在「主機異常連線與網路中繼站判斷」這篇中,有初步提及到從防火牆的日誌檔案,去追查異常的區域網路內的主機連線行為,而本篇,則是介紹,在本機輸入指令後,查詢異常的程式。
(1)在cmd視窗輸入「netstat -ano」指令
netstat -ano的指令,主要是查看目前在本機執行的程式有哪些,而且籍由該指令,我們可以查出電腦「當下」的本機位址,目前對外連線的IP、狀態、以及最重要的PID(process ID)
.jpg)
待查出異常的連線網址後,我們需記下當下的PID碼,例如1360
(2)開啟工作管理員視窗
點選檢視「選取欄位」
將「PID(處理程序識別碼)」的欄位勾選,開啟
(3)開啟工作視窗,輸入「msconfig」指令
從系統設定的功能中,在啟動的項目,可以看出,現有啟動區的應用程式有哪些,以及他的命令列功能,有時候惡意程式會常駐在啟動區,隨著系統開機後而自動啟動,因此,系統啟動項目也是需要檢查的地方
接著,在服務項目中,找尋現有執行中的程式有哪些,並初步排除啟動微軟的服務
小結
經由上述的基本操作方式和概念,我們可以利用windows的基本指令,來操作查看電腦異常的存取程式有哪些,排除正常的連線外,剩餘的程式就屬不正常的連線方式。
上述的基本操作,只能針對簡單的惡意程式,將惡意的執行過程寫入啟動區或沒隱匿完成,籍由這樣的檢查方式,查出異常的程式所在位置以及開啟的服務。
