シナリオは次のようになります。コンピューターがランサムウェアに感染し、他に何もできず、コマンド プロンプト ウィンドウしか表示されません。では、Desktops.exe を自動実行プログラムとして設定して、キーボードの組み合わせを使用してトリガーし、トラブルシューティングを行うことができる仮想デスクトップを起動するにはどうすればよいでしょうか。
答え1
まず、逆のことをしています。
最優先事項はマシンをクリーンアップすることです。
そして、それを確実に行う唯一の方法は、レスキュー メディアから起動し、そこからマシンをスキャン/クリーンアップすることです。
しかし、選択の余地がない場合もあります。例: 何らかの形式のディスク暗号化を使用するマシンがあり、他のメディアから起動したときにハードディスクにアクセスできない場合などです。
その場合は、「セーフ モードとコマンド プロンプト」で起動します。
次に、regedit を実行します (GUI はありますが、その時点ではエクスプローラー シェルは実行されていません)。regedit
で、HKLM\Software\Microsoft\Windows\CurrentVersion\Run に移動します。そのキーに追加のエントリとして自動実行プログラムを追加します。
または、REG.EXE コマンドを使用して、コマンド ラインから同じ操作を実行することもできます。
(その際、Run キーから他のすべてのエントリを削除することをお勧めします。そのうちの 1 つがマルウェアの一部である可能性があります。Regedit のエクスポート機能を使用して、それらをファイルに一時的に保存できます。)
これに代わる方法としては、ログオン シェルを explorer.exe からファイル マネージャ (TotalCommander や DirOpus など) に変更する方法があります。
自動実行エントリを追加しても機能しない場合もありますが、代替シェルを使用すると機能します。代替シェルは
キー HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon にあります。そのためには、「Shell」エントリの値を変更する必要があります (実行可能ファイルへのフル パスを使用できます)。
ご注意くださいマルウェアがアクティブなときにキーボード入力に依存する追加プログラムを追加しても、機能しない可能性があります。マルウェアはキーボード入力を簡単にハイジャックできるため、プログラムのアクティブ化を妨げます。
答え2
ファイルを開く:
openfiles /Query /FO:csv | more
NetBIOS ネットワークのオープン ファイルを表示します。
net files
プロセスのコマンドライン、キャプション、PID:
Wmic process get CommandLine, name, ProcessId | more
プロセス パス、キャプション、PID:
Wmic process get ExecutablePath, name, ProcessId | more
ネットワークアクティブプロセス:
netstat -aon | findstr [1-9]\. | more
名前のネットワークアクティブプロセス:
netstat -baon | more
求人リスト:
wmic job list STATUS
自動実行リスト:
wmic startup list full | more
インポート dll モジュールの表示 (Embarcadero または Borland バージョン):
tdump -w hal*.dll | find "Imports from "
すべての権限を削除し、ユーザーがすべてを無効にすることを許可します:
cacls <filename> /T /C /P %username%:N
指定されたプロセスとそれによって開始されたすべての子プロセスを終了します。
taskkill /PID <pid1> /PID <pid2> /PID <pid3> /T