本文介绍了一种利用FC命令检查Windows系统system32目录下潜在DLL木马的方法。通过对比系统安装初期与当前的EXE和DLL文件列表,找出新增或修改的文件,从而定位可能存在的恶意软件。
使用FC命令辅助查杀DLL木马
在windows系统中,system32目录下是木马隐身的好地方,查找起来非常困难,许多木马都削尖了脑袋往那里钻,DLL木马也不例外。针对这一点用户可以在安装好系统和必要的应用程序后,对该目录下的EXE和DLL文件作一个记录。
注:有了这个思路后,后续你可以安装一些比较文件不同的软件,如UC之类。而不用FC命令也可以。另新安装好服务器时也可以先备份一下DLL列表这样养成良好习惯。
第1步 打开命令提示符,进入system32目录。
第2步 执行dir .exe>exeback.txt& dir .dll>dllback.txt命令即可备份所有的EXE和DLL文件的名称。
EXE和DLL文件的名称都被分别记录到exeback.txt和dllback.txt中,以后如发现系统运行异常但用杀毒软件又查不出问题时,就要考虑是不是系统中已经潜入DLL木马了。
这时用同样的命令将system32下的EXE和DLL文件名记录到exeback2.txt和dllback2.txt中,然后运行:
fc exeback.txt exeback1.txt>exefc.txt & fc dllback.txt dllback1.txt>dllfc.txt
用FC命令比较前后两次的DLL和EXE文件,并将结果保存到文档中,这样我们打开那个文档就能发现一些多出来的DLL和EXE文件,然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出系统是不是已经中了DLL木马。
例,如上图,创建测试用文件
使用FC命令
打开通过FC命令创建的文档,从中可以看到与之前列表文件对比出来不同的内容。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
