【运维】使用FC命令辅助查杀DLL木马

使用FC命令辅助查杀DLL木马

在windows系统中，system32目录下是木马隐身的好地方，查找起来非常困难，许多木马都削尖了脑袋往那里钻，DLL木马也不例外。针对这一点用户可以在安装好系统和必要的应用程序后，对该目录下的EXE和DLL文件作一个记录。

注：有了这个思路后，后续你可以安装一些比较文件不同的软件，如UC之类。而不用FC命令也可以。另新安装好服务器时也可以先备份一下DLL列表这样养成良好习惯。

第1步 打开命令提示符，进入system32目录。

第2步 执行dir .exe>exeback.txt& dir .dll>dllback.txt命令即可备份所有的EXE和DLL文件的名称。

EXE和DLL文件的名称都被分别记录到exeback.txt和dllback.txt中，以后如发现系统运行异常但用杀毒软件又查不出问题时，就要考虑是不是系统中已经潜入DLL木马了。

这时用同样的命令将system32下的EXE和DLL文件名记录到exeback2.txt和dllback2.txt中，然后运行：

fc exeback.txt exeback1.txt>exefc.txt & fc dllback.txt dllback1.txt>dllfc.txt

用FC命令比较前后两次的DLL和EXE文件，并将结果保存到文档中，这样我们打开那个文档就能发现一些多出来的DLL和EXE文件，然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出系统是不是已经中了DLL木马。

例，如上图，创建测试用文件

使用FC命令

打开通过FC命令创建的文档，从中可以看到与之前列表文件对比出来不同的内容。