First off, påkalle en ledetekst. Gå til Start - > Kjør og skriv inn "cmd.exe". Putting .exe på slutten av oppføringen er viktig; det er en langt tryggere måte å bringe opp en ledetekst. For å lure brukere, kan en ondsinnet program med hensikt bli kalt 'cmd.com ", og i et slikt tilfelle, vil malware kjøre hvis bare" cmd "ble skrevet. Dermed gå videre og skriv "cmd.exe" i stedet.
'netstat'
Neste, med en ledetekst går, kjører netstat kommandoen og ta en gasse på lytteportene på systemer. Mange vet at 'netstat -na "kan gi en liste over TCP og UDP-porter på maskinen. Legge til en 'o' til kommandoen argumenter kan avsløre prosess ID til hver prosessen med en port. Og, som starter med XP SP2, vil en ekstra 'b' flagg viser EXE navn ved hjelp av hver port, sammen med de dynamiske koblinger biblioteker (DLL-filer) som den har lastet å kommunisere med nettverket. Pass opp for "b", imidlertid. Funksjonen kan tygge opp noen alvorlige CPU tid, binde opp mellom 60% og 100% av prosessoren for opp til ett minutt.
Men, vent, det er mer. Tenk deg at du ønsker å se på portbruk, og se hvordan det endrer seg over tid. Legge til et mellomrom og deretter et tall til det netstat kommandoen, som i " netstat -nao en ", vil kjøre kommandoen med en frekvens tilsvarende tall, i dette tilfellet, for hver og en andre. Skjermen vil bli dumpet på skjermen kontinuerlig, som vist nedenfor.
Selvfølgelig, for å sile for malware som bruker TCP og UDP-porter, trenger du en idé om hva et system normale port bruk skal være. Til forskning portene som er i bruk på en boks, prøve å søke etter bestemte porter i Google. I tillegg har Microsoft en liste over vanlige portene som brukes av både Windows-klienter og servere. Du kan også forskning havner i forbindelse med både Microsoft og tredjeparts applikasjoner, samt offisielle port oppgavelister.
Hvis en uvanlig TCP eller UDP-port er funnet å være i bruk, kan det være lurt å gjøre et Google Søke. Bruk en " site: " direktiv som er forbundet med et antivirusselskap som Symantec, Sophos, eller McAfee. Nettstedene kan ha en skrive opp om malware som bruker den gitte porten. Her er et eksempel på en nyttig søk: site: symantec.com tcp port 4444.
'reg'
A skrive opp fra leverandøren av antivirusprogrammet kan gi ytterligere innsikt i noen registernøkler som malware kan ha endret. For å søke disse registernøkler på kommandolinjen, bruker reg kommandoen. Selv om antivirus webområdet ikke gi noen registernøkler for å se etter, kan det være lurt å undersøke de vanligste registernøkler endret av malware: tastene som er knyttet oppstart og pålogging. Kjent som " run " registernøkler kan reg kommandoen help vise sine verdier på kommandolinjen. Vær oppmerksom på at mange av legitim programvare aktiverer seg selv ved hjelp av disse tastene. Etter å ha kjørt kommandoen, vil du oppdage elementer under disse registernøkler. Igjen, noen Google-søk for hva som vises vil hjelpe separate legitime innstillinger fra malware
C:. \\ ≫ reg spør HKLM \\ Software \\ Microsoft \\ Windows \\ Currentversion \\ Run
C: \\ > reg spør HKLM \\ Software \\ Microsoft \\ Windows \\ Currentversion \\ RunOnce
C: \\ > reg spør HKLM \\ Software \\ Microsoft \\ Windows \\ Currentversion \\ RunOnce
Jeg vil anbefale å kjøre kommandoer en ekstra gang, og erstatte HKLM med HKCU. Substitusjons finner brukersentrert autostart registernøkler, i stedet for bare hele systemet innstillingene under HKLM.
'dir'
Det er også smart å sjekke ut autostart mappe for alle uventede programmer som starter derfra. Kjør den velkjente gamle dir-kommandoen, bruker /A for å vise filer med eller uten attributter satt, samt skjulte og ikke skjult filer
C:. \\ ≫ dir /A " C: \\ Documents and Settings \\ All Users \\ Start-meny \\ Programmer \\ Oppstart "
'nettbrukere "og" localgroup administratorer'
Noen malware legger en konto til den lokale maskinen. Derfor er det viktig å kjøre kommandoen "nettbrukere", som sjekker for kontoer som er definert i systemet. Også fordi noen roboter legge til en konto i den lokale administratorgruppen, sørg for å kjøre " localgroup administratorer, " som bør sjekke ut denne spesielle gruppen medlemskap. Kjenner du alle personene i administratorgruppen? Figuren nedenfor viser noen eksempler utgang
'tasklist /svc'
Det er én viktig område å analysere. Kjørende prosesser. I Windows XP Professional, kan tasklist kommandoen gir et vell av informasjon. Av seg selv, det viser kjørende prosesser, deres prosess ID-nummer og minnebruk. Men kjører "tasklist /svc 'avslører alle de tjenester som kjører ut av hver prosess, som vist nedenfor. Dette gir mer for å søke etter når forsker om den undersøkte systemet kan være infisert med onde programmer. Spesielt svchost.exe prosessene er vanligvis ganske opptatt, kjører mange tjenester. Spyware noen ganger setter ekstra tjenester i disse prosessene eller andre til å overvåke eller kontrollere en maskin smug.
Til slutt, kan dette håndfull kommandoer gi dypere innsikt i konfigurasjonen av en Windows-maskin. Men øvelse gjør mester. Tilbring tid på å analysere rene systemer, slik at du blir kjent med hva som er på en " normal " Windows-maskin. Deretter kan du bli mer følsomme for den rare ting som malware kan injisere. Med litt forberedelse og praksis, vil kommandolinje ferdigheter forbedre din forståelse av Windows-maskiner og forberede deg til kamp frimodig i kampen mot malware.
Mer om dette emnet
I vår Intrusion Defense skole, lære andre måter å fange Windows malware.
Hvor bra er Windows Vista virusbeskyttelse? Peter H. Gregory forklarer.