xcmd.exe 安全焦点出的一个命令行工具。
xcmd.zip
提交时间:2006-09-26
提交用户:tombkeeper
工具分类:其它工具
运行平台:Windows
工具大小:38245 Bytes
文件MD5 :420e9a2614e7085b8c89697437f80e3b
X-CMD使用说明
文档维护:tombkeeper<Base64Decode("dG9tYmtlZXBlckB4Zm9jdXMub3Jn")>
文档创建:2006年09月23日
最后更改:2006年09月26日
[特性介绍]
1、X-CMD是一个命令行处理器,类似Windows的cmd.exe。
2、X-CMD 大部分代码都不是我写的。我主要做的工作是增加了Anti-HackerDefender
的功能以及ps和kill命令,可以在被安装了Hacker Defender 的系统上查看和删除被
隐藏的文件,枚举和终止被隐藏的进程。这也是搞这个工具的主要目的。
3、X-CMD中Anti-HackerDefender 部分的功能不涉及内核操作,在普通用户权限甚至
是GUEST权限下就可以准确判断出系统是否被安装了Hacker Defender。不必担心运行
X-CMD会导致蓝屏,也不存在终端服务下不能用的情况。
4、支持Windows NT、Windows 2000、Windows XP、Windows 2003。
5、仅针对Hacker Defender,没有检查其他RootKit的功效。
[使用说明]
输入“?”会显示出xcmd.exe所有的内部命令。
运行xcmd.exe后,如果系统中已经运行了Hacker Defender,那么会提示
[!] Your system is infected by hxdef, type "ps /f".
如果没有,则会提示:
[-] Your system is NOT infected by hxdef.
xcmd.exe内置的dir、type、del、move、ren等命令都不受Hacker Defender的文
件隐藏功能影响,ps和kill命令不受Hacker Defender 的进程隐藏功能影响。ps命令
可以检查出被隐藏进程,并在进程名称前用“!!!”加以警示:
C:>ps
0 [System Process]
8 System
224 SMSS.EXE
248 CSRSS.EXE
268 WINLOGON.EXE
300 SERVICES.EXE
312 LSASS.EXE
472 svchost.exe
492 spoolsv.exe
564 svchost.exe
640 LLSSRV.EXE
780 mstask.exe
860 svchost.exe
908 WinMgmt.exe
952 svchost.exe
1232 explorer.exe
1568 !!! hxdef100.exe
1624 xcmd.exe
C:>kill 1568
Process 1568 was killed.
如果是用管理员帐户登陆的,那么ps /f参数还可以显示出可执行文件的全路径。