCPview來加強(qiáng)檢測(cè)的效果。上圖能看出Netstat和TCPview的區(qū)別，Netstat顯示正常，但TCPview顯示有一個(gè)由svchost.exe發(fā)起，到192.168.4.134的異常TCP連接。
2、檢查完網(wǎng)絡(luò)連接之后，接下去要檢查系統(tǒng)中是否有異常進(jìn)程，在這里我們使用系統(tǒng)自帶的命令Tasklist：

圖4

上圖是使用Tasklist/svc的顯示結(jié)果，/svc參數(shù)是顯示進(jìn)程和服務(wù)的對(duì)應(yīng)關(guān)系。紅框內(nèi)的svchost.exe就是可疑進(jìn)程，它啟動(dòng)了一個(gè)名為zzxrubbr的服務(wù)。順便說一句，如果發(fā)信目標(biāo)惡意軟件不是安裝成服務(wù)，而是獨(dú)立的一個(gè)進(jìn)程，用戶可以使用taskkilltarget/force命令從內(nèi)存中殺掉惡意軟件的進(jìn)程。
3、使用Microsoft的免費(fèi)工具psservice來查看該可疑服務(wù)的信息，psservice可以從PSTools工具包里找到，下圖是使用psservice查看zzxrubbr的結(jié)果：

圖5

4、根據(jù)服務(wù)名和可執(zhí)行文件名字一般是相同的和絕大部分的服務(wù)程序或其他關(guān)鍵文件都放在system32下這一原則，先使用系統(tǒng)自帶的dir命令查找該可疑服務(wù)的文件：

圖6

由上圖可見dir命令找不到文件，dir的/a參數(shù)指顯示所有屬性的文件，包括隱藏和系統(tǒng)問題，/s參數(shù)是搜索的范圍包括當(dāng)前目錄的所有子目錄。

共2頁: 1 [2] 下一頁