1. 用fc命令辅助查杀DLL木马
在windows XP 系统中,system32 目录是木马隐身的常用地方,查起来非常困难,DLL木马尤其如此。 针对这一点,用户可以在安装好系统和必要的应用程序后,对该目录下的EXE和DLL 文件作一个记录。具体方法如下:
打开“命令提示符”,进入 system32 目录下。接着输入“dir *.exe>exeback.txt & dir *.dll>dllback.txt”,按回车键,这样所有的EXE 和 DLL 文件的名称都分别被记录到exeback.txt 和 dllback.txt中。
日后如发现系统运行异常,使用杀毒软件又查不出问题时,就需要考虑一下系统中是否已经潜入DLL木马程序了。这是再次在提示符后输入“dir *.exe>exeback1.txt & dir *.dll>dllback1.txt”,按回车键,将当前system32目录下所有的EXE 和 DLL 文件的名称都分别记录到 exeback1.txt 和 dllback1.txt 中。
然后在提示符后输入“fc exeback.txt exeback1.txt>diff.txt & fc dllback.txt dllback1.txt>diff.txt”按回车键,利用fc 命令比较前后两次所保存的文件,再通过查看创建时间,版本,是否经过压缩等,就能够比较容易地判断出是不是已经中了DLL 木马了。接下来重启系统,进入安全模式下,逐一删除这些木马程序即可。
2. 用 netstat 命令查看打开可疑端口的恶意程序
输入 “netstat -ano” ,将显示当前活动端口及对应的进程标识(PID)。接着在提示符后输入“tasklist”,按回车键,将显示当前系统中正在运行的应用程序及其对应的进程标识。先从先“netstat -ano”结果窗口找到可疑端口,然后根据其PID在tasklist 命令中查找对应的程序,就能知道可疑端口对应的程序名了。从而判断可疑端口是否是恶意程序打开的,进而采取终止进程,删除恶意程序的安全措施。
在XP系统下,可以利用“netstat -anb” 显示所有端口所对应的进程信息。
还可用 工具 Fport 命令查看开放端口对应的程序。