logo

Diệt Virus bằng tay

Diệt Virus bằng tay Chào các bạn! Đôi khi chính chúng ta không ngờ rằng ta bị attacker tạo ra worm, trojan ....rồi bằng mọi cách đưa vào máy của chúng ta.Khi đó, các tools Anti-Virus thật sự rất có ích.Tuy nhiên, không phải lúc nào Anti-Virus cũng là tất cả bởi nhì thư viện của chúng chưa chắc đã là Full, hơn nữa có những con virus được tạo ra bởi các Attacker vẫn qua mặt được các tools này. Sau đây, mình xin trình bày với các bạn một số kỹ thuật diệt virus bằng tay. Tổng hợp được mấy lệnh trong CMD hỗ trợ để diệt virus bằng tay. Các bạn tham khảo : 1-TASKLIST - Hiển thị các tiến trình có PID lớn hơn 2000(tùy chọn PID) và in ra định dạng csv: hiển thị bao gồm "Image Name","PID","Session Name","Session#","Mem Usage","Status","User Name","CPU Time","Window Title" Tasklist /v /fi "pid gt 2000" /fo csv In ra một file cho dễ nhìn: Tasklist /v /fi "pid gt 2000" /fo csv >hell.txt -Để hiển thị các tiến trình với trạng thái đang chạy với các username mặc định với các username: system, network service, local service, administrator. Còn nếu bạn đang chạy trong user nào thì hiện thị với tên user đó Tasklist /fi "USERNAME eq NT AUTHORITY\SYSTEM” /fi "STATUS eq running" Tasklist /fi "USERNAME eq SYSTEM" /fi "STATUS eq running" Vidu với các id như 1234, 243, 879: taskkill /f /pid 1234 /pid 243 /pid 879 Taskkill /f /im explorer.exe /im system.exe /im userinit.exe -Bắt ép tắt tiến trình nào đó đang chạy với username system (vd như notepad.exe) Taskkill /f /fi “username eq system” /im notepad.exe -Tắt tiến trình theo dạng cây với số ID là 1234 nhưng chỉ với username nào đó (administrator chẳng hạn) Taskkill /pid 1234 /t fi “username eq administrator” -Tắt tiến trình với PID lớn hơn 2000 mà ko quan tâm đến tên của nó Taskkill /f /fi “pid ge 2000” /im * wmic process list full wmic process list brief /every:10 Lệnh này dùng cho các services -Truy vấn, xem các services, drivers SC query type= services SC query type= drivers Hoặc xem tất cả: SC query type= all -Tắt các dịch vụ đang chạy SC stop schedule tắt schedule SC stop srservice tắt system restore - Disabled một dịch vụ nào đó SC config schedule start= disabled SC config srservice start= disabled Với tên các services ở khóa HKLM\SYSTEM\CurrentControlSet\Services 6-NTSD Theo mình biết thì lệnh này dùng để debug Cũng ko biết nhiều về lệnh này có 2 lệnh sau dạng như tắt một tiến trình NTSD –c q –p PID NTSD –c q –pn name Vd: ntsd –c q –pn explorer.exe
Tải về miễn phí
DMCA.com Protection Status Copyright by webtailieu.net