沒有外部工具，如何快速發現Windows中毒

1、WMIC啓動項        命令:wmic startup list full

2、DNS緩存              命令：ipconfig/displaydns

    打開命令提示符，並輸入【ipconfig/displaydns】。看看這些待反測的區域，有沒有任何的異常現場？在VirusTotal或者其餘地方尋找他們解析的域名及IP，看是否有與之相連的樣本。若是有，那麼你確定被感染了。

3、WMIC 進程列表    命令：wmic process list full|more　或者　

                                            wmic process get description,processed,parentprocessid,commanline/format:csv

4、WMIC 服務列表    命令：wmic service list full| more　或者

                                            wmic service get name,processid,startmode,state,status,pathname /format:csv

5、WMIC 工做列表    命令：wmic job list full

    這是個看起來最不可能發現任何東西的項目，由於絕大多數惡意軟件都不用jobs，可是在例如MPlug的一些版本中，是很容易檢測出的。輸入【wmic job list full】，你可以得到一個【沒有可用實例】的回執，這就意味着沒有已安排的項目在執行。

6、Netstat　－ａｂｎｏ

    Netstat控制以下：

-a  顯示全部鏈接和監聽端口
-b  顯示參與建立每一個鏈接或者監聽端口的可執行文件
-n  以數字形式顯示地址和端口號碼
-o  顯示擁有的每一個與連接相關的進程ID

7、批處理文件版本

用一種簡單可重複的方式完成這些WMIC東西並生成一份報告，怎麼樣呢？我已經有了。把東西都丟到一個批處理文件中，而後設置一個主機名參數，你甚至可以在全網中使用它——得到其餘計算機的適當權限，方便進行遠程評估。

這個腳本可讓你更清楚的瞭解HTML格式的輸出，其中包括了你從電腦中獲取的信息：

wmic /node:%1 computersystem get model,name,username,domain /format:htable > c:\triage-%1.html
wmic /node:%1 startup list full /format:htable >> c:\triage-%1.html
wmic /node:%1 process get description,processid,parentprocessid,commandline /format:htable >> c:\triage-%1.html
wmic /node:%1 service get name,processid,startmode,state,status,pathname /format:htable >> c:\triage-%1.html
wmic /node:%1 job list full /format:htable >> c:\triage-%1.html