cmd.exe(5)进程文件: cmd 或者 cmd.exe
描述:
cmd.exe是微软Windows系统的命令行程序,类似于微软的DOS操作系统。cmd.exe是一个16/32位的命令行程序,运行在Windows NT/2000/XP/2003/Vista/7/8上。这不是纯粹的系统程序,但是如果终止它,可能会导致未知的问题。
系统进程: 是
后台程序: 否
使用网络: 部分命令使用
硬件相关: 部分命令相关
常见错误: 操作失败
内存使用: 未知
安全等级 (0-5): 0
安全性:部分情况可被木马利用
cmd.exe是基于Windows CE和Windows NT操作系统(包括Windows 2000 , XP, Vista,7以及Windows8,Windows10中,和Server 2003 )的命令行编译程序。它类似于在MS - DOS和Windows 9X的系统中的 command. com,或Unix系统使用的shell。
Therese Stowell developed the initial version of cmd.exe for Windows NT.[1] Although some old DOS commands are not supported or have been changed (e.g. the functionality of deltree.exe was rolled into RD in the form of the /s parameter), cmd.exe still has a greater number of built-in commands.
Both the OS/2 and the Windows NT versions of cmd.exe have more detailed error messages than the blanket "Bad command or file name" (in the case of malformed commands) of command .com. In the OS/2 version of cmd.exe, errors are reported in whatever the current language of system is, their text being taken from the system message files. The help command can then be issued with the error message number to obtain further information.
cmd.exe, which remains part of Windows Vista and Windows Server 2008 for backward compatibility, will be supplemented with Windows PowerShell, Microsoft's new extensible command line shell and task-based scripting technology.
版本
Therese stowell为Windows NT开发了cmd.exe 的最初版本。
[ 1 ] ,虽然有些旧的DOS命令已不被支持,或已改变(如deltree.exe的功能性集成进了RD的/ s参数中) ,cmd.exe仍然具有数量庞大的内建命令。
OS / 2和Windows NT这两个版本的cmd.exe都有更详细的错误讯息,相比于 command .com中的“错误的命令或文件名” (如属恶意命令) 。在OS/ 2版本的cmd.exe中,错误的报告会以当前计算机设置的语言来显示,显示的文本储存在系统信息文件中。 help命令可以给出一个错误编号,用户可以利用错误编号查询更多的相关信息。
cmd.exe ,仍然被保留为Windows Vista和Windows Server 2008的一部分以便向后兼容, 并会随着Windows PowerShell ,微软新的可扩展命令行外壳和基于任务的脚本技术在未来进行增补。
技术资料
Technically(5)Unlike COMMA ND. COM, which is a DOS program, cmd.exe is a nativeprogram for the platform. This allows it to take advantage of features available to native programs on the platform and not available to DOS programs. For example, since cmd.exe is a native text-mode application on OS/2 it can use real pipes in command pipelines, allowing both sides of the pipeline to run concurrently. As a result, it is possible to redirect the standard error in cmd.exe, unlike COM MAND. COM. (COMM AND. COM uses temporary files, and runs the two sides serially, one after the other.)
Technically, cmd.exe is a Windows program that acts as a DOS-like command line interpreter. It is generally compatible, but provides extensions which address the limitations of COMMAN D. COM:
* SETLOCAL/ENDLOCALcommands limit the scope of changes to the environment
* internal CALL and GOTO labels lessen the need for individual batch files to perform parts of a task.
* filename-parsing extensions to the SET command are comparable to C shell.
* an expression-evaluation extensions is also provided in the SET command.
The extensions can be disabled, providing a stricter compatibility mode.
不像command. com ,那是一个DOS程序, cmd.exe是一个为系统平台服务的本机程序。让它可以利用平台上本机程序的可用功能,对dos程序不可用。例如,由于cmd.exe是在OS / 2上的一个本机文本模式的应用程序 ,它可以使用指令通道中的实际通道,让通道两边同时执行指令。这样以来,有可能在cmd.exe 中造成标准误差发生改变,不像command .com 。 ( comma nd. com使用的是临时文件,并相继以串行方式运行双方指令) 。
在技术上, cmd.exe是一个Windows程序,作为一个DOS的命令行解释程序。它普遍兼容,但又提供扩展,用来处理command. com中的局限性 :
* setlocal / endlocal命令限制环境改变的适用范围
*内部“通话”和“转到”标签缩小了个别批处理文件去执行任务的某一部分的需求。
*文件名-解析扩展“set”命令媲美到C shell。
*表达评价的扩展还提供了在set命令。
扩展可以禁用,提供了更严密的兼容模式。
cmd.exe 病毒是比较头痛的一种占用大量cpu资源的病毒,不同的机子还需要用不同的解决方案。
中了cmd.exe病毒的表现:
开机CPU就是100%,查进程,原来是cmd.exe 占用了绝大部分的CPU。关闭cmd.exe后,CPU实用率恢复正常。但是再次开机的时候,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU。
1.装了ewido 查杀木马,查出了几个感染目标,已删除。但是第二天早上开机,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU。
2.再装“木马清除专家2006”,查杀,结果没有发现木马。
3.查system 32 中的 CMD.EXE 大小,结果如下:
CMD.EXE 大小:459 KB (470,016字节)
占用空间:460 KB (471,040 字节)
应该没有异常。
以下是清除方法:
一、网吧系统:重启服务器,工作站不开机,下载rundll32.exe和rundll.exe,分别复制到D:\WXP目录和d:\wxp\system目录下。然后将d:\wxp\system目录下的rundll32.exe和rundll.exe这两个文件的安全性设置为拒绝访问。而D:\WXP下的文件安全性不作改变。
二、教学系统:重启服务器,工作站先不开机,下载rundll32.exe和rundll.exe,分别复制到D:\wz目录和d:\wz\system目录下。然后将d:\wz\system目录下的rundll32.exe和rundll.exe这两个文件的安全性设置为拒绝访问。而D:\wz下的文件安全性不作改变。
怎么看system32下的CMD.EXE是病毒吗
文件名:C\WINDOWS\SYSTEM32\CMD.EXE 这家伙是不是病毒?
一、病毒感染
某些木马程序,通常会利用CMD.EXE这个命令行系统进行病毒加载或者是DLL插入,并且文件的大小会改变 CMD.EXE 大小:459 KB (470,016字节) 占用空间:460 KB (471,040 字节) 若与该数字不太吻合,请注意,肯定是病毒感染了没错 解决办法:进入安全模式,删除CMD.EXE然后从windows\i386 文件夹中再复制一份到system32文件夹下。
二、有启动项目是需要cmd.exe命令行支持运行的,若你的CMD.EXE不能正常运行的话,会始终出现提示 解决办法:修复cmd.exe
CMD [/A | /U] [/Q] [/D][/E:ON | /E:OFF] [/F:ON | /F:OFF] [/V:ON | /V:OFF][[/S] [/C | /K] string]
/C 执行字符串指定的命令然后终断
/K 执行字符串指定的命令但保留
/S 在 /C 或 /K 后修改字符串处理(见下)
/Q 关闭回应
/D 从注册表中停用执行 AutoRun 命令(见下)
/A 使向内部管道或文件命令的输出成为 ANSI
/U 使向内部管道或文件命令的输出成为 Unicode
/T:fg 设置前景/背景颜色(详细信息,请见 COLOR /?)
/E:ON 启用命令扩展(见下)
/E:OFF 停用命令扩展(见下)
/F:ON 启用文件和目录名称完成字符 (见下)
/F:OFF 停用文件和目录名称完成字符(见下)
/V:ON 将 ! 作为定界符启动延缓环境变量扩展。如: /V:ON 会允许 !var! 在执行时允许 !var! 扩展变量 var。
/V:OFF 停用延缓的环境扩展。
如果指定了 /C 或 /K,命令行开关后的命令行其余部分将作为命令行处
理;在这种情况下,会使用下列逻辑处理引号字符("):
1. 如果符合下列所有条件,那么在命令行上的引号字符将被保留:
- 不带 /S 命令行开关
- 整整两个引号字符
- 在两个引号字符之间没有特殊字符,特殊字符为下列中的 一个:
<>()@^|
- 在两个引号字符之间有至少一个空白字符
- 在两个引号字符之间有至少一个可执行文件的名称。
2. 否则,老办法是,看第一个字符是否是一个引号字符,如果 是,舍去开头的字符并删除命令行上 的最后一个引号字符,
保留最后一个引号字符之后的文字。
如果 /D 未在命令行上被指定,当 CMD.EXE 开始时,它会寻找以下 REG_SZ/REG_EXPAND_SZ 注册表变量。如果其中一个或两个都存在,这两个变量会先被执行。
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\AutoRun
和/或
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\AutoRun
命令扩展是按默认值启用的。您也可以使用 /E:OFF,为某一特定调用而停用扩展。您可以在机器上和/或用户登录会话上启用或停用 CMD.EXE 所有调用的扩展,这要通过设置使用
REGEDT32.EXE 的注册表中的一个或两个 REG_DWORD 值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\EnableExtensions
和/或
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\EnableExtensions
到 0x1 或 0x0。用户特定设置比机器设置有优先权。命令行开关比注册表设置有优先权。