学习报名咨询
  点击发送消息给对方 251000035
  点击发送消息给对方 136830676
在线课程辅导
  点击发送消息给对方 251000035
推荐工作就业
  点击发送消息给对方 765476665
出售教程教材
  点击发送消息给对方 136830676
怎样在命令行下检测和清除恶意软件-海城市鑫海电脑学校|海城市鑫海电脑培训学校|海城市鑫海计算机培训学校|海城市专本科学历|海城市电脑|海城市建筑装潢|海城市机械制图

平面设计专业、室内外设计专业、硬件组与装维护、计算机网络工程、平面应用创意、会计电算化等课程已开课。可试听后,报名学习。
电话:0412--3182576
手机:15842034546
学校招生进行中!!!


·辽宁理工成人教育招生
·辽宁理工学院招生专业
·UG NX三维机械、模具设计
·SolidWorks三维机械制图
·3ds max室内效果图表现
·AutoCAD建筑、机械三维
·AutoCAD建筑、机械二维
·3ds max室外建筑图表现
·VRay渲染
·方正飞腾排版
·平面设计师
·室内外设计师
·硬件组装与维护工程师
·动画设计师
·影视后期合成师
·平面应用创意
·计算机网络工程师
·会计电算化
·电脑基础与office办公
·网页设计师
您最在意鑫海为您做些什么?
1.提供最优质的教学
2.提供满意就业去向
3.提供理想学习环境
4.提供终身学习升级
5.无所谓有点说不清
 
 

怎样在命令行下检测和清除恶意软件
 
时间:2008/2/14 16:17:08 来源:鑫海电脑学校

有许多反病毒软件或恶意软件清理工具可以选择,但用户常会遇到无法查杀恶意软件,反被恶意软件删除或禁用的情况,下面介绍一下系统命令行下进行恶意软件检测和清除的步骤、常用的系统自带的命令和第三方工具……

  自从恶意软件背后的黑幕公诸于众之后,越来越多的安全厂商加入围剿恶意软件的战场,但恶意软件同时也在不断进化,许多新技术应用到恶意软件的开发中,恶意软件对查杀的抵抗性越来越强。虽然在图形界面下有许多反病毒软件或恶意软件清理工具可以选择,但用户常会遇到用这类工具无法查杀恶意软件,反被恶意软件删除或禁用的情况,而在系统命令行下进行恶意软件检测和清除工作则没有以上缺点,用户了解一下具体的步骤是十分有必要的。笔者将通过实例向用户介绍一下系统命令行下进行恶意软件检测和清除的步骤、常用的系统自带的命令和第三方工具。

  测试环境是运行在虚拟机中的英文版WindowsXPSP2,补丁齐全,恶意软件样本则选择了一个互联网上比较常见的木马,如下图:

  

  图1

  执行后木马程序消失:

  

  图2

假设用户在此时发现自己的机器有异常,比如网络连接活动异常,或是反病毒软件/防火墙频繁报警,用户可以按照以下步骤检查一下:

  1、先退出所有的浏览器、应用程序、即时聊天工具,检查网络连接,然后在开始菜单里的“运行”输入cmd,进入命令行状态,如下图

  

  图3

  Netstat是系统自带的网络状态检查工具,可以发现一般木马的网络活动,但无法发现一些使用Rootkit技术的恶意软件,用户可以使用Microsoft的免费工具TCPview来加强检测的效果。上图能看出Netstat和TCPview的区别,Netstat显示正常,但TCPview显示有一个由svchost.exe发起,到192.168.4.134的异常TCP连接。

  2、检查完网络连接之后,接下去要检查系统中是否有异常进程,在这里我们使用系统自带的命令Tasklist:

  

  图4

  上图是使用Tasklist/svc的显示结果,/svc参数是显示进程和服务的对应关系。红框内的svchost.exe就是可疑进程,它启动了一个名为zzxrubbr的服务。顺便说一句,如果发信目标恶意软件不是安装成服务,而是独立的一个进程,用户可以使用taskkilltarget/force命令从内存中杀掉恶意软件的进程。

3、使用Microsoft的免费工具psservice来查看该可疑服务的信息,psservice可以从PSTools工具包里找到,下图是使用psservice查看zzxrubbr的结果:

  

  图5

  4、根据服务名和可执行文件名字一般是相同的和绝大部分的服务程序或其他关键文件都放在system32下这一原则,先使用系统自带的dir命令查找该可疑服务的文件:

  

  图6

  由上图可见dir命令找不到文件,dir的/a参数指显示所有属性的文件,包括隐藏和系统问题,/s参数是搜索的范围包括当前目录的所有子目录。

  从这个木马程序会隐藏网络连接和自身文件的特性来看,可以确定样本使用了Rootkit技术,常用的恶意软件工具不一定能清除它。接下去笔者将继续给大家演示如何在命令行下清除该木马程序:

  1、因为木马程序安装之后生成一个自启动服务,首先要做的就是停止并禁用该服务,依然使用Psservice:

  

  图7

Psservicestopzzxrubbr停止可疑服务

  Psserviceconfigzzxrubbrdisabled禁用可疑服务

  使用psservice的好处是即使恶意软件禁用了微软控制台mmc,用户依然可以通过命令行下的操作控制服务,同时对一些不支持用户交互操作的服务(大部分恶意软件的服务属于此类)也可以管理

  2、重新启动系统之后,我们可以用dir来再次确认可疑服务的可执行文件是否存在:

  

  图8

  可以看到3个和可疑服务同名的文件,但扩展名不同的文件。

  3、好了,木马的文件已经全部找到,有三种方法可以清除:

  1)删除法,适合于恶意程序在内存中的进程已经停止的场合,使用系统自带的删除命令del:

  

  图9

2)重命名法,适用于目标恶意软件无法删除、或内存中无法清除恶意软件进程的场合,有时需要和系统另外一个命令attrib(命令行:attrib–h–s–rtarget)配合使用,改名之后需要重启。重启后目标恶意软件因为文件名已经改变而无法启动,然后用户手动删除恶意软件的可执行文件即可:

  

  图10

  3)修改权限法,是恶意软件清除操作中最后也是最有效的一招,多用于无法删除和重命名目标恶意软件的场合,使用修改权限法,还可以对目标恶意软件进行免疫。重启后,目标恶意软件因为没有执行权限无法启动,达到清除目的:

  

  图11

  Cacls命令是Windows自带的命令行下文件权限管理工具,/d参数为拒绝指定用户对指定文件的访问,在恶意软件清除操作中,通常拒绝掉system和administrators用户即可。

  经过以上步骤,一个带Rootkit功能的恶意软件样本已经被检测并清除。其他类型的恶意软件清除的步骤也大同小异,用户需要了解的是常见恶意软件的可执行文件存放的地点,还有建议用户在安全模式下进行清除。举另外的例子,比如常见的使用Autorun.inf的病毒,在系统命令行下杀掉病毒进程之后,并在各个分区根目录下删掉autorun.inf和病毒可执行文件、再清理系统目录即可清除。总之,命令行下进行恶意软件的检测和清除并不复杂,用户在图形界面下如果遇上清除不了的顽固恶意软件,可以尝试使用本文介绍的方法进行清除。

·辽宁理工学院成人高等教育
·辽宁理工学院就业安排!
·辽宁理工学院招生专业!
·辽宁理工学院校园!
·辽宁理工学院简介!
·电脑中的文件夹无法删除解
·CPU相关知识!!!
·市面售刻录机挑选指南
·计算机病毒大全
·死机与内存的关系
·我校学员实习、就业基地成
·DM万用版中文使用手册
·辽宁理工成人教育招生
·市面售刻录机挑选指南
·我校学员可考取的权威IT
·计算机病毒大全
·CPU相关知识!!!
·平面设计专业就业前景分析
·几分钟让你的系统也变正版
·电脑中的文件夹无法删除解
 
Copyright © 2007 http://www.hcxinhai.com/ All Rights Reserved | 海城市鑫海电脑学校|海城市鑫海电脑培训学校|海城市鑫海计算机培训学校|海城市专本科学历|海城市电脑|海城市建筑装潢|海城市机械制图 版权所有
工业和信息化部ICP/IP备案:辽ICP备19013367号-1 辽公网安备案:辽公网安备21038102000030号 | 设计维护:张玉柱
校址:海城市新立转盘。  邮编:114200  电话:0412--3182576 手机:15842034546  传真:0412--3182576