进程DOS命令tasklist、netstart、netstat、netuser安全检测

当你感觉自己的系统中病毒了第一反应就是请出杀毒软件猛查一遍。如果想快速判定当前系统的安全状况我们可以通过“命令提示符”中的几个命令来检测系统是否中毒其速度远远超过用杀毒软件来确认。

小提示常见的中病毒现象表现为系统变得缓慢、账号被盗、打开网页需要等半天、不断弹出广告窗口、文件不能执行等部分强势病毒会让你的杀毒软件和安全软件失效。当你遇到以上现象时首要任务是找出并终止病毒进程让病毒暂时停止工作接着再利用文中介绍的方法配合杀毒软件进行彻底查杀。使用杀毒软件时建议重启电脑进入安全模式下进行全盘查杀做到斩草除根。

T as klis t命令是用来显示运行在本地或远程计算机上所有进程的命令使用方法为点击“开始”菜单→“运行”输入“cmd”运行“命令提示符”输入命令“Tasklist”并回车当前系统中所有的进程就都显示出来了。我们要做的就是查看这些进程中是否有陌生进程当然这需要你有一点手工杀毒的经验。找到危险进程后就可以使用“T as klis t”命令的搭档——“T as kkill”命令结束进程。首先通过“T as klis t”命令查询危险进程的P ID值然后输入命令“T as kkill/pid

1234”结束进程 1234即危险进程的PID值。

小贴士:T as kkill可以结束“任务管理器”中无法结束的进程包括系统进程对于结束顽固病毒的进程效果很不错。

不少病毒会将自身注册为系统服务以此实现随系统启动。要查询系统中的服务我们只需在“命令提示符”中输入“net start”命令就可以了回车后将会显示系统中所有的服务。停止服务的方法为“net stop服务名”例如输入 “net stop G_Server”并回车便可以结束灰鸽子木马的服务。开启服务的命令则为“net stat服务名”。

木马潜伏在系统中会打开一个端口与黑客进行通信而不少流氓软件也会打开系统的端口搜集并发送用户的信息。因此端口也是判定系统安全的一个重要位置。“netstat”命令的功能是显示网络连接、路由表和网络接口信息可以让用户得知目前都有哪些网络连接正在运作。查询系统中打开的端口的方法为在“命令提示符”中输入“netstat -an”并回车这样就能显示本机打开的端口了。 “netstat”在显示打开端口的同时也会显示打开该端口的可执行程序这样我们就可以知道木马文件所在的位置用安全工具删除之。

黑客**我们的电脑后通常会建立一个账户方便下次**。因此系统账户的情况也是我们必须要查询的地方用“net user”命令即可轻松办到。当我们在“命令提示符”中使用“net user”命令后便可列出当前系统中所有已存在的账户一般情况下只有“admin is trator”和“gues t”账户如果出现陌生的账户那就一定要小心了很可能是黑客留下的。删除账号的方法为输入 "net user用户/del

dos进程查看与停止命令

查看进程taskl ist /svc

停止进程taskki l l /im 2468/f

DOS下查看进程,结束进程命令(黑客常用命令)shal l时想给对方上传一个木马什么的,总会遇一些东西的阻止,有些可以停止服务呀什么的,但有些东西只能关闭,这个时候我们就要用两个命令了,首先是taskl ist查看进程例表,在dos下直接输入taskl ist就会例出所运行的所有进程,如我的电脑.

在例表中每一个进程都有一个相对的PID值,我们只要把相对的PID值ki l l掉就OK了,不用我说大家也都知道用哪个了,呵呵.taskki l l有如下参数:

/S system指定要连接到的远程系统。

/U[domain\]user指定应该在哪个用户上下文

执行这个命令。

/P[password]为提供的用户上下文指定

密码。如果忽略提示输入。

/F指定要强行终止

进程。

/FI fi lter指定筛选进或筛选出查询的

的任务。

/PID process id指定要终止的进程的

PID。

/IM image name指定要终止的进程的

图像名。通配符*

可用来指定所有图像名。

/TTree ki l l :终止指定的进程

和任何由此启动的子进程。

/?显示帮助/用法。

例如:

TASKKILL/S system/F/IM notepad.exe/T

TASKKILL/PID 1230/PID 1241 /PID 1253/T

TASKKILL/F/IM notepad.exe/IM mspaint.exe

TASKKILL/F/FI "PID ge 1000" /FI "WINDOWTITLE ne untitle*"

TASKKILL/F/FI "USERNAME eq NT AUTHO RITY\SYSTE M" /IM notepad.exeTASKKILL/S system/U domain\username/FI "USERNAME ne NT*" /IM*

TASKKILL/S system/U username/P password/FI "IMAGE NAME eq note*"taskki l l /IM"SogouExplorer.exe"

我一般用的是taskki l l /f/pid<相对的PID值>/t

比如我们要在DOS下结束QQ.exe先用taskl ist查一下QQ的PID值,我现在的是1376,那么输入taskki l l /f/pid 1376/t

这个命令的意思是强行终止远程计算机进程ID为1376的特定进程并关

由此进程打开任何子进程. . .

最后补充用vbs脚本查看pid的方法将以下代码保存为vbs文件 dos下传给对方然后执行cscript pid.vbs

复制代码代码如下:wscript.echo"PID ProcessName"for each ps in getobject("winmg mts:\\.\root\cimv2:win32_process"). instances_wscript.echo ps.handle&vbtab&ps.namenext

杀进程的其他命令ntsd-c q-p PID"