Bài viết sưu tầm

Phần lớn các malware tự chạy trên máy bằng cách thêm một dòng tự khởi động cùng với các phần mềm hợp lệ khác, có thể thuộc các công cụ antivirus và các chương trình khác trên khay hệ thống. Người dùng có thể xem các thiết lập khác trên máy với dòng lệnh WMIC bằng cách thay thế “startup” bởi “QFE” (viết tắt của “Kỹ Thuật Sửa chữa Nhanh” - Quick Fix Engineering) để thấy được mức độ được Vá (Patch) của hệ thống, với tùy chọn “share” để xem danh sách các tệp chia sẻ có trên máy và với “useraccount” để xem chi tiết vể thiết lập tài khoản người dùng. 
Một sự lựa chọn rất tiện dụng của WMIC là khả năng chạy lệnh thu thập thông tin trên cơ sở lặp lại bằng cách sử dụng cú pháp “ /every:[N]” ở cuối cùng của dòng lệnh WMIC. [N] ở đây là số nguyên, chỉ ra rằng WMIC sẽ phải thực thi lệnh được chỉ định cứ mỗi [N] giây. Bằng cách này, người dùng có thể thấy sự thay đổi trong các thiết lập của hệ thống theo thời gian, cho phép kiểm soát kỹ lưỡng đầu ra. Để sử dụng chức năng này nhằm đánh giá các process cứ sau 5 giây, người dùng cần chạy dòng lệnh: 
C:\> wmic process list brief /every:5 
Nhấn tổ hợp CTRL+C sẽ ngưng chu trình này.

(Nguyễn Kim Tuấn - K.CNTT)