用WMIC命令判断是否加载了DLL木马

yjf3697588

WMIC命令可以查看Rundll32.exe的命令行，以判断通过它调用的DLL文件是否加载了DLL木马。
①单击“开始→运行”，输入wmic，回车后弹出命令提示符窗口开始安装WMIC，接着出现wmic:root\cli>提示符。
②如果通过任务管理器发现有Rundll32.exe进程存在，要查看它加载的DLL文件，只要在wmic:root\cli>提示符后输入以下命令：
process where(description="rundll32.exe" )
按回车键后，Rundll32.exe调用的DLL文件就一目了然。用这一方法同样可以查看其他进程，只要把上面的rundll32.exe换成要查看的进程名即可。
③如果在命令提示符下直接执行process命令，则可以查看当前所有活动进程的命令行参数，一些无法通过Msinfo32显示的进程（如某些svchost.exe）信息，全都原形毕露了。