BAT批处理如何验证系统进程？

cjiabing

RT，如何辨别运行的进程是不是系统进程？

CommandLine="C:\Program Files\Internet Explorer\iexplore.exe" SCODEF:2896 CREDAT:79873
CSName=WIN7-20131222JK
Description=iexplore.exe
ExecutablePath=C:\Program Files\Internet Explorer\iexplore.exe
ExecutionState=
Handle=2444
HandleCount=661
InstallDate=
KernelModeTime=224329438
MaximumWorkingSetSize=1380
MinimumWorkingSetSize=200
Name=iexplore.exe
OSName=Microsoft Windows 7 Ultimate |C:\Windows|\Device\Harddisk0\Partition1
OtherOperationCount=59432
OtherTransferCount=1350468
PageFaults=180347
PageFileUsage=93124
ParentProcessId=2896
PeakPageFileUsage=131480
PeakVirtualSize=408387584
PeakWorkingSetSize=135080
Priority=8
PrivatePageCount=95358976
ProcessId=2444
QuotaNonPagedPoolUsage=37
QuotaPagedPoolUsage=334
QuotaPeakNonPagedPoolUsage=63
QuotaPeakPagedPoolUsage=350
ReadOperationCount=4938
ReadTransferCount=56483791
SessionId=1
Status=
TerminationDate=
ThreadCount=45
UserModeTime=398426554
VirtualSize=373583872
WindowsVersion=6.1.7601
WorkingSetSize=99762176
WriteOperationCount=2592
WriteTransferCount=3221899

CommandLine="C:\Program Files\Internet Explorer\iexplore.exe" SCODEF:2896 CREDAT:79905
CSName=WIN7-20131222JK
Description=iexplore.exe
ExecutablePath=C:\Program Files\Internet Explorer\iexplore.exe
ExecutionState=
Handle=2924
HandleCount=579
InstallDate=
KernelModeTime=44460285
MaximumWorkingSetSize=1380
MinimumWorkingSetSize=200
Name=iexplore.exe
OSName=Microsoft Windows 7 Ultimate |C:\Windows|\Device\Harddisk0\Partition1
OtherOperationCount=12113
OtherTransferCount=307929
PageFaults=55861
PageFileUsage=96064
ParentProcessId=2896
PeakPageFileUsage=123344
PeakVirtualSize=348430336
PeakWorkingSetSize=120704
Priority=8
PrivatePageCount=98369536
ProcessId=2924
QuotaNonPagedPoolUsage=34
QuotaPagedPoolUsage=302
QuotaPeakNonPagedPoolUsage=50
QuotaPeakPagedPoolUsage=321
ReadOperationCount=6973
ReadTransferCount=15221042
SessionId=1
Status=
TerminationDate=
ThreadCount=45
UserModeTime=83148533
VirtualSize=331362304
WindowsVersion=6.1.7601
WorkingSetSize=95195136
WriteOperationCount=603
WriteTransferCount=649614

wscript

什么叫“系统进程”？

cjiabing

回复 2# wscript

    就是XP或W7等微软系统自己做的进程，不是被病毒等第二方替换掉的进程。有可能被替换掉的进程包括iexplore.exe、explorer、svchost.exe等！只需验证基本进程就可以了。

PowerShell

问：如何知道某个文件是不是微软开发的？是不是被黑客程序替换了？
答：包括微软在内，全世界都用【签名】来识别，所以保证签名 1不过期 2没吊销 3文件状态为【验证成功】即可。

又问：那么如何用脚本具体验证呢？ ---答：用powershell 2.0中的Get-AuthenticodeSignature指令即可。
如：
Get-AuthenticodeSignature  'c:\Program Files (x86)\Internet Explorer\iexplore.exe' |Format-List
-------------------------以下内容摘自 镇派葵花宝典，即powershell版内置顶的官方手册----------------------------------------
示例 1
C:\PS>get-AuthenticodeSignature -filepath C:\Test\NewScript.ps1

说明
-----------
此命令获取有关 NewScript.ps1 文件中 Authenticode 签名的信息。它使用 FilePath 参数来指定文件。








示例 2
C:\PS>get-authenticodesignature test.ps1, test1.ps1, sign-file.ps1, makexml.ps1

说明
-----------
此命令获取有关命令行中列出的四个文件中 Authenticode 签名的信息。在此命令中，省略了 FilePath 参数（该参数为可选项）的名称。








示例 3
C:\PS>get-childitem $pshome\*.* | foreach-object {Get-AuthenticodeSignature $_} | where {$_.status -eq "Valid"}

说明
-----------
此命令会列出 $pshome 目录中具有有效 Authenticode 签名的所有文件。$pshome 自动变量包含 Windows PowerShell 安装目录的路径。

此命令使用 Get-ChildItem cmdlet 获取 $pshome 目录中的文件。它采用 *.* 模式排除目录（尽管它也会排除文件名中不含点的文件）。

此命令使用管道运算符 (|) 将 $pshome 中的文件发送到 Foreach-Object cmdlet，其中将针对每个文件调用 Get-AuthenticodeSignature。

Get-AuthenticodeSignature 命令的结果将发送到 Where-Object 命令，该命令仅选择状态为“Valid”的签名对象。

cjiabing

回复 4# PowerShell


    果然比cmd牛逼！那天看了一下，有心想学，可没太多时间。