tasklist命令查看DLL快速查找木马

最新推荐文章于 2024-11-20 19:24:31 发布
最新推荐文章于 2024-11-20 19:24:31 发布 · 133 阅读 · 0
文章标签:

#shell

本文介绍如何利用tasklist命令结合/M参数来快速查找被木马利用的DLL文件及调用这些DLL的进程。通过具体示例展示了如何定位可疑进程。

tasklist命令查看DLL快速查找木马

tasklist命令查看DLL被谁使用

tasklist /? 可以看到/M的参数解释:


/M [module] 列出所有其中符合指定模式名
的 DLL 模块的所有任务。
如果没有指定模块名,则
显示每个任务加载的所有模块。

比如想查看shell32.dll文件被哪些进程调用:

引用内容
C:/>tasklist /M shell32.dll

图像名 PID 模块
========================= ====== =================
explorer.exe 1072 SHELL32.dll
nod32kui.exe 1192 SHELL32.dll
internat.exe 1216 SHELL32.DLL
conime.exe 1880 SHELL32.dll
QQ.exe 900 SHELL32.dll
TheWorld.exe 1840 SHELL32.dll

iteye_6794
关注
win7 64 DLL的远程注入技术 及注入dll函数调用
xuplus的专栏
06-30 1万+
一、DLL注入 DLL的远程注入技术是目前Win32病毒广泛使用的一种技术。使用这种技术的病毒体通常位于一个DLL中,在系统启动的时候,一个EXE程序会将这个DLL加载至某些系统进程(如Explorer.exe)中运行。 这样一来,普通的进程管理器就很难发现这种病毒了,而且即使发现了也很难清除,因为只要病毒寄生的进程不终止运行,那么这个DLL就不会在内存中卸载, 用户也就无法在资源管理器
应急响应之入侵排查(下)
最新发布
qq_37107430的博客
01-11 1779
网络安全中的应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。网络安全应急响应主要是为了人们对网络安全有所认识、有所准备,以便在遇到突发网络安全事件时做到有序应对、妥善处理。
tasklist、taskkill命令使用方法及应用实例讲解
Bobit - 优快云博客
01-06 4万+
在Windows XP中新增了两个命令行工具“tasklist、taskkill”。通过“Ctrl+Alt+Del”组合键,打开“任务管理器”就可以查看到本机完整的进程列表,而且可以通过手工定制进程列表的方式获的更多的进程信息,如会话ID、用户名等,遗憾的是,我们查看不到这些进程到底提供了哪些系统服务。而tasklist、taskkill两个工具就能实现上面所说的功能。   “Tasklis
Windows tasklist命令详解,Windows查看进程
wangyuxiang946的博客
07-20 1万+
Windows查看进程命令查找进程文件位置,根据PID查找进程,查看调用指定DLL的进程,查找指定用户运行的进程,查看资源占用高的进程,根据进程名查找进程,
Linux下查杀木马常用命令
nece001的专栏
02-21 1640
先进行检查: 根据top命令查看当前进程,找到可疑进程的进程号和运行的用户 去/proc目录下对应的进程号目录,查看exe文件对应的目录 (今天发现的是pscan2这个木马,启动用户是tel) 着手处理 1、停止用户tel所有进程 #pkill -9 -U tel 2、删除用户tel #userdel tel 其它可能有用的命令 停止名为scanssh的所有进程 #pkill -9 ...
tasklist命令参数应用详细图解
热门推荐
bcbobo21cn的专栏
06-25 4万+
一 操作实例 不带参数; /svc参数; /SVC 显示每个进程中的服务信息,当/fo参数设置为table时有效。 列出调用了某个dll的进程; 列出系统中正在运行的非“SYSTEM“状态的所有进程。 查看远程主机进程列表;需要远程主机的RPC服务支持; /v 列出
使用C语言代替cmd命令、cmd命令大全
songbai220
04-21 5039
【前言】 cmd常用命令: calc:启动计算器 notepad:打开记事本 netstat -a:查看所有的端口 tasklist查看所有的进程 d: 盘符切换 dir(directory) 列出当前目录下的文件以及文件夹 md (make directory) 创建目录 rd (remove directory) 删除目录(带内容的文件或者文件夹不能直接删除,必须先删除里面,再删除外面)。如果要删除非空目录,可以使用命令:rd /s xxxd...
windows应急响应
weixin_44110913的博客
06-10 1871
文章目录windows---应急响应windows网页应急响应一.传马工具扫上传的马二.分析日志,端口,进程,服务,近期打开的文件,开机启动项三.找到攻击者所找到的漏洞,打补丁windows系统应急响应 windows—应急响应 windows网页应急响应 一.传马工具扫上传的马 二.分析日志,端口,进程,服务,近期打开的文件,开机启动项 1.分析日志 网站通常是看中间件日志,通常目录是在中间件的logs目录下的acces.log文件。 看日志可以分析攻击者发起啦哪些攻击,也可快捷键找自己需要的内容
windwos系统安全手工排查以及朔源应急响应技巧
it知识分享 free for nothing..
09-14 1102
共享目录登录记录位于windows安全日志中,登录类型为3,常见的基于共享目录的攻击行为是IPC爆破,若爆破成功,攻击者可以将受攻击主机的磁盘文件映射到本地,造成信息泄露。注意:有时候登录记录会十分多,分析起来难度大,因此我们可以根据前期收集到的信息来帮助我们缩小审计范围,比如异常现象发生的时间,恶意文件创建的时间等,可在这类时间点附近查找异常的登录记录。隐藏模块往往也是动态库模块,但它肉眼观察不到(Windows系统工具看不到,PCHunter等工具也看不到),是很隐蔽的一种手段,属于难查难杀的类型。
windows使用tasklist | findstr组合命令快速查进程
西洼工作室的博客
11-20 1474
tasklist列出进程| 管道findstr /v 过滤下面是系统自带的进程排除掉。
Windows下查看dll被哪个进程调用
jszj的专栏
09-21 2万+
原贴网址:http://www.cnblogs.com/leipei2352/archive/2013/02/05/2892482.html 注:最后面的一小部分是本文查找这篇文章时的一些情况说明 以下分隔后面为原贴内容 ------------------------------------------------------------------------------------
windows 下查询网络端口以及任务杀死的方法
星空的专栏
11-06 3487
三个命令 : netstat,tasklist ,taskkill              常用子操作                            netstat -ano -p tcp                            tasklist                            Tasklist /FI "PID eq 1524" /FO CS
Tasklist使用详解
weixin_33747129的博客
04-06 1650
用jstat查看jvm内存的使用的情况时,因为是windows机器,不能使用top命令方便的查出来,进程好在网上搜了一下看到了在windows原来使用的是tasklist 特意将tasklist的用法记录下来。 原帖的地址是:http://hi.baidu.com/lgh_boffin/blog/item/314b1194fb957c18d21b70b6.html “Tasklist命令是...
windows Tasklist命令详解
sujin的博客
07-31 8690
Tasklist命令是一个用来显示运行在本地或远程计算机上的所有进程的命令行工具,带有多个执行参数。 作用: 结束一个或多个任务或进程。可以根据进程 ID 或图像名来结束进程。 语法格式: TASKLIST [/S system [/U username [/P [password]]]] [/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH] 参数列表: /Ssystem指定连接...
Tasklist命令详解
king的专栏
07-28 1万+
Tasklist命令是一个用来显示运行在本地或远程计算机上的所有进程的命令行工具,带有多个执行参数。 作用: 结束一个或多个任务或进程。可以根据进程 ID 或图像名来结束进程。 语法格式: TASKLIST [/S system [/U username [/P [password]]]]           [/M [module] | /SVC | /V] [/FI fi
显示和关闭进程(tasklist & taskkill)
ljc007的专栏
10-16 5179
Tasklist用来显示运行在本地或远程计算机上的所有进程,带有多个执行参数。使用格式: Tasklist[/S system[/U username[/P[password]]]][/M[module]| /SVC | /V][/FI filter] [/FO format][/NH] 参数含义: /S ystem 指定连接到的远程系统。 /U[omain]u
CMD命令大全:快速查找与使用手册
标题中的“CMD命令速查手册 cmd命令大全”指明了该文档的性质,即它是一个关于CMD命令快速参考资料,包含了大量常用的Windows命令。这样的手册通常包含了从基础的文件操作命令,如复制(copy)、删除(del)、移动...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值