轻轻松松防毒 命令行下的抗毒精英

五、 NTSD——强力终结者

　　如今的病毒越来越狡猾，经常出现即使你能找到它的进程，却不能结束的情况。用任务管理器和前面提到的TASKKILL命令都没有办法中止。当然可以使用进程管理工具，如功能强大Process Explorer等。而实际上使用Windows自带的一个秘密工具就能强制结大部分进程，包括一些十分顽固的进程，这就是NTSD命令。

    在命令行中运行以下命令：

    ntsd -c q -p PID

    最后那个PID指要终止的进程的ID。如果不知道进程的ID，可通过Tasklist命令进行查看。利用NTSD命令，除了System、SMSS.EXE和CSRSS.EXE等极少核心进程不能杀外，其它进程都可以强行结束。

    六、 FTYPE——文件关联修复专家

　　和文件捆绑一样，篡改文件关联也是病毒或木马的惯用伎俩，通常的恢复方法主要是通过修改注册表，但注册表操作通常比较麻烦而且容易出错，另一个更方便的方法是使用命令行工具——FTYPE，利用它可以非常轻松地恢复文件关联。比如exefile的文件关联最容易被修改，它的正常的文件关联为："%1" %* 。恢复的时候，只需在命令行中运行下列命令：“ftype exefile="%1" %* ”就可以了。如果要修复txtfile的文件关联，只需输入：“ftype txtfile= %SystemRoot%\system32\NOTEPAD.EXE %1 ”即可。

    七、FC——注册表监控器

　　许多病毒木马都把注册表当作攻击对象，如上面提到的文件关联篡改，而现在所谓的流氓软件之流的不安分的软件在注册表中添加本不应该添加的项值，因而注册表监控就变成十分必要了。于是出现了许多注册表监控类软件，其实我们完全可以仅用Windows系统提供的工具完成该功能。

　　下面以监控安装软件过程对注册表做的修改为例介绍如何实现“监控”：

    首先，可以在安装软件前备份一次注册表(存储为REG文件，如1.reg)，安装后再导出注册表文件(2.reg)然后再在Windows XP的命令提示行下执行下列命令：

    D:>fc /u 1.reg 2.reg>changes.txt

　　随后在D盘根目录下打开changes.txt文件，即可清楚地查看该软件对注册表添加了哪些子项，做了什么修改。上例中的安装软件是一个特定的时刻，你可能用此方法分析任一时刻注册表可能发生的变化。

　　怎么样，有了这一群命令行下随时等待召唤的抗毒精英，以后对抗病毒也就更有效、更方便，病毒木马们也就难逃法网了。