xcmd

xcmd.exe 安全焦点出的一个命令行工具。

xcmd.zip

提交时间：2006-09-26

提交用户：tombkeeper

工具分类：其它工具

运行平台：Windows

工具大小：38245 Bytes

文件MD5 ：420e9a2614e7085b8c89697437f80e3b

X-CMD使用说明

文档维护：tombkeeper<Base64Decode("dG9tYmtlZXBlckB4Zm9jdXMub3Jn")>

文档创建：2006年09月23日

最后更改：2006年09月26日

[特性介绍]

1、X-CMD是一个命令行处理器，类似Windows的cmd.exe。

2、X-CMD 大部分代码都不是我写的。我主要做的工作是增加了Anti-HackerDefender

的功能以及ps和kill命令，可以在被安装了Hacker Defender 的系统上查看和删除被

隐藏的文件，枚举和终止被隐藏的进程。这也是搞这个工具的主要目的。

3、X-CMD中Anti-HackerDefender 部分的功能不涉及内核操作，在普通用户权限甚至

是GUEST权限下就可以准确判断出系统是否被安装了Hacker Defender。不必担心运行

X-CMD会导致蓝屏，也不存在终端服务下不能用的情况。

4、支持Windows NT、Windows 2000、Windows XP、Windows 2003。

5、仅针对Hacker Defender，没有检查其他RootKit的功效。

[使用说明]

输入“?”会显示出xcmd.exe所有的内部命令。

运行xcmd.exe后，如果系统中已经运行了Hacker Defender，那么会提示

[!] Your system is infected by hxdef, type "ps /f".

如果没有，则会提示：

[-] Your system is NOT infected by hxdef.

xcmd.exe内置的dir、type、del、move、ren等命令都不受Hacker Defender的文

件隐藏功能影响，ps和kill命令不受Hacker Defender 的进程隐藏功能影响。ps命令

可以检查出被隐藏进程，并在进程名称前用“!!!”加以警示：

C:>ps

0 [System Process]

8 System

224 SMSS.EXE

248 CSRSS.EXE

268 WINLOGON.EXE

300 SERVICES.EXE

312 LSASS.EXE

472 svchost.exe

492 spoolsv.exe

564 svchost.exe

640 LLSSRV.EXE

780 mstask.exe

860 svchost.exe

908 WinMgmt.exe

952 svchost.exe

1232 explorer.exe

1568 !!! hxdef100.exe

1624 xcmd.exe

C:>kill 1568

Process 1568 was killed.

如果是用管理员帐户登陆的，那么ps /f参数还可以显示出可执行文件的全路径。