1.备份,装好机器之后,金州首先备份c盘(系统盘)windows里面,和C:\WINDOWS\system32下的文件目录。
运行,cmd命令如下;
dir/a C:\WINDOWS\system32 >c:\1.txt
dir/a c:\windows >c:\2.txt
这样就备份了windows和system32下面的文件列表,如果有一天觉得电脑有问题,同样命令列出文件,然后cmd下面,fc命令比较一下,格式为,假如你出问题那一天system32列表为3.txt,那么fc 1.txt 3.txt >c:/4.txt
(金州说明: dir/a是为了察看隐藏文件,备份位置放在c根目录是为了好找)
因为木马病毒大多要调用动态连接库,可以对system32进行更详细的列表备份,如下
cd C:\WINDOWS\system32
dir/a >c:\1.txt
dir/a *.dll >c:\>2.txt
dir/a *.exe >c:\>3.txt
然后把这些备份保存在一个地方,除了问题对比一下列表便于察看多出了哪些DLL或者EXE文件,虽然有一些是安装软件的时候产生的,并不是病毒木马,但是还是可以提共很好的参考的。
2.备份进程中的DLL, CMD下面命令
tasklist/m >c:/dll.txt
这样正在运行的进程的DLL列表就会出现在c根目录下面。以后可以对照一下,比较方法如上不多说,对于DLL木马,一个一个检查DLL太麻烦了。直接比较方便一些。
