fonts文件夹挖矿病毒识别办法

fonts文件夹挖矿病毒识别办法

如何变成普通文件夹视图？

文件夹特殊样式是靠文件夹里的desktop.ini控制的，只要删了desktop.ini即可

cmd命令行执行del c:\windows\fonts\desktop.ini再打开文件夹按类型排序查看.exe就能看到病毒木马文件了

获取字体目录里异常进程的命令如下（结果集里并不都是病毒，命令的作用是排除掉字体文件把剩下的文件列出来）

wmic datafile where "drive='c:' and path='\\windows\\fonts\\' and extension<>'ttf' and extension<>'fon' and extension<>'ttc' " get Name

wmic datafile where "drive='c:' and path='\\windows\\fonts\\' and extension<>'ttf' and extension<>'fon' and extension<>'ttc' " get Name,Path,CreationDate,LastAccessed,LastModified

第2条命令比第1条多了CreationDate,LastAccessed,LastModified

wmic datafile where "drive='c:' and path='\\windows\\fonts\\' and extension<>'ttf' and extension<>'fon' and extension<>'ttc' " get Name,Path,CreationDate,LastAccessed,LastModified /value

第3条命令是把每一个匹配到的文件按列值以文件维度逐个打印

下面这条命令效果跟第3条命令一样

wmic datafile where "drive='c:' and path='\\windows\\fonts\\' and extension<>'ttf' and extension<>'fon' and extension<>'ttc' " get Name,Path,CreationDate,LastAccessed,LastModified /format:list

注意看最后一个参数/format:后面跟的值