扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
菜鸟自杀病毒-进程管理篇
第一部分 操作系统自带的small工具
物尽其材,使用操作系统自带的命令结束部分病毒进程
1,随心所欲的任务管理器
1)如何召唤:
键盘组合 ctrl+alt+del 或者ctrl+shift+esc
鼠标飞点 右键任务栏---任务管理器
2)如何使用:
切换到进程项目,然后选择要结束的进程,右键结束进程
2,黑白双煞 taskilist taskkill
1,白煞tasklist 显示当前运行的进程列表
1) 如何召唤:
开始-运行 输入 cmd 进入命令提示行以后,运行tasklist即可召唤
2) 如何使用;
可以输入tasklist /?查询命令支持的参数或者直接运行即可
3) 常用参数与实战;
tasklist
/m Module
列出与给定模式名称匹配的加载了 DLL 模块的所有任务。如果未指定模块名称,该选项将显示每个任务加载的所有模块。
Eg;tasklist /m LPK.DLL 这个命令将显示出所有加载了LPK.DLL的进程列表
/svc
无截断地列出每个进程的所有服务信息
Eg:tasklist /svc
2,黑煞taskkill,结束一个或多个任务或进程
1) 如何召唤:
开始-运行 输入 cmd 进入命令提示行以后,运行tasklill即可召唤
2) 如何使用;
通过taslist获得进程列表 然后可以输入taskkill /?查询命令支持的参数 以便用适合自己的方式管理相应的进程
3) 常用参数与实战;
taskkill
/pid pid代号(对应于tasklist 结果中的pid栏)
指定将终止的进程的进程 ID。
Eg 有一个进程PID 为 2864 那么我们可以命令行下输入 taskkill /pid 2864 来结束这个进程
/im 程序名称
指定将终止的进程名称。
Eg 有一个进程名叫 wintersweet.exe 那么我们可以在命令行下输入 taskkill /im wintersweet.exe来结束这个进程(进程中所有和wintersweet.exe名称相同的进程都会被结束掉)
小技巧:
taskkill /pid 3844 /pid 2836 这条命令将同时结束pid分别为3844和2836的进程
taskkill /im kav32.exe /im notepad++.exe 这条命令将同时结束进程名为kav32.exe 和notepad++.exe的进程
3,黑面剑客 NTSD
1) 如何召唤:
开始-运行 输入 cmd 进入命令提示行以后,运行ntsd即可召唤
2) 如何使用;
通过taslist获得进程列表 然后可以输入ntsd /?查询命令支持的参数 以便用适合自己的方式管理相应的进程
3) 常用参数与实战;
-c 执行debug命令
q 退出
-p 调试指定PID的进程
-pn 调试指定进程名称的进程(后缀名.exe是不可省略)
Eg1 通过tasklist命令查看到一个进程PID为 3912 我们可以通过NTSD -c q p 3912来结束该进程,会启动一个新的cmd窗口,过一会就自动关闭了,我们想结束的进程也被结束了
Eq2 通过tasklist命令查看到一个进程名为explorer.exe,我们可以通过NTSD -c q -pn explorer.exe来结束该进程,会启动一个新的cmd窗口,过一会就自动关闭了,我们想结束的进程也被结束了
注意: System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的,最后那个是Win32子系统,ntsd本身需要它,ntsd从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出,所以可以用来在命令行下终止进程。使用ntsd自动就获得了debug权限,从而能杀掉大部分的进程。
4,相关资源:
命令行参考
第二部分:
1,适用范围:
1)采用双进程保护自己的病毒程序,我们可以先挂起一个进程然后结束另一个进程(只需要右键病毒进程然后选择 suspend『挂起』就可以了)
2)采用线程保护自己的进程,或者通过线程插入来系统进程来达到盗号或者其他行为的病毒(双击病毒线程插入的系统进程一般是explorer.exe winlogon.exe,svchost.exe等 或者右键这些被注入病毒dll的进程选择properties『属性』 打开属性对话框 然后切换到 threads『线程』选项卡 找到病毒dll 选择suspend,然后尝试删除病毒dll文件 重启再看看
)
2,相关资源:
Process Explorer v11.04官方下载页面
Process xp 11.04爱毒霸论坛点击下载
第三部分:icesword(冰刃)的加强版本的进程管理工具
对付一些采用进程隐藏技术来隐藏自己进程的病毒
1,适用范围
1)采取多进程保护(可以同时选择这几个进程 然后结束进程),
2) 采取线程保护来重新创建自己进程的病毒(可以在文件设置里面设置禁止进线程创建以后再结束病毒进程)
3) 采用进程隐藏技术的病毒 比如新版本的灰鸽子会创建一个隐藏的进程任务管理器 process xp 之类的不能查看这个病毒进程,这时候我们就可以使用冰刃来结束病毒的进程
2,相关资源
icesword(冰刃)官方下载页面
icesword(冰刃)爱毒霸点击下载
第四部分: 金山清理专家的进程插件,会分辨黑白的进程管理插件
金山清理专家进程管理优势在于能够判断进程是否安全,还可以找出存在分享的进程
1,适用范围:
1) 对系统进程不熟悉不知道无法判断是不是病毒进程的时候
2) 进程看上去都是正常,但是有病毒dll注入的情况
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者