如何用命令行運行360系統備份文件

『壹』 電腦問題

一、TASKLIST——火眼金睛
如今的病毒越來越狡猾，常常不見首也不見尾。但許多病毒往往在進程這一環節中露出狐狸尾巴，因而查看進程是查殺病毒的一個重要的方法。命令行提供了進程查看的命令工具——Tasklist(Windows XP或更新版本)。此命令與任務管理器一樣可以顯示活動進程的列表。但通過使用參數，可以看到任務管理器查看不到的信息，可以實現更強大的功能。使用參數「/M」，運行「Tasklist /M」將顯示每個任務載入的所有的DLL模塊；使用參數「/SVC」，運行「Tasklist /SVC」命令則會顯示每個進程中活動服務的列表，從中可以看到進程svchost.exe載入的服務，通過服務就能分辨出究竟是不是惡意病毒進程。此外，還能利用Tasklist命令來查看遠程系統的進程，如在命令提示符下輸入「Tasklist /s 208.202.12.206 /u friend /p 123456」（不包括引號）即可查看到IP地址為208.202.12.206的遠程系統的進程。其中/s參數後的「208.202.12.206」指要查看的遠程系統的IP地址，/u後的「friend」指Tasklist命令使用的用戶賬號，它必須是遠程系統上的一個合法賬號，/p後的「123456」指friend賬號的密碼。這樣，網管進行遠程查殺病毒也就方便多了。

二、TASKKILL——進程殺手
有了Tasklist這雙火眼金睛，許多病毒就現身了，但更重要的不是找出病毒，而是要清除它們，這時另一個命令——TASKKIL就派上用場了。例如想結束某個進程，只需從任務管理器中記下進程名，運行下列命令即可：「TASKKILL /F /IM 進程名」；也可以通過連接PID的方式，可先運行「Tasklist」命令，記下進程的PID號，在命令提符下輸入「taskkill /pid PID號」即可。說到這里恐怕有人要說這還不如直接利用任務管理器方便。而實際上TASKKILL命令的獨門絕技就在於它能結束一些在任務管理器中不能直接中止的進程，這時就要加上參數「/F」，這樣就能強制關閉進程，例如運行「TASKKILL /F /pid 1606」命令就能強制結束PID為1656的進程。除此之外，TASKKILL命令還能結束進程樹、遠程進程、指定篩選進或篩選出查詢的的進程，具體操作可利用「taskkill/?」命令進行查看。

三、 Netstat——埠偵探
如今的木馬越來越多，對用戶的威脅也越來越大，於是出現許多專門用於木馬查殺的工具。其實只要我們合理使用命令行下的Netstat命令就能查出大部分隱藏在電腦中的木馬。
我們知道，大部分木馬感染系統後都留有服務埠，而這類服務埠通常都處於LISTENING狀態,因而從埠的使用情況可以查到木馬的蹤跡，而這利用Netstat命令就能輕松實現。在命令行中運行「Netstat –a」，這個命令將顯示一個所有的有效連接信息列表，包括已建立的連接（ESTABLISHED），也包括監聽連接請求（LISTENING）的那些連接。其中Proto代表協議，Local Address代表本機地址，該地址冒號後的數字就是開放的埠號，Foreign Address代表遠程地址，如果和其它機器正在通信，顯示的就是對方的地址，State代表狀態，顯示的LISTENING表示處於偵聽狀態，就是說該埠是開放的，由於木馬開啟後門成功後該後門處於LISTENING狀態，因此你需要注意的就是處於LISTENING狀態的埠，如果該埠號陌生，而且埠號數很大，你就應該有所警覺。
還可以查看使用埠所對應的進程來進一步確認，這就需要加上參數「-O」,運行「Netstat –ao」命令就會顯示一個所有的有效連接信息列表，並給出埠對應的PID號。

四、 FIND——捆綁剋星
相信許多人都上過文件捆綁木馬的當，表面看起來是一張漂亮MM的圖片，而暗地裡卻隱藏著木馬，這種通過文件捆綁進行隱藏是木馬的慣用伎倆。而對可疑文件進行必要的檢查及時處理往往就能防止產生更嚴重的後果，於是網上也出現了一些檢查捆綁文件的工具。
在Windows中，也可通過命令行巧妙地進行簡單的檢查。這里要用到字元串搜索命令——FIND，它的主要功能是在文件中搜索字元串，可以利用它進行捆綁文件的檢查。方法為：在命令行下運行「FIND /C /I "This program" 待查文件的路徑 」（不包括外面的引號），如果是EXE文件，正常情況下返回值應該為「1」，如果出現大於1的情況，你就必須小心了；如果是圖片之類的不可執行文件，正常情況下返回值應該為「0」，如果出現大於0的情況，就應該引起注意。

五、 NTSD——強力終結者(WIN7不支持此命令)
如今的病毒越來越狡猾，經常出現即使你能找到它的進程，卻不能結束的情況。用任務管理器和前面提到的TASKKILL命令都沒有辦法中止。當然可以使用進程管理工具，如功能強大Process Explorer等。而實際上使用Windows自帶的一個秘密工具就能強制結大部分進程，包括一些十分頑固的進程，這就是NTSD命令。
在命令行中運行以下命令：
ntsd -c q -p PID
最後那個PID指要終止的進程的ID。如果不知道進程的ID，可通過Tasklist命令進行查看。利用NTSD命令，除了System、SMSS.EXE和CSRSS.EXE等極少核心進程不能殺外，其它進程都可以強行結束。

六、 FTYPE——文件關聯修復專家
和文件捆綁一樣，篡改文件關聯也是病毒或木馬的慣用伎倆，通常的恢復方法主要是通過修改注冊表，但注冊表操作通常比較麻煩而且容易出錯，另一個更方便的方法是使用命令行工具——FTYPE，利用它可以非常輕松地恢復文件關聯。比如exefile的文件關聯最容易被修改，它的正常的文件關聯為："%1" %* 。恢復的時候，只需在命令行中運行下列命令：「ftype exefile="%1" %* 」就可以了。如果要修復txtfile的文件關聯，只需輸入：「ftype txtfile= %SystemRoot%\system32\NOTEPAD.EXE %1 」即可。

七、FC——注冊表監控器
許多病毒木馬都把注冊表當作攻擊對象，如上面提到的文件關聯篡改，而現在所謂的流氓軟體之流的不安分的軟體在注冊表中添加本不應該添加的項值，因而注冊表監控就變成十分必要了。於是出現了許多注冊表監控類軟體，其實我們完全可以僅用Windows系統提供的工具完成該功能。
下面以監控安裝軟體過程對注冊表做的修改為例介紹如何實現「監控」：
首先，可以在安裝軟體前備份一次注冊表(存儲為REG文件，如1.reg)，安裝後再導出注冊表文件(2.reg)然後再在Windows XP的命令提示行下執行下列命令：
D:;fc /u 1.reg 2.reg;changes.txt
隨後在D盤根目錄下打開changes.txt文件，即可清楚地查看該軟體對注冊表添加了哪些子項，做了什麼修改。上例中的安裝軟體是一個特定的時刻，你可能用此方法分析任一時刻注冊表可能發生的變化。
怎麼樣，有了這一群命令行下隨時等待召喚的抗毒精英，以後對抗病毒也就更有效、更方便，病毒木馬們也就難逃法網了

常在河邊走，哪有不濕腳？所以有時候上網時間長了，很有可能被攻擊者在電腦中種了木馬。如何來知道電腦有沒有被裝了木馬呢？

一、手工方法：

1、檢查網路連接情況
由於不少木馬會主動偵聽埠，或者會連接特定的IP和埠，所以我們可以在沒有正常程序連接網路的情況下，通過檢查網路連情情況來發現木馬的存在。具體的步驟是點擊「開始」;「運行」;「cmd」，然後輸入netstat -an這個命令能看到所有和自己電腦建立連接的IP以及自己電腦偵聽的埠，它包含四個部分——proto（連接方式）、local address（本地連接地址）、foreign address（和本地建立連接的地址）、state（當前埠狀態）。通過這個命令的詳細信息，我們就可以完全監控電腦的網路連接情況。

2、查看目前運行的服務
服務是很多木馬用來保持自己在系統中永遠能處於運行狀態的方法之一。我們可以通過點擊「開始」-「運行」-「cmd」，然後輸入「net start」來查看系統中究竟有什麼服務在開啟，如果發現了不是自己開放的服務，我們可以進入「服務」管理工具中的「服務」，找到相應的服務，停止並禁用它。

3、檢查系統啟動項
由於注冊表對於普通用戶來說比較復雜，木馬常常喜歡隱藏在這里。檢查注冊表啟動項的方法如下：點擊「開始」-「運行」-「regedit」，然後檢查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以「run」開頭的鍵值；HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以「run」開頭的鍵值；HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以「run」開頭的鍵值。
Windows安裝目錄下的System.ini也是木馬喜歡隱蔽的地方。打開這個文件看看，在該文件的[boot]欄位中，是不是有shell=Explorer.exe file.exe這樣的內容，如有這樣的內容，那這里的file.exe就是木馬程序了！

4、檢查系統帳戶
惡意的攻擊者喜在電腦中留有一個賬戶的方法來控制你的計算機。他們採用的方法就是激活一個系統中的默認賬戶，但這個賬戶卻很少用的，然後把這個賬戶的許可權提升為管理員許可權，這個帳戶將是系統中最大的安全隱患。惡意的攻擊者可以通過這個賬戶任意地控制你的計算機。針對這種情況，可以用以下方法對賬戶進行檢測。

點擊「開始」-「運行」-「cmd」，然後在命令行下輸入net user，查看計算機上有些什麼用戶，然後再使用「net user 用戶名」查看這個用戶是屬於什麼許可權的，一般除了Administrator是administrators組的，其他都不應該屬於administrators組，如果你發現一個系統內置的用戶是屬於administrators組的，那幾乎可以肯定你被入侵了。快使用「net user用戶名/del」來刪掉這個用戶吧！
如果檢查出有木馬的存在，可以按以後步驟進行殺木馬的工作。
1、運行任務管理器，殺掉木馬進程。
2、檢查注冊表中RUN、RUNSERVEICE等幾項，先備份，記下可以啟動項的地址， 再將可疑的刪除。
3、刪除上述可疑鍵在硬碟中的執行文件。
4、一般這種文件都在WINNT，SYSTEM，SYSTEM32這樣的文件夾下，他們一般不會單獨存在，很可能是有某個母文件復制過來的，檢查C、D、E等盤下有沒有可疑的.exe，.com或.bat文件，有則刪除之。
5、檢查注冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的幾項（如Local Page），如果被修改了，改回來就可以。
6、檢查HKEY_CLASSES_ROOT\txtfile\shell\open\command和HKEY_CLASSES_ROOTxtfileshellopencommand等等幾個常用文件類型的默認打開程序是否被更改。這個一定要改回來。很多病毒就是通過修改.txt文件的默認打開程序讓病毒在用戶打開文本文件時載入的。

二、利用工具：
查殺木馬的工具有LockDown、The Clean、木馬剋星、金山木馬專殺、木馬清除大師、木馬分析專家等，其中有些工具，如果想使用全部功能，需要付一定的費用，木馬分析專家是免費授權使用。

『貳』 在cmd中怎樣打開文件夾和查看文件夾中的文件

不知道你是想在CMD中查看，還是想在CMD中使用命令打開文件夾窗口？

如果是想在cmd中查看文件夾內容，可以使用 dir 命令, 直接輸入 dir 回車，是查看當前你CMD命令行所在目錄的內容

要說的就這么多，如果有問題可以追問。