使用殺毒軟件和防火墻，有時(shí)并不能發(fā)現(xiàn)和清除病毒木馬文件。其實(shí)，使用系統(tǒng)自帶的安全工具，往往可以出奇制勝發(fā)現(xiàn)和清除隱藏很深的病毒文件。例如，運(yùn)行“gpedit.msc”程序，在組策略窗口中點(diǎn)擊“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“審核策略”項(xiàng)，在右側(cè)窗口雙擊“審核賬戶管理”項(xiàng)，在彈出窗口中選擇“成功”和“失敗”項(xiàng)，啟用針對(duì)賬戶的審核策略。

以后如果懷疑黑客侵入了本機(jī)，并創(chuàng)建了非法賬戶，可以運(yùn)行“eventvwr.msc”程序，在事件查看器窗口左側(cè)選擇“安全性”項(xiàng)，在右側(cè)窗口中檢查“審核成功”時(shí)間，根據(jù)賬戶信息的變動(dòng)情況，就可以發(fā)現(xiàn)非法賬戶的蹤跡。例如，根據(jù)事件記錄信息，在審核事件中發(fā)現(xiàn)建立了名為“adminuser”賬戶，并在很短的時(shí)間內(nèi)將其提升到Administrators組中，經(jīng)過一段時(shí)間后該賬戶被刪除，但是管理員并沒有建立和使用過該賬戶，因此該賬戶一定是黑客侵入本機(jī)后建立起來的，為的是使用本機(jī)開啟的終端服務(wù)。當(dāng)黑客滲透完成后，將該賬戶刪除來隱藏蹤跡。根據(jù)這一線索，果然在系統(tǒng)中發(fā)現(xiàn)了黑客預(yù)設(shè)的DLL木馬，雖然其經(jīng)過免殺處理，還是被管理員發(fā)現(xiàn)并清除了。

為了從底層侵入系統(tǒng)，很多病毒喜歡將自身偽裝成驅(qū)動(dòng)文件來逃避用戶的監(jiān)控，因?yàn)轵?qū)動(dòng)加載的級(jí)別優(yōu)先級(jí)最高，而且在安全模式下照樣可以運(yùn)行，就造成了驅(qū)動(dòng)級(jí)別的病毒很難清除的局面。其實(shí)，利用系統(tǒng)提供的設(shè)備管理器程序，有時(shí)可以簡(jiǎn)單直接地發(fā)現(xiàn)驅(qū)動(dòng)型病毒的蹤跡。例如，在設(shè)備管理器窗口中點(diǎn)擊菜單“查看”→“顯示隱藏的設(shè)備”項(xiàng)，可以顯示所有處于隱藏狀態(tài)的設(shè)備。在設(shè)備列表中的“非即插即用驅(qū)動(dòng)程序”節(jié)點(diǎn)下可以顯示本機(jī)中所有的驅(qū)動(dòng)型軟件的服務(wù)程序，在其中仔細(xì)觀察，不難發(fā)現(xiàn)不法程序的身影。例如，裝載其中找到名為“supervga”的可疑驅(qū)動(dòng)，雙擊該驅(qū)動(dòng)項(xiàng)，在其屬性窗口中的“驅(qū)動(dòng)程序”面板中點(diǎn)擊“停止”按鈕，終止其運(yùn)行。在“啟動(dòng)類型”列表中選擇“已禁用”項(xiàng)，讓其無法跟隨系統(tǒng)啟動(dòng)。點(diǎn)擊“驅(qū)動(dòng)程序詳細(xì)信息”按鈕，可以發(fā)現(xiàn)與之關(guān)聯(lián)的驅(qū)動(dòng)文件的具體的路徑信息。例如“C:Windowssystem32driversupervga.sys”，可以進(jìn)入WinPE環(huán)境，將其徹底刪除。

此外，如果本機(jī)開啟了遠(yuǎn)程桌面服務(wù)，為了防止別人隨意連接對(duì)系統(tǒng)造成威脅，可以使用系統(tǒng)自帶的防火墻對(duì)其進(jìn)行攔截。例如，在Windows 7中已經(jīng)提供了功能強(qiáng)悍的防火墻，可以在防火墻設(shè)置界面左側(cè)點(diǎn)擊“入站規(guī)則”項(xiàng)，在右側(cè)窗口中的“入站規(guī)則”欄中雙擊“遠(yuǎn)程桌面”項(xiàng)，在打開窗口中的“常規(guī)”面板中選擇“只允許安全連接”項(xiàng)。在“用戶和計(jì)算機(jī)”面板中勾選“只允許來自下列計(jì)算機(jī)的連接”項(xiàng)，點(diǎn)擊“添加”按鈕，添加值得信任的主機(jī)。勾選“只允許來自下列用戶的連接”項(xiàng)的，點(diǎn)擊“添加”按鈕，將值得信任的賬戶添加進(jìn)來。這樣，不符合添加的用戶無法連接本機(jī)的遠(yuǎn)程桌面，這在很大程度上避免了本機(jī)遭黑客入侵的可能性。