怎样在命令行下检测和清除恶意软件

　　自从恶意软件背后的黑幕公诸于众之后，越来越多的安全厂商加入围剿恶意软件的战场，但恶意软件同时也在不断进化，许多新技术应用到恶意软件的开发中，恶意软件对查杀的抵抗性越来越强。虽然在图形界面下有许多反病毒软件或恶意软件清理工具可以选择，但用户常会遇到用这类工具无法查杀恶意软件，反被恶意软件删除或禁用的情况，而在系统命令行下进行恶意软件检测和清除工作则没有以上缺点，用户了解一下具体的步骤是十分有必要的。笔者将通过实例向用户介绍一下系统命令行下进行恶意软件检测和清除的步骤、常用的系统自带的命令和第三方工具。

　　测试环境是运行在虚拟机中的英文版WindowsXPSP2，补丁齐全，恶意软件样本则选择了一个互联网上比较常见的木马，如下图：

　　图1

　　执行后木马程序消失：

　　图2

　　假设用户在此时发现自己的机器有异常，比如网络连接活动异常，或是反病毒软件/防火墙频繁报警，用户可以按照以下步骤检查一下：

　　1、先退出所有的浏览器、应用程序、即时聊天工具，检查网络连接，然后在开始菜单里的“运行”输入cmd，进入命令行状态，如下图

　　图3

　　Netstat是系统自带的网络状态检查工具，可以发现一般木马的网络活动，但无法发现一些使用Rootkit技术的恶意软件，用户可以使用Microsoft的免费工具TCPview来加强检测的效果。上图能看出Netstat和TCPview的区别，Netstat显示正常，但TCPview显示有一个由svchost.exe发起，到192.168.4.134的异常TCP连接。