没有外部工具，如何快速发现Windows中毒

1、WMIC启动项        命令:wmic startup list full

2、DNS缓存              命令：ipconfig/displaydns

    打开命令提示符，并输入【ipconfig/displaydns】。看看这些待反测的区域，有没有任何的异常现场？在VirusTotal或者其余地方寻找他们解析的域名及IP，看是否有与之相连的样本。若是有，那么你确定被感染了。

3、WMIC 进程列表    命令：wmic process list full|more　或者　

                                            wmic process get description,processed,parentprocessid,commanline/format:csv

4、WMIC 服务列表    命令：wmic service list full| more　或者

                                            wmic service get name,processid,startmode,state,status,pathname /format:csv

5、WMIC 工做列表    命令：wmic job list full

    这是个看起来最不可能发现任何东西的项目，由于绝大多数恶意软件都不用jobs，可是在例如MPlug的一些版本中，是很容易检测出的。输入【wmic job list full】，你可以得到一个【没有可用实例】的回执，这就意味着没有已安排的项目在执行。

6、Netstat　－ａｂｎｏ

    Netstat控制以下：

-a  显示全部链接和监听端口
-b  显示参与建立每一个链接或者监听端口的可执行文件
-n  以数字形式显示地址和端口号码
-o  显示拥有的每一个与连接相关的进程ID

7、批处理文件版本

用一种简单可重复的方式完成这些WMIC东西并生成一份报告，怎么样呢？我已经有了。把东西都丢到一个批处理文件中，而后设置一个主机名参数，你甚至可以在全网中使用它——得到其余计算机的适当权限，方便进行远程评估。

这个脚本可让你更清楚的了解HTML格式的输出，其中包括了你从电脑中获取的信息：

wmic /node:%1 computersystem get model,name,username,domain /format:htable > c:\triage-%1.html
wmic /node:%1 startup list full /format:htable >> c:\triage-%1.html
wmic /node:%1 process get description,processid,parentprocessid,commandline /format:htable >> c:\triage-%1.html
wmic /node:%1 service get name,processid,startmode,state,status,pathname /format:htable >> c:\triage-%1.html
wmic /node:%1 job list full /format:htable >> c:\triage-%1.html