自從惡意軟件背后的黑幕公諸于眾之后，越來(lái)越多的安全廠商加入圍剿惡意軟件的戰(zhàn)場(chǎng)，但惡意軟件同時(shí)也在不斷進(jìn)化，許多新技術(shù)應(yīng)用到惡意軟件的開發(fā)中，惡意軟件對(duì)查殺的抵抗性越來(lái)越強(qiáng)。雖然在圖形界面下有許多反病毒軟件或惡意軟件清理工具可以選擇，但用戶常會(huì)遇到用這類工具無(wú)法查殺惡意軟件，反被惡意軟件刪除或禁用的情況，而在系統(tǒng)命令行下進(jìn)行惡意軟件檢測(cè)和清除工作則沒(méi)有以上缺點(diǎn)，用戶了解一下具體的步驟是十分有必要的。筆者將通過(guò)實(shí)例向用戶介紹一下系統(tǒng)命令行下進(jìn)行惡意軟件檢測(cè)和清除的步驟、常用的系統(tǒng)自帶的命令和第三方工具。

　　測(cè)試環(huán)境是運(yùn)行在虛擬機(jī)中的英文版WindowsXPSP2，補(bǔ)丁齊全，惡意軟件樣本則選擇了一個(gè)互聯(lián)網(wǎng)上比較常見的木馬，如下圖：

　　

　　圖1

　　執(zhí)行后木馬程序消失：

　　

    圖2

　　假設(shè)用戶在此時(shí)發(fā)現(xiàn)自己的機(jī)器有異常，比如網(wǎng)絡(luò)連接活動(dòng)異常，或是反病毒軟件/防火墻頻繁報(bào)警，用戶可以按照以下步驟檢查一下：

　　1、先退出所有的瀏覽器、應(yīng)用程序、即時(shí)聊天工具，檢查網(wǎng)絡(luò)連接，然后在開始菜單里的“運(yùn)行”輸入cmd，進(jìn)入命令行狀態(tài)，如下圖

　　

　　圖3

　　Netstat是系統(tǒng)自帶的網(wǎng)絡(luò)狀態(tài)檢查工具，可以發(fā)現(xiàn)一般木馬的網(wǎng)絡(luò)活動(dòng)，但無(wú)法發(fā)現(xiàn)一些使用Rootkit技術(shù)的惡意軟件，用戶可以使用Microsoft的免費(fèi)工具TCPview來(lái)加強(qiáng)檢測(cè)的效果。上圖能看出Netstat和TCPview的區(qū)別，Netstat顯示正常，但TCPview顯示有一個(gè)由svchost.exe發(fā)起，到192.168.4.134的異常TCP連接。

　　2、檢查完網(wǎng)絡(luò)連接之后，接下去要檢查系統(tǒng)中是否有異常進(jìn)程，在這里我們使用系統(tǒng)自帶的命令Tasklist：

　　

　　圖4

　　上圖是使用Tasklist/svc的顯示結(jié)果，/svc參數(shù)是顯示進(jìn)程和服務(wù)的對(duì)應(yīng)關(guān)系。紅框內(nèi)的svchost.exe就是可疑進(jìn)程，它啟動(dòng)了一個(gè)名為zzxrubbr的服務(wù)。順便說(shuō)一句，如果發(fā)信目標(biāo)惡意軟件不是安裝成服務(wù)，而是獨(dú)立的一個(gè)進(jìn)程，用戶可以使用taskkilltarget/force命令從內(nèi)存中殺掉惡意軟件的進(jìn)程。

　　3、使用Microsoft的免費(fèi)工具psservice來(lái)查看該可疑服務(wù)的信息，psservice可以從PSTools工具包里找到，下圖是使用psservice查看zzxrubbr的結(jié)果：

　　

　　圖5

　　4、根據(jù)服務(wù)名和可執(zhí)行文件名字一般是相同的和絕大部分的服務(wù)程序或其他關(guān)鍵文件都放在system32下這一原則，先使用系統(tǒng)自帶的dir命令查找該可疑服務(wù)的文件：

　　

　　圖6

　　由上圖可見dir命令找不到文件，dir的/a參數(shù)指顯示所有屬性的文件，包括隱藏和系統(tǒng)問(wèn)題，/s參數(shù)是搜索的范圍包括當(dāng)前目錄的所有子目錄。

　　從這個(gè)木馬程序會(huì)隱藏網(wǎng)絡(luò)連接和自身文件的特性來(lái)看，可以確定樣本使用了Rootkit技術(shù)，常用的惡意軟件工具不一定能清除它。接下去筆者將繼續(xù)給大家演示如何在命令行下清除該木馬程序：

　　1、因?yàn)槟抉R程序安裝之后生成一個(gè)自啟動(dòng)服務(wù)，首先要做的就是停止并禁用該服務(wù)，依然使用Psservice：

　　

　　圖7

　　Psservicestopzzxrubbr停止可疑服務(wù)

　　Psserviceconfigzzxrubbrdisabled禁用可疑服務(wù)

　　使用psservice的好處是即使惡意軟件禁用了微軟控制臺(tái)mmc，用戶依然可以通過(guò)命令行下的操作控制服務(wù)，同時(shí)對(duì)一些不支持用戶交互操作的服務(wù)(大部分惡意軟件的服務(wù)屬于此類)也可以管理

　　2、重新啟動(dòng)系統(tǒng)之后，我們可以用dir來(lái)再次確認(rèn)可疑服務(wù)的可執(zhí)行文件是否存在：

　　

　　圖8

　　可以看到3個(gè)和可疑服務(wù)同名的文件，但擴(kuò)展名不同的文件。

　　3、好了，木馬的文件已經(jīng)全部找到，有三種方法可以清除：

　　1)刪除法，適合于惡意程序在內(nèi)存中的進(jìn)程已經(jīng)停止的場(chǎng)合，使用系統(tǒng)自帶的刪除命令del：

　　

　　圖9

　　2)重命名法，適用于目標(biāo)惡意軟件無(wú)法刪除、或內(nèi)存中無(wú)法清除惡意軟件進(jìn)程的場(chǎng)合，有時(shí)需要和系統(tǒng)另外一個(gè)命令attrib(命令行：attribhsrtarget)配合使用，改名之后需要重啟。重啟后目標(biāo)惡意軟件因?yàn)槲募呀?jīng)改變而無(wú)法啟動(dòng)，然后用戶手動(dòng)刪除惡意軟件的可執(zhí)行文件即可：

　　

　　圖10

　　3)修改權(quán)限法，是惡意軟件清除操作中最后也是最有效的一招，多用于無(wú)法刪除和重命名目標(biāo)惡意軟件的場(chǎng)合，使用修改權(quán)限法，還可以對(duì)目標(biāo)惡意軟件進(jìn)行免疫。重啟后，目標(biāo)惡意軟件因?yàn)闆](méi)有執(zhí)行權(quán)限無(wú)法啟動(dòng)，達(dá)到清除目的：

　　

　　圖11

　　Cacls命令是Windows自帶的命令行下文件權(quán)限管理工具，/d參數(shù)為拒絕指定用戶對(duì)指定文件的訪問(wèn)，在惡意軟件清除操作中，通常拒絕掉system和administrators用戶即可。

　　經(jīng)過(guò)以上步驟，一個(gè)帶Rootkit功能的惡意軟件樣本已經(jīng)被檢測(cè)并清除。其他類型的惡意軟件清除的步驟也大同小異，用戶需要了解的是常見惡意軟件的可執(zhí)行文件存放的地點(diǎn)，還有建議用戶在安全模式下進(jìn)行清除。舉另外的例子，比如常見的使用Autorun.inf的病毒，在系統(tǒng)命令行下殺掉病毒進(jìn)程之后，并在各個(gè)分區(qū)根目錄下刪掉autorun.inf和病毒可執(zhí)行文件、再清理系統(tǒng)目錄即可清除?？傊?，命令行下進(jìn)行惡意軟件的檢測(cè)和清除并不復(fù)雜，用戶在圖形界面下如果遇上清除不了的頑固惡意軟件，可以嘗試使用本文介紹的方法進(jìn)行清除。