褪色的世界．斑剝的記憶

TCPView(v3.05)

1.透過TCPView可查出目前電腦中哪些軟體開啟了哪些網路連線、執行中的程式在CPU的ID及占用的Session數。

3.使用軟體時，最好先將其他可能會連上網的軟體關閉，然後一個一個依序開啟，檢視個別軟體會建立的內外部連線、連到哪些主機。

3.如果懷疑有可疑程式，也可以直接關閉。

4.此軟體就像是圖形介面的netstat指令。

Process Explorer(v16.05)

1.進階版的工作管理員。

2.操作如下。

開啟procexp.exe，選擇View將Show Lower Pane打勾、Lower Pane View的DLLs打勾，接著點選Select Columns...。

選擇Select Columns...，切換到DLL頁籤，將Verified Signer打勾。

接著選擇Options，並將Verify Image Signatures打勾。

檢視svchost下面dll檔是否經過簽章(Verified)。

(svchost為作業系統的核心，如果中毒，可能要重灌。)

Autoruns(v13.40)

1.檢查可疑的開機啟動程式，瞭解到Windows作業系統啟動時，自動執行的應用程式。

2.操作如下。

開啟Autoruns.exe，選擇Options將Hide Microsoft Entries打勾，Scan Options...的Verify code signatures打勾。(隱藏微軟程式及顯示簽章資訊)

切換至Logon頁籤，看到AVG-Secure-Search...沒有Description及Publisher，表示有可能是病毒；(Not verified)代表未簽章的程式，也有可能是病毒。不過很多硬體的驅動程式常常是Not verified。

(Logon表示開機後會執行的程式；Explorer是桌面程式。)

Malicious Software Removal Tool

1.惡意軟體移除工具。

2.每個月的第二個星期二發行工具的更新版本。

SIGVERIF

1.檢查軟體開發者的憑證是否未經簽署。

開始→執行，輸入sigverif，然後按確定

在檔案簽章驗證視窗，按一下開始

接下來會掃描檔案；進階可檢視記錄檔，報告是像這樣的東西