DOS命令行发现Windows是否中毒

0x00 前言

windows下的命令行的功能并不亚于linux, Windows的复杂程度更是远远高于linux。在平时一般的操作和使用中，windows确实比linux容易。但是一旦涉及到高级安全设置，这时windows明显比linux复杂很多。只是我们平时绝大多数并不会去碰这些高级设置。

0x01 诊断技巧

# 以下的命令均是在cmd 下进行输入

1、WMIC 启动项

wmic startup list full

#  通过终端列出的所有项目，并且根据我们所熟知的常见项目，进而推断出哪些项目不属于其中，它们会是本地或者临时文件夹，我们可以根据这些项目的位置找到相应的文件或者程序，然后上传到杀毒网站或者后门查杀网站（VirusTotal）等，进行查找它的散列，看看它是否感染了其他什么，然后删除该文件及其感染文件。

2、DNS 缓存

ipconfig/displaydns

# 看看这些待反测的区域，其中是否有任何的异常域名？在站长工具寻找他们解析的域名及IP，看是否有与之相连的样本。如果有，那么你肯定被感染了。

3、WMIC 进程列表

wmic process list full|more

wmic process get description,processed,parentprocessid,commanline/format:csv.

4、WMIC 服务列表

wmic service list full| more

wmic service get name,processid,startmode,state,status,pathname /format:csv

# 检测方便并且容易通过路径或者exe名称发现恶意软件。格式与其他的相似，或者你也可以得到更具体“get”版本。

5、WMIC 工作列表

wmic job list full

#这是个看起来最不可能发现任何东西的项目，因为绝大多数恶意软件都不用jobs，但是在例如MPlug的一些版本中，是很容易检测出的。输入【wmic job list full】，你能够获得一个【没有可用实例】的回执

6、Netstat

netstat -ab

nestat  -abno

netstat -ant

# netstat /? 进行查看相关的帮助信息。

0x02 批处理

用一种简单可重复的方式完成这些WMIC东西并生成一份报告，这时需要一个批处理文件，然后设置一个主机名参数，有时候也能够在全网中使用它——获得其他计算机的适当权限，方便进行远程评估。
这个脚本可以让你更清楚的了解HTML格式的输出，其中包括了你从电脑中获取的信息：
wmic /node:%1 computersystem get model,name,username,domain /format:htable > c:\triage-%1.html
wmic /node:%1 startup list full /format:htable >> c:\triage-%1.html
wmic /node:%1 process get description,processid,parentprocessid,commandline /format:htable >> c:\triage-%1.html
wmic /node:%1 service get name,processid,startmode,state,status,pathname /format:htable >> c:\triage-%1.html
wmic /node:%1 job list full /format:htable >> c:\triage-%1.html

欢迎大家分享更好的思路，热切期待^^_^^ !!！