xcmd

xcmd.exe 安全焦點出的一個命令行工具。

1、X-CMD是一個命令行處理器，類似Windows的cmd.exe。

2、X-CMD 增加了Anti-HackerDefender的功能以及ps和kill命令，可以在被安裝了Hacker Defender 的系統上查看和刪除被隱藏的檔案，枚舉和終止被隱藏的進程。這也是搞這個工具的主要目的。

3、X-CMD中Anti-HackerDefender 部分的功能不涉及核心操作，在普通用戶許可權甚至是GUEST許可權下就可以準確判斷出系統是否被安裝了Hacker Defender。不必擔心運行X-CMD會導致藍屏，也不存在終端服務下不能用的情況。

4、支持Windows NT、Windows 2000、Windows XP、Windows 2003。

5、僅針對Hacker Defender，沒有檢查其他RootKit的功效。

輸入“?”會顯示出xcmd.exe所有的內部命令。

運行xcmd.exe後，如果系統中已經運行了Hacker Defender，那么會提示

[!] Your system is infected by hxdef, type "ps /f".

如果沒有，則會提示：

[-] Your system is NOT infected by hxdef.

xcmd.exe內置的dir、type、del、move、ren等命令都不受Hacker Defender的文

件隱藏功能影響，ps和kill命令不受Hacker Defender 的進程隱藏功能影響。ps命令

可以檢查出被隱藏進程，並在進程名稱前用“!!!”加以警示：

C:\>ps

0 [System Process]

8 System

224 SMSS.EXE

248 CSRSS.EXE

268 WINLOGON.EXE

300 SERVICES.EXE

312 LSASS.EXE

472 svchost.exe

492 spoolsv.exe

564 svchost.exe

640 LLSSRV.EXE

780 mstask.exe

860 svchost.exe

908 WinMgmt.exe

952 svchost.exe

1232 explorer.exe

1568 !!! hxdef100.exe

1624 xcmd.exe

C:\>kill 1568

Process 1568 was killed.

如果是用管理員帳戶登入的，那么ps /f參數還可以顯示出執行檔的全路徑。