第102部分(第2/4 頁)

軸要不斷的往上拉一個一個看，找到fortab。exe時已經浪費不少時間了，而且預設的情況下命令提示字元只有顯示300行空間的能力，通常這已經超過最大值了。’

宇成等人將卷軸往上一拉，才發現果然上面斷了頭。

何智言說：‘這個訓練任務要求的是快速找到程式的PID以及與它相關的資訊，因此在引數的使用上勢必要混合不同的引數一起用。’

‘不同的引數？’宇成疑問道：‘難道還可以把不同的引數用在一起啊？’

雲飛冷笑道：‘哼，右御使，你的意思不就是多重引數嗎？’

宇成轉頭問：‘疑？雲飛？你知道什麼是多重引數啊？’

雲飛打了一道指令並說：‘你所要求的就是這個吧？看清楚了！’

雲飛輸入tasklist/m/fi‘PIDeq4906‘後，螢幕上原本一大串的程式與DLL變成只剩下一項fortab。exe的資訊，顯示了它的PID和DLL檔。

何智言點頭說：‘不錯！看來你滿厲害的，能夠理解我在說什麼。’

明昂心想：‘雲飛果然能力還在我之上，連我也不懂得這樣的用法。’

宇成佩服道：‘太強了．．．雲飛，為什麼你都沒有教我混合引數的用法啊？’

雲飛又是冷酷的笑了一聲說：‘哼，這根本不必教吧？這不過是常識罷了。’

宇成不甘心的想著：‘好厲害啊．．．沒想到都已經兩年了，我還是沒有辦法追上雲飛的腳步嗎？可惡．．．我以為已經很接近了。’

何智言又問：‘如果還不知道程式的PID，只知道檔名你有辦法嗎？’

雲飛笑道：‘很簡單不是嗎？只不過是改篩選器的引數罷了。’

雲飛輸入tasklist/m/fi‘imagenameeqfortab。exe‘後，又是相同的結果。

何智言點頭道：‘不錯，很好很好，看來你不必我太操心了。/fi是個很重要的引數，它的意思就是filter，過濾篩選的意思。利用/fi引數，我們可以捨棄掉許多不必要的時間浪費，直接擊中我們想要的程式。訓練你們熟練/fi是這次的重點之一，而相關的操作器指令像是eq代表等於、ne代表不等於也是必需瞭解的。該用PID或imagename的時機你們要自己掌握住，才不會找錯目標。’

宇成理解道：‘我懂了，因為imagename可能是同一名稱，這時就要輔以PID。’

何智言笑道：‘不錯嘛，你很快就吸收了這些知識。好，接下來則是找出DLL檔被那些程式使用，這是和剛才的情況相反過來的，就找ntdll。dll好了。’

雲飛和明昂很快的動作，而宇成似乎有點不熟悉，打了一半就停住。

宇成心想：‘到底是怎麼做呢？應該還是用/m的引數才對，畢竟這是用來看module的引數，既然和DLL有關就還是用它！’

宇成打完tasklist/m後並沒有按下Enter，因為這結果必然不是他想要的。此時宇成直覺覺的可以這麼做，便在/m引數後空一格打上ntdll。dll，果然成功了。

何智言笑道：‘不錯不錯，你們三個都可以嘛！tasklist/mntdll。dll，很好。那麼再來，判斷csrss。exe是否有使用ntdll。dll。’

宇成此時又直覺想到：‘要判斷csrss。exe，就必需用/fi篩選檔名csrss。exe，然後再加上之前/mntdll。dll，可以的．．．我一定能打出右御使要求的指令！’

宇成等三人都輸入tasklist/mntdll。dll/fi‘imagenameeqcsrss。exe‘，結果果然如預期出現在三人的螢幕上。

何智言很滿意的說：‘不錯，你們很快就懂得運用混合引數、篩選器，我想接下來要讓你們進行反篩選應該也不是問題，把eq換成ne就行了。好，那麼接下來就繼續進行下面的訓練，利用ntsd–cq–pPID的方式快速又強制的關掉．．．’

三人繼續接受著特訓，而十一月十一日也即將到來．．．待續

第三十三回（１８３）虛夢病毒驚人的技術

在新加坡守天多媒體的總部，曲先生正交待著五組人馬進行任務，並等待著天守的第一支綜合性病毒“虛夢”於十一月十一日開始發作。