ãã
ç´æ¥å¨ä»»å¡ç®¡çå¨å°±å¯ä»¥ç»æç
毫æ çé®çæ¯,æ们æ大éç第ä¸æ¹è¿ç¨ç®¡çå·¥å
·,åè½å¼ºå¤§,èä¸æäºçå°å¯ä»¥æ¸
æ¥ærootkitä¸ç±»çæ¨é©¬è¿ç¨.ä½æ¯ä¸è¬æ¥è¯´,å¦æ计ç®æº
没æéå°ä¸¥éçå®å
¨é®é¢,é£ä¹WINDOWSèªå·±å¸¦çä¸äºå½ä»¤è¶³å¤æ们解å³ä¸äºè¿ç¨ç®¡çé®é¢.åµä¸ææ¶å计ç®æºä¸æ²¡æ第ä¸æ¹ç¨åº,ä»»å¡ç®¡çå¨ç
åæ æ³ä½¿ç¨(æ¯å¦è¯´æäºç
æ¯ä¼ææè¿ç¨ç®¡çå¨)é£ä¹è¿æ¶åå½ä»¤è¡ç好å¤è¿æ¯ææ¾ç.
é¦å
å¿
须详ç»ç解éä¸ä¸,è¿ç¨çæ¦å¿µ.è¿ç¨å®é
ä¸æ¯ä¸ä¸ªæ¯è¾å¤§çåä½,å®æ¯è®¡ç®æºç³»ç»ä¸è¿è¡ççç¨åºå®ä½.æ¯ä¸ä¸ªè¿ç¨å¯ä»¥åæ¶æ¥æå¤
个线ç¨,å è½½å¤ä¸ªå¨ææè
éæçåºæ件.
æ举ä¸ä¸ªç°å®çåå好äº,æç°å¨æ³ççæ¬æºæåªäºç¨åºå¨ä½¿ç¨ç½ç»,ç¶åæè¿äºç¨åºå
³é.å¨è¿ä¸ªè¿ç¨ä¸,æä»ç»ä¸ä¸NTç³»ç»ä¸èªå¸¦çåè¿
ç¨æå
³çå½ä»¤.æ±æ,æè§å¾æ²¡æå¿
è¦è¯¦ç»çååºææºå¨ä¸çè¿ç¨,大家å¯ä»¥å¨èªå·±çæºå¨ä¸çè¿è¡ç»æ
c:>netstat -a -o
æ们å¯ä»¥çå°,ç®åæå¤å°ä¸ªè¿ç¨å¨ä½¿ç¨ç½ç»,è½ç¶çä¸è§åå,ä½æ¯æ们å¯ä»¥ç¥éå®ä»¬çPID.ä»ä¹æ¯PID?å°±æ¯process id,æ¯NTç³»ç»ç»æ¯ä¸
个è¿ç¨åé
çç¼å·.ç°å¨æ们å¯ä»¥æ¥çä¸ä¸ç®åçè¿ç¨.
C:>tasklist
ç¶å,æ们åªè¦å¯¹ç
§ä¸¤è
,å°±å¯ä»¥ç¥é,åªäºç¨åºæ£å¨ä½¿ç¨ç½ç»äº.æ¯å¦è¯´QQ.å¦æä½ ç°å¨æ³å¹²æQQ,å½ç¶,ææ¯è¯´ä¸ç¨å®èªå¸¦çéåº,é£ä¹QQæ»
å
±æå¤å°ç§å½ä»¤è¡ä¸çæ»æ³å¢?
ä¸ç§!tskillå½ä»¤,taskkillå½ä»¤,ntsdå½ä»¤.
tskillå½ä»¤ç使ç¨æ为ç®å,C:>tskill
TSKILL processid | processname [/SERVER:servername] [/ID:sessionid | /A] [/V]
processid è¦ç»æçè¿ç¨ç Process IDã
processname è¦ç»æçè¿ç¨å称ã
/SERVER:servername å«æ processID çæå¡å¨(é»è®¤å¼æ¯å½åå¼)ã
使ç¨è¿ç¨åå /SERVER æ¶ï¼å¿
é¡»æå®
/ID æ /A
/ID:sessionid ç»æå¨æå®ä¼è¯ä¸è¿è¡çè¿ç¨ã
/A ç»æå¨ææä¼è¯ä¸è¿è¡çè¿ç¨ã
/V æ¾ç¤ºæ£å¨æ§è¡çæä½çä¿¡æ¯ã
taskkillå½ä»¤ä¸»è¦ç好å¤æ¯å¸¦å¾å¤çéå¨,å¯ä»¥æ¹éç»æè¿ç¨
C:>taskkill /?
TASKKILL [/S system [/U username [/P [password]]]]
{ [/FI filter] [/PID processid | /IM imagename] } [/F] [/T]
æè¿°:
è¿ä¸ªå½ä»¤è¡å·¥å
·å¯ç¨æ¥ç»æè³å°ä¸ä¸ªè¿ç¨ã
å¯ä»¥æ ¹æ®è¿ç¨ id æå¾ååæ¥ç»æè¿ç¨ã
åæ°å表:
/S system æå®è¦è¿æ¥å°çè¿ç¨ç³»ç»ã
/U [domain]user æå®åºè¯¥å¨åªä¸ªç¨æ·ä¸ä¸æ
æ§è¡è¿ä¸ªå½ä»¤ã
/P [password] 为æä¾çç¨æ·ä¸ä¸ææå®
å¯ç ãå¦æ忽ç¥ï¼æ示è¾å
¥ã
/F æå®è¦å¼ºè¡ç»æ¢
è¿ç¨ã
/FI filter æå®çéè¿æçéåºæ¥è¯¢ç
çä»»å¡ã
/PID process id æå®è¦ç»æ¢çè¿ç¨ç
PIDã
/IM image name æå®è¦ç»æ¢çè¿ç¨ç
å¾ååãéé
符 '*'
å¯ç¨æ¥æå®ææå¾ååã
/T Tree kill: ç»æ¢æå®çè¿ç¨
åä»»ä½ç±æ¤å¯å¨çåè¿ç¨ã
/? æ¾ç¤ºå¸®å©/ç¨æ³ã
çéå¨:
çéå¨å ææè¿ç®ç¬¦ ææå¼
----------- --------------- --------------
STATUS eq, ne è¿è¡ | 没æååº
IMAGENAME eq, ne å¾åå
PID eq, ne, gt, lt, ge, le PID å¼
SESSION eq, ne, gt, lt, ge, le ä¼è¯ç¼å·
CPUTIME eq, ne, gt, lt, ge, le CPU æ¶é´ï¼æ ¼å¼ä¸º
hh:mm:ssã
hh - æ¶ï¼
mm - éï¼ss - ç§
MEMUSAGE eq, ne, gt, lt, ge, le å
å使ç¨ï¼åä½ä¸º KB
USERNAME eq, ne ç¨æ·åï¼æ ¼å¼ä¸º
[domain]user
MODULES eq, ne DLL å
SERVICES eq, ne æå¡å
WINDOWTITLE eq, ne çªå£æ é¢
注æ: åªæ带æçéå¨çæ
åµä¸ï¼æè½è· /IM åæ¢ä½¿ç¨éé
符 '*'ã
注æ: è¿ç¨è¿ç¨æ»æ¯è¦å¼ºè¡ç»æ¢ï¼
ä¸ç®¡æ¯å¦æå®äº /F é项ã
ä¾å¦:
TASKKILL /S system /F /IM notepad.exe /T
TASKKILL /PID 1230 /PID 1241 /PID 1253 /T
TASKKILL /F /IM notepad.exe /IM mspaint.exe
TASKKILL /F /FI "PID ge 1000" /FI "WINDOWTITLE ne untitle*"
TASKKILL /F /FI "USERNAME eq NT AUTHORITYSYSTEM" /IM notepad.exe
TASKKILL /S system /U domainusername /FI "USERNAME ne NT*" /IM *
TASKKILL /S system /U username /P password /FI "IMAGENAME eq note*"
æä¸äºé«ç级çè¿ç¨,tskillåtaskkillæ许æ æ³ç»æ,é£ä¹æ们è¿æä¸ä¸ªæ´å¼ºå¤§çå·¥å
·,é£å°±æ¯ç³»ç»debug级çntsd.åç¡®ç说,ntsdæ¯ä¸ä¸ª
ç³»ç»è°è¯å·¥å
·,åªæä¾ç»ç³»ç»å¼å级ç管çå使ç¨,ä½æ¯å¯¹æ们ææè¿ç¨è¿æ¯å¾ç½ç.åºæ¬ä¸é¤äºWINDOWSç³»ç»èªå·±ç管çè¿ç¨,ntsdé½å¯ä»¥ææ.
å½ç¶å¯,æäºrootkit级å«çè¶
级æ¨é©¬,è¿æ¯æ è½ä¸ºå,幸好è¿ç§çç级å«çæ¨é©¬è¿æ¯å¾å°ç.
NTSD è°è¯ç¨åºå¨å¯å¨æ¶è¦æ±ç¨æ·æå®ä¸ä¸ªè¦è¿æ¥çè¿ç¨ãä½¿ç¨ TLIST æ PVIEWERï¼æ¨å¯ä»¥è·å¾æ个ç°æè¿ç¨çè¿ç¨ IDï¼ç¶åé®å
¥ NTSD -p pid æ¥è°è¯è¿ä¸ªè¿ç¨ãNTSD å½ä»¤è¡ä½¿ç¨å¦ä¸çå¥æ³ï¼
NTSD [options] imagefile
å
¶ä¸ï¼imagefile æ¯è¦è°è¯çæ åå称ï¼options æ¯ä¸é¢é项ä¹ä¸ï¼
é项说æ-2æå¼ä¸ä¸ªç¨äºè°è¯å符模å¼çåºç¨ç¨åºçæ°çªå£-då°è¾åºéå®åå°è°è¯ç»ç«¯-g 使æ§è¡èªå¨éè¿ç¬¬ä¸ä¸ªæç¹-G使 NTSD å¨åç¨åºç»æ¢æ¶ç«å³éåºoå¯ç¨å¤ä¸ªè¿ç¨çè°è¯ï¼é»è®¤å¼ä¸ºç±è°è¯ç¨åºè¡ççä¸ä¸ªè¿ç¨-pæå®è°è¯ç±è¿ç¨ ID æ è¯çè¿ç¨-v产ç详ç»çè¾åº
ä¾å¦ï¼å设 inetinfo.exe çè¿ç¨ ID 为 104ãé®å
¥ä»¥ä¸å½ä»¤å° NTSD è°è¯ç¨åºè¿æ¥å° inetinfo è¿ç¨ (IIS)ã
NTSD -p 104
ä¹å¯ä½¿ç¨ NTSD å¯å¨ä¸ä¸ªæ°è¿ç¨æ¥è¿è¡è°è¯ãä¾å¦ï¼NTSD notepad.exe å°å¯å¨ä¸ä¸ªæ°ç notepad.exe è¿ç¨ï¼å¹¶ä¸å®å»ºç«è¿æ¥ã
ä¸æ¦è¿æ¥å°æ个è¿ç¨ï¼æ¨å°±å¯ä»¥ç¨åç§å½ä»¤æ¥æ¥çå æ ã设置æç¹ã转å¨å
åï¼ççã
å½ä»¤å«ä¹~æ¾ç¤ºææ线ç¨çä¸ä¸ªå表KB æ¾ç¤ºå½å线ç¨çå æ 轨迹~*KBæ¾ç¤ºææ线ç¨çå æ 轨迹Ræ¾ç¤ºå½å帧çå¯åå¨è¾åºUåæ±ç¼ä»£ç 并æ¾ç¤ºè¿ç¨ååå移éD[type][<range>]转å¨å
åBP[#] <address>设置æç¹BC[<bp>]æ¸
é¤ä¸ä¸ªæå¤ä¸ªæç¹BD[<bp>]ç¦ç¨ä¸ä¸ªæå¤ä¸ªæç¹BE[<bp>]å¯ç¨ä¸ä¸ªæå¤ä¸ªæç¹BL[<bp>]ååºä¸ä¸ªæå¤ä¸ªæç¹
个人æè§,æä¸ä¸ªé常éè¦çåæ°å°±æ¯-våæ°,æ们å¯ä»¥éè¿å®åç°ä¸ä¸ªè¿ç¨ä¸é¢ææ¥äºåªäºè¿æ¥åºæ件.æå¾å¤ç
æ¯,æ¨é©¬,æè
æ¶æ软件,é½å欢æèªå·±åæå¨æåº,ç¶å注åå°ç³»ç»æ£å¸¸ç¨åºçå è½½åºå表ä¸,è¾¾å°éèèªå·±çç®ç.
é¦å
æ们éè¦è®¾ç½®ä¸ä¸ntsdçè¾åºéå®å,æ好æ¯éå®åå°ä¸ä¸ªææ¬æ件,æ¹ä¾¿æ们åæç 究.
c:>set _NT_DEBUG_LOG_FILE_APPEND=c:pdw.txt
注æ,è½ç¶è¾åºéå®åäº,ä½æ¯æ们çè¾åºä¾ç¶ä¼ç»§ç»æ¾ç¤ºå¨å±å¹ä¸,èä¸ä¼è¿å
¥å°debug模å¼,æ们使ç¨-c qåæ°,å°±å¯ä»¥é¿å
è¿ä¸ªé®é¢.
c:>ntsd -c q -v notepad.exe
ç°å¨æ们çpdw.txtæ件ä¸,å°±å¯ä»¥çè§notepad.exeæ件çè°è¯ä¿¡æ¯.
ntsd使ç¨ä»¥ä¸åæ°ææ»è¿ç¨.
c:>ntsd -c q -p PID åªè¦ä½ è½æä¾è¿ç¨çPID,é£ä¹ä½ å°±å¯ä»¥å¹²æè¿ç¨.
åçç使ç¨ä¸é¢çæ令,ä½ å°±å¯ä»¥ç¨å½ä»¤è¡,æ¾å°è®¡ç®æºä¸æ¯ä»ä¹ç¨åºå¨ç¯çåå
,ç¶åææå®ä»¬.å½ç¶,å¦æä½ è¦å½»åºçæ¸
é¤å®ä»¬,è¿å¿
é¡»å é¤è¿äºç¨åº,并å¨å¯å¨é¡¹ä¸å¹²æå®ä»¬.
ã
温馨提示:答案为网友推荐,仅供参考