不用外部工具 教你如何快速检查电脑是否被感染

从事应急响应工作多年之后，我深知掌握一套快速检测计算机是否被感染木马和病毒的方法论的重要性。这一过程虽然看似复杂，但实则大多数攻击都遵循着一种模式。通过执行以下检测步骤，我们能够发现感染迹象并快速应对。这一切都可以在Windows系统的命令行功能中，通过管理员命令提示符完成。

我们可以通过WMIC（Windows Management Instrumentation Command-line）来检查启动项。输入【wmic startup list full】，查看启动项列表。熟悉你的系统启动项，一旦发现有未知项目，即可进行深入调查。对于这些项目，可以在诸如malwr或VirusTotal等网站上进行散列检索，了解其感染情况并予以删除。

查看DNS缓存是否存在异常。通过命令【ipconfig/displaydns】，检查待反测区域是否有异常域名或IP。在VirusTotal等网站上进行域名及IP的查询，若存在与之相关的样本，则很可能已被感染。

接着，使用WMIC查看进程列表。输入【wmic process list full|more】，或者更详细的【wmic process get deion,processed,parentprocessid,manline/format:csv】，寻找异常运行的程序或名称怪异、恶意软件特征的进程。

WMIC服务列表也是检测的重点。通过【wmic service list full| more】或更具体的查询命令，检查服务路径或exe名称中是否存在恶意软件特征。

虽然WMIC工作列表看似不易发现异常，但在某些情况下如MPlug版本，通过【wmic job list full】命令可能能发现恶意软件的踪迹。

不要忽视基础的Netstat命令。输入【stat -abno】，查看是否有连接至奇异外部站点端口号码的情况，如25、8080、6667等。这些可能是恶意软件的通信端口。

这个脚本为你提供了更直观的HTML格式输出，让你能清晰地了解你的电脑系统的详细信息。这个脚本就像一个信息搜集器，从电脑的各个角落搜集信息并将其整理成一份报告。

那么这份报告包含了哪些内容呢？简而言之，你可以通过这份报告了解到你的电脑的型号、名称、操作系统用户名、域名等基本信息；电脑的启动项情况；当前运行的进程及其详细信息；以及电脑中正在运行的服务及其状态。这样全面的信息集合在一起，就构成了一份详尽的电脑系统信息报告。不仅如此，这份报告还以HTML格式保存，方便你在任何时间查阅和分享。通过输入“cambrian.render('body')”，你就可以在网页上查看这份报告了。这份报告就像是你电脑的“数字身份证”，让你更深入地了解你的电脑系统。