自從惡意軟件背后的黑幕公諸于眾之后，越來越多的安全廠商加入圍剿惡意軟件的戰場，但惡意軟件同時也在不斷進化，許多新技術應用到惡意軟件的開發中，惡意軟件對查殺的抵抗性越來越強。雖然在圖形界面下有許多反病毒軟件或惡意軟件清理工具可以選擇，但用戶常會遇到用這類工具無法查殺惡意軟件，反被惡意軟件刪除或禁用的情況，而在系統命令行下進行惡意軟件檢測和清除工作則沒有以上缺點，用戶了解一下具體的步驟是十分有必要的。筆者將通過實例向用戶介紹一下系統命令行下進行惡意軟件檢測和清除的步驟、常用的系統自帶的命令和第三方工具。

　　測試環境是運行在虛擬機中的英文版WindowsXPSP2，補丁齊全，惡意軟件樣本則選擇了一個互聯網上比較常見的木馬，如下圖：

　　

　　圖1

　　執行后木馬程序消失：

　　

    圖2

　　假設用戶在此時發現自己的機器有異常，比如網絡連接活動異常，或是反病毒軟件/防火墻頻繁報警，用戶可以按照以下步驟檢查一下：

　　1、先退出所有的瀏覽器、應用程序、即時聊天工具，檢查網絡連接，然后在開始菜單里的“運行”輸入cmd，進入命令行狀態，如下圖

　　

　　圖3

　　Netstat是系統自帶的網絡狀態檢查工具，可以發現一般木馬的網絡活動，但無法發現一些使用Rootkit技術的惡意軟件，用戶可以使用Microsoft的免費工具TCPview來加強檢測的效果。上圖能看出Netstat和TCPview的區別，Netstat顯示正常，但TCPview顯示有一個由svchost.exe發起，到192.168.4.134的異常TCP連接。

　　2、檢查完網絡連接之后，接下去要檢查系統中是否有異常進程，在這里我們使用系統自帶的命令Tasklist：

　　

　　圖4

　　上圖是使用Tasklist/svc的顯示結果，/svc參數是顯示進程和服務的對應關系。紅框內的svchost.exe就是可疑進程，它啟動了一個名為zzxrubbr的服務。順便說一句，如果發信目標惡意軟件不是安裝成服務，而是獨立的一個進程，用戶可以使用taskkilltarget/force命令從內存中殺掉惡意軟件的進程。

　　3、使用Microsoft的免費工具psservice來查看該可疑服務的信息，psservice可以從PSTools工具包里找到，下圖是使用psservice查看zzxrubbr的結果：

　　

　　圖5

　　4、根據服務名和可執行文件名字一般是相同的和絕大部分的服務程序或其他關鍵文件都放在system32下這一原則，先使用系統自帶的dir命令查找該可疑服務的文件：

　　

　　圖6

　　由上圖可見dir命令找不到文件，dir的/a參數指顯示所有屬性的文件，包括隱藏和系統問題，/s參數是搜索的范圍包括當前目錄的所有子目錄。

　　從這個木馬程序會隱藏網絡連接和自身文件的特性來看，可以確定樣本使用了Rootkit技術，常用的惡意軟件工具不一定能清除它。接下去筆者將繼續給大家演示如何在命令行下清除該木馬程序：

　　1、因為木馬程序安裝之后生成一個自啟動服務，首先要做的就是停止并禁用該服務，依然使用Psservice：

　　

　　圖7

　　Psservicestopzzxrubbr停止可疑服務

　　Psserviceconfigzzxrubbrdisabled禁用可疑服務

　　使用psservice的好處是即使惡意軟件禁用了微軟控制臺mmc，用戶依然可以通過命令行下的操作控制服務，同時對一些不支持用戶交互操作的服務(大部分惡意軟件的服務屬于此類)也可以管理

　　2、重新啟動系統之后，我們可以用dir來再次確認可疑服務的可執行文件是否存在：

　　

　　圖8

　　可以看到3個和可疑服務同名的文件，但擴展名不同的文件。

　　3、好了，木馬的文件已經全部找到，有三種方法可以清除：

　　1)刪除法，適合于惡意程序在內存中的進程已經停止的場合，使用系統自帶的刪除命令del：

　　

　　圖9

　　2)重命名法，適用于目標惡意軟件無法刪除、或內存中無法清除惡意軟件進程的場合，有時需要和系統另外一個命令attrib(命令行：attribhsrtarget)配合使用，改名之后需要重啟。重啟后目標惡意軟件因為文件名已經改變而無法啟動，然后用戶手動刪除惡意軟件的可執行文件即可：

　　

　　圖10

　　3)修改權限法，是惡意軟件清除操作中最后也是最有效的一招，多用于無法刪除和重命名目標惡意軟件的場合，使用修改權限法，還可以對目標惡意軟件進行免疫。重啟后，目標惡意軟件因為沒有執行權限無法啟動，達到清除目的：

　　

　　圖11

　　Cacls命令是Windows自帶的命令行下文件權限管理工具，/d參數為拒絕指定用戶對指定文件的訪問，在惡意軟件清除操作中，通常拒絕掉system和administrators用戶即可。

　　經過以上步驟，一個帶Rootkit功能的惡意軟件樣本已經被檢測并清除。其他類型的惡意軟件清除的步驟也大同小異，用戶需要了解的是常見惡意軟件的可執行文件存放的地點，還有建議用戶在安全模式下進行清除。舉另外的例子，比如常見的使用Autorun.inf的病毒，在系統命令行下殺掉病毒進程之后，并在各個分區根目錄下刪掉autorun.inf和病毒可執行文件、再清理系統目錄即可清除?？傊?，命令行下進行惡意軟件的檢測和清除并不復雜，用戶在圖形界面下如果遇上清除不了的頑固惡意軟件，可以嘗試使用本文介紹的方法進行清除。