Windows中病毒木马的时候，fonts目录是病毒木马最喜欢的藏匿点之一，但是你打开fonts文件后找不到病毒，这是因为fonts视图不是普通文件夹视图

如何变成普通文件夹视图？

文件夹特殊样式是靠文件夹里的desktop.ini控制的，只要删了desktop.ini即可

cmd命令行执行del c:\windows\fonts\desktop.ini再打开文件夹按类型排序查看.exe就能看到病毒木马文件了

获取字体目录里异常进程的命令如下（结果集里并不都是病毒，命令的作用是排除掉字体文件把剩下的文件列出来）

wmic datafile where "drive='c:' and path='\\windows\\fonts\\' and extension<>'ttf' and extension<>'fon' and extension<>'ttc' " get Name

wmic datafile where "drive='c:' and path='\\windows\\fonts\\' and extension<>'ttf' and extension<>'fon' and extension<>'ttc' " get Name,Path,CreationDate,LastAccessed,LastModified

第2条命令比第1条多了CreationDate,LastAccessed,LastModified

wmic datafile where "drive='c:' and path='\\windows\\fonts\\' and extension<>'ttf' and extension<>'fon' and extension<>'ttc' " get Name,Path,CreationDate,LastAccessed,LastModified /value

第3条命令是把每一个匹配到的文件按列值以文件维度逐个打印

下面这条命令效果跟第3条命令一样

wmic datafile where "drive='c:' and path='\\windows\\fonts\\' and extension<>'ttf' and extension<>'fon' and extension<>'ttc' " get Name,Path,CreationDate,LastAccessed,LastModified /format:list

注意看最后一个参数/format:后面跟的值

根据自己的需要选择

接下来举个藏匿在fonts文件夹的例子：

从services.msc服务列表里看很容易漏掉这个服务，藏匿得太像正常服务了，上面的是挖矿病毒，下面的才是正常服务

用杀毒软件处理完毕后，需要手动执行sc delete RpcEptManger从服务列表删除掉这个异常服务