|
①在执行系统优化前(或者系统正常情况下),启动命令提示符输入“net start >d:/services.txt”。这样可以把当前系统开启的服务输出到d:/services.txt中,我们可以把这个作为系统服务正常状态的参照。
②如果对系统服务进行调整后发生故障,同上,再次执行“net start >d:/services1.txt”,将优化后的服务状态输出。
③继续在命令提示符下输入“fc d:/services.txt d:/services1.txt”,使用FC命令比较两个文件不同。我们很快就知道优化前后,一个名为“ServiceLayer”的服务发生变化(如图1)。
④现在单击“开始→运行”,输入“services.msc”打开系统服务管理窗口。按提示把ServiceLayer服务设置为“自动”并启动该服务顺利解决故障。
小提示:除了NET START命令,我们还可以借助sc query(列出当前服务详细信息)、sc query state= all(列出所有服务,包括硬件驱动服务),用类似于上面介绍的方法对服务进行更详尽的监测。
用WMIC命令,自启动程序一加就知
自启动程序是随着系统启动自动加载的,很多病毒、木马正是通过这种方式在系统中运行的。借助系统自带的WMIC命令可以非常方便地列出所有自启动程序。
①启动命令提示符输入wmic进行安装。以后就可以在命令提示符使用WMIC脚本了。在确保系统无毒或者正常使用的情况下,启动命令提示符输入“wmic startup list brief >d:/start.txt”,将系统所有自启动项输出到d:/start.txt。
②同上,现在如果怀疑系统增加了未知的自启动项,再次输入“wmic startup list brief >d:/start1.txt”,然后使用FC命令进行比较,很快就可以发现新增的启动项。
用WMIC命令,进程信息一目了然
WMIC命令还可以查看当前启动进程的详细信息。比如,笔者通过FC比较发现一个新增的rundll32.exe启动项目,但是经检查rundll32.exe却是个正常的系统文件。其实木马是通过rundll32.exe调用dll文件运行。
在命令提示符输入WMIC,在WMIC提示符wmic:root/cli>输入“process”,当前所有进程详细信息就一目了然了,可以看到rundll32.exe调用的是c:/windows/hgz.dll木马文件(如图2)。
小提示:在怀疑自己中招的时候,我们经常要使用任务管理器查看当前进程。但是任务管理器无法查看进程路径和参数。借助WMIC的process命令可以获取当前进程详细信息。因此我们可以在系统正常时使用process命令查看并记录开机进程。一旦发现异常,使用FC即可快速找出新增的进程,同时可以根据process提供的路径将异常程序删除。
没有相关教程
| 
注:本站部分文章源于互联网,版权归原作者所有!如有侵权,请原作者与本站联系,本站将立即删除! 本站文章除特别注明外均可转载,但需注明出处! [MinTao学以致用网] 
