Windows 2000/XP/2003的命令行几乎集成了所有的系统功能，而且更加快捷并且可以使用一些在图形界面中无法使用的参数。前段时间系统中毒了，病毒清理玩之后，我收藏了这个病毒。今天我们就以身试毒，演示在命令行下杀毒的全过程。

　　提示：我是在虚拟机上演示的，大家不要用物理系统试验呀。

　　一、有备无患

　　任务：备份系统进程和注册表启动项。

　　工具：TaskList.exe、reg.exe

　　说明：新型病毒都学会了用进程来隐藏自己，所以我们最好在系统正常的时候， 备份一下电脑的进程列表，当然最好在刚进入Windows时不要运行任何程序的情况下备份，样以后感觉电脑异常的时候可以通过比较进程列表，找出可能是病毒的进程。另外病毒和木马通过在注册表启动项中添加相关键值达到随系统启动，我们也要备份启动项，这样在中毒后可以进行比对，找出病毒或者木马。

　　操作：

　　1.备份系统进程

　　在命令提示符下输入：

　　taskList /fo:csv>D:\bf.csv

　　提示：上述命令的作用是将当前进程列表以csv格式输出到“bf.csv”文件中，D:为你要保存到的盘，可以用Excel打开该文件.

　　2.备份注册表启动项

　　把如下代码保存为rbf1.bat批处理文件

　　@echo off

　　reg export HKLM\software\Microsoft\Windows\CurrentVersion\Run g:\hklmrun.reg

　　reg export HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run g:\hklcu.reg

　　reg export HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run g:\hklml.reg

　　注：这里只列举几个常见键值的备份，其它键值请参照上述方法制作。

　　二、明察秋毫

　　任务：找出可疑的进程

　　工具：Fc.exe

　　说明：如果感觉电脑异常，或者知道最近有流行病毒，那么就有必要检查一下。

　　操作：

　　进入命令提示符下，输入下列命令：

　　TaskList /fo:csv>D:\bd.csv

　　生成一个当前进程的yc.csv文件列表，然后输入：

　　FC g:\zccsv g:\yc.csy

　　回车后就可以看到前后列表文件的不同了，通过比较发现，电脑多了一个名为“Winion0n.exe”(这里以这个进程为)不是“Winionon.exe”的异常进程。