从事应急响应事情几年之后，我认为总结一份快速确 定计算机是否被传染木马和病毒的“方**”是十分有用的。这显然不是那么简单的，可我却发明传染几乎存在于所有不庞大的打击中，如果你执行了以下检测，便 可发明存在传染并快速杀失它。所有这些工作都可以由一个成立于Windows命令行成果的打点员命令提示符完成。

1、WMIC 启动项（WMIC Startup Items）

Windows已经有一个非常强大的工具——WMIC，在以下几种方法中较容易为你的查询拜访成立启动项。只需打开一个命令提示符，然后输入【wmic startup list full】。这是一个真实的例子，猜一下哪个项目不属于此中，会是本地\姑且文件夹吗？是的。如果你知道应该在列表中的对象以及一般正常运行的位置，你就 能在这里暂停，凡是这都非常简单。找到措施，然后在malwr.com或者VirusTotal上查找它的散列，看看它有没有传染了其他什么，然后删除。

2、DNS 缓存（DNS Cache）

打开命令提示符，并输入【ipconfig/displaydns】。看看这些待反测的区域，有没有任何的异常现场？在VirusTotal或者其他处所寻找他们解析的域名及IP，看是否有与之相连的样本。如果有，那么你必定被传染了。这里有一个现成的例子：

3、WMIC 进程列表（WMIC Process List）

这是WMIC另一个受欢迎的项目，输入【wmic process list full|more】，或者更紧凑但是更长的输出【wmic process get description,processed,parentprocessid,commanline/format:csv.】。寻找在奇怪处所运行的 对象或者恶意、随机、名称怪怪的措施。

4、WMIC 处事列表（WMIC Service List）

如果你不清楚本身在寻找什么，那这个用起来可能对照困难。但是检测便利并且容易通过路径或者 exe名称发明恶意软件。格局与其他的相似，或者你也可以得到更具体“get”版本。输入【wmic service list full| more】或者【wmic service get name,processid,startmode,state,status,pathname /format:csv】。这里有个小例子展示了只有处事名称和路径的情况。

5、WMIC 事情列表（WMIC Job List）

这是个看起来最不成能发明任何对象的项目，因为绝大大都恶意软件都不用jobs，但是在例如MPlug的一些版本中，是很容易检测出的。输入【wmic job list full】，你能够获得一个【没有可用实例】的回执，这就意味着没有已布置的项目在执行。

6、Netstat

莫忘记根本，如果IP是谷歌或者stealyourbanknumber.su.【netstat -abno】的，输出可能需要搜索来检察，即使这样可以还是寻找奇异的外部站点端标语码，如25、8080、6667等等。

Netstat控制如下：

-a  显示所有连接和禁用词语端口-b  显示参预创建每个连接或者禁用词语端口的可执行文件-n  以数字形式显示地点和端标语码-o  显示拥有的每个与链接相关的进程ID

7、批措置惩罚惩罚文件版本

用一种简单可反复的方法完成这些WMIC对象并生成一份呈报，怎么样呢？我已经有了。把对象都丢到一个批措置惩罚惩罚文件中，然后设置一个主机名参数，你甚至能够在全网中使用它——获得其他计算机的适当权限，便利进行长途评估。

这个脚本可以让你更清楚的了解HTML格局的输出，此中包孕了你从电脑中获取的信息：

wmic /node:%1 computersystem get model,name,username,domain /format:htable > c:\triage-%1.htmlwmic /node:%1 startup list full /format:htable >> c:\triage-%1.htmlwmic /node:%1 process get description,processid,parentprocessid,commandline /format:htable >> c:\triage-%1.htmlwmic /node:%1 service get name,processid,startmode,state,status,pathname /format:htable >> c:\triage-%1.htmlwmic /node:%1 job list full /format:htable >> c:\triage-%1.html

存眷网络安适。存眷8090

欢迎访谒：中国8090小组