■

如何識別暗中偷窺

無論Windows系統(tǒng)是否接入網(wǎng)絡(luò)，都存在被偷窺的可能。在單機環(huán)境下的偷窺，都屬于本地偷窺，這種偷窺往往是事先在Windows系統(tǒng)中安裝好特定程序，該程序能在系統(tǒng)后臺悄悄記憶用戶的各種操作，并將記錄結(jié)果以系統(tǒng)日志、監(jiān)控視頻或屏幕截圖形式存儲起來，日后惡意用戶只要想辦法調(diào)閱這些記錄結(jié)果，就能達到偷窺用戶各種操作的效果。要識別本地偷窺，其實不難，只要定期查看最近生成的系統(tǒng)日志，搜索查找近幾天創(chuàng)建的屏幕截圖、屏幕視頻文件等內(nèi)容，就能大概了解到本地偷窺是否存在了。如果認為這種搜索操作不準確時，也可以進入本地系統(tǒng)控制面板窗口，點擊“添加/刪除程序”圖標(biāo)，看看“當(dāng)前的安裝程序”列表中，是否存在自己不熟悉的應(yīng)用程序或軟件名稱，如果發(fā)現(xiàn)有陌生的程序名稱，可以通過百度搜索等方式，確認它們是否具有暗中偷窺功能。

而在網(wǎng)絡(luò)隨處可見的今天，通過網(wǎng)絡(luò)進行暗中偷窺，往往更具有隱蔽性，惡意用戶常常會通過這種方式，來遠程查看局域網(wǎng)重要主機系統(tǒng)的運行情況。既然網(wǎng)絡(luò)中的重要主機系統(tǒng)存在被非法偷窺的可能，那么，怎樣才能識別對應(yīng)主機系統(tǒng)可能正在被暗中偷窺呢？最簡單的方法就是利用Windows系統(tǒng)內(nèi)置的“net user”命令來判斷。例如，在Windows 7重要主機系統(tǒng)中，依次單擊“開始”、“所有程序”、“附件”、“命令提示符”選項，展開DOS命令行工作窗口，在其中執(zhí)行“net user”命令，在其后界面中就能直觀地看到計算機主人的用戶帳號，要是計算機主人只創(chuàng)建過一個登錄帳號，但結(jié)果界面中返回了多個帳號名稱，那就意味著有其他用戶在偷偷連接這臺計算機，或許會對該系統(tǒng)進行遠程偷窺。繼續(xù)在命令提示符狀態(tài)，執(zhí)行字符串命令“netstat-a”，如果系統(tǒng)返回“TCP<本地地址>：xxxx<外部地址>LISTENING”之類的結(jié)果信息時，將這里“xxxx”位置處的端口號碼記錄下來，通過網(wǎng)絡(luò)搜索引擎查找黑客或木馬經(jīng)常使用的端口號碼有哪些。要是“xxxx”端口號碼對應(yīng)著某個黑客或木馬程序的常用端口，那就說明本地主機系統(tǒng)已經(jīng)被黑客或木馬程序偷窺。這個時候，可以設(shè)置系統(tǒng)防火墻或?qū)I(yè)防火墻，來過濾特定網(wǎng)絡(luò)端口的通信連接。

要想識別重要主機系統(tǒng)有沒有可能被內(nèi)網(wǎng)用戶非法偷窺時，可以在DOS命令行工作窗口中，執(zhí)行字符串命令“netstat -a-b”，從返回的結(jié)果界面中，檢查有沒有10.176.34.12等非自身IP地址的計算機在頻繁地與本地主機系統(tǒng)建立連接，要是存在這樣的結(jié)果記錄時，那就說明本地系統(tǒng)有可能正被非法偷窺。

這里之所以要用“可能”字眼，主要是內(nèi)網(wǎng)環(huán)境下其他計算機系統(tǒng)感染病毒時，也可能會不停地與重要主機系統(tǒng)建立連接，這自然不代表其他計算機正在偷窺重要主機系統(tǒng)，但可以肯定的是重要主機系統(tǒng)正在遭受網(wǎng)絡(luò)病毒的攻擊。

如果對上述命令使用情況不熟悉，也可以使用更為簡單的方法，來識別暗中偷窺現(xiàn)象是否存在。只要先關(guān)閉本地系統(tǒng)中的所有網(wǎng)絡(luò)訪問程序，之后使用“Ctrl+Alt+Del”組合鍵調(diào)用系統(tǒng)任務(wù)管理器窗口，進入聯(lián)網(wǎng)標(biāo)簽頁面，在其中檢查網(wǎng)絡(luò)流量的使用情況，要是發(fā)現(xiàn)網(wǎng)絡(luò)流量沒有明顯下降時，那基本就能斷定非法偷窺現(xiàn)象存在了。相反，在網(wǎng)絡(luò)訪問程序全部關(guān)閉的情況下，網(wǎng)絡(luò)流量有明顯下降或顯示為0字節(jié)時，那就表示當(dāng)前狀態(tài)沒有傳輸數(shù)據(jù)信號，這至少能夠證明當(dāng)前狀態(tài)不存在非法偷窺現(xiàn)象。

如何應(yīng)付非法偷窺

無論是哪種形式的非法偷窺，總需要通過無線網(wǎng)絡(luò)或有線介質(zhì)來傳輸偷窺信號，所以，在初步判斷非法偷窺現(xiàn)象存在時，最簡單、最有效的應(yīng)付措施就是進行斷開網(wǎng)絡(luò)連接操作。當(dāng)然，這種應(yīng)付措施有點極端，只能在重要主機系統(tǒng)不需要接入網(wǎng)絡(luò)工作時才能進行，如果重要主機系統(tǒng)的工作狀態(tài)離不開網(wǎng)絡(luò)連接時，這種措施就不能拿來使用。而且，斷開網(wǎng)絡(luò)連接只能解救一時之急，在隨后恢復(fù)網(wǎng)絡(luò)連接狀態(tài)時，非法偷窺現(xiàn)象仍然有可能卷土重來，如此一來保存在重要主機系統(tǒng)中的隱私數(shù)據(jù)，還有被非法偷窺的風(fēng)險。

因此，要想徹底有效地應(yīng)付非法偷窺現(xiàn)象，必須要弄清楚非法偷窺現(xiàn)象產(chǎn)生的原因。正常情況下，被非法偷窺的重要主機系統(tǒng)，都會被悄悄植入黑客或木馬程序，之后才會被遠程偷窺的。例如，有的時候，Windows系統(tǒng)會突然反應(yīng)遲鈍或鼠標(biāo)指針亂移，這多半是惡意用戶在該系統(tǒng)中偷偷地安裝了非法偷窺程序，以方便進行偷窺操作。這個時候，不妨使用專業(yè)的木馬查殺工具，對本地系統(tǒng)進行徹底地掃描查殺操作，將潛藏起來的所有黑客或木馬程序刪除干凈，同時開啟木馬防火墻運行狀態(tài)，加強對陌生網(wǎng)絡(luò)連接的監(jiān)控。要是掃描不到木馬程序或有關(guān)服務(wù)，但Windows系統(tǒng)反應(yīng)狀態(tài)仍然不能正常，可以先對重要數(shù)據(jù)進行備份轉(zhuǎn)移，之后采用重新安裝操作系統(tǒng)的方法，徹底消除非法偷窺的隱患。

當(dāng)然，在手頭沒有專業(yè)工具可以利用的情況下，也可以通過Windows系統(tǒng)的“net session”命令，查看當(dāng)前狀態(tài)下是否存在陌生的會話連接。進入MS-DOS工作窗口，輸入“net session”命令，從所示的結(jié)果信息中，能夠非常直觀地看到本地系統(tǒng)的所有會話連接狀態(tài)。當(dāng)看到有異常會話連接時，不妨通過“net session”命令的“/delete”參數(shù)，強行斷開異常會話連接，以避免非法偷窺現(xiàn)象的繼續(xù)發(fā)生。

如何預(yù)防非法偷窺

在多用戶賬號環(huán)境下，非法偷窺現(xiàn)象更容易頻繁發(fā)生。為了避免這種現(xiàn)象帶來安全麻煩，我們可以未雨綢繆，采取合適措施提前防范，不讓非法偷窺輕易得逞！下面，本文就以Windows 7系統(tǒng)為例，總結(jié)幾則讓W(xué)indows系統(tǒng)遠離非法偷窺的技巧，希望這些內(nèi)容能給大家?guī)韼椭?/p>

1.禁止遠程連接

由于非法偷窺大多以遠程連接形式出現(xiàn)，如果我們事先對網(wǎng)絡(luò)中的重要主機系統(tǒng)進行合適設(shè)置，禁止任何用戶與本地系統(tǒng)建立遠程連接，那么各種遠程非法偷窺現(xiàn)象就能有效避免了。

禁止遠程連接操作很簡單，可以先用鼠標(biāo)右鍵單擊系統(tǒng)桌面上的“計算機”圖標(biāo)，執(zhí)行快捷菜單中的“屬性”命令，進入系統(tǒng)屬性對話框，按下“遠程設(shè)置”按鈕，在對應(yīng)標(biāo)簽頁面中，將“不允許遠程連接到此計算機”選項選中，同時將“允許遠程協(xié)助連接這臺計算機”取消選中，單擊“確定”按鈕保存設(shè)置即可。

當(dāng)然，冒然切斷遠程連接，可能會影響用戶本人的遠程訪問操作。所以，如果用戶不想關(guān)閉遠程連接時，也可以通過修改遠程連接端口方法，來提高遠程桌面連接的安全性，惡意用戶不知道新端口的情況下，是不能通過遠程桌面連接進行非法偷窺的。

例如，要將遠程桌面連接端口號碼修改為“9162”時，不妨逐一單擊“開始”、“運行”選項，彈出系統(tǒng)運行對話框，在其中執(zhí)行“regedit”命令，開啟系統(tǒng)注冊表編輯器運行狀態(tài)。在該編輯界面左側(cè)列表中，將鼠標(biāo)定 位 到“HKEY_LOCAL_MACHINESYSTEMC u r r e n t C o n t r o l S e tC o n t r o lT e r m i n a l ServerWds dpwdTds cp”節(jié)點上，找到該節(jié)點下的“PortNumber”的鍵值，該鍵值就是用來指定遠程桌面連接端口的，將其數(shù)值修改為“9162”，確認后返回。再將鼠標(biāo)定位到“HKEY_LOCAL_MACHINESYSTEMC u r r e n t C o n t r o l S e tC o n t r o lT e r m i n a l ServerWinStationsRDPTcp”節(jié)點下，雙擊該節(jié)點下的“PortNumber”鍵值，輸入“9162”并執(zhí)行保存操作。

2.加強異常報警

在Windows 7系統(tǒng)中，巧妙利用事件查看器自帶的附加任務(wù)功能，就能輕松做到這一點，具體實現(xiàn)步驟為：首先逐一選擇“開始”、“控制面板”、“管理工具”、“本地安全策略”命令，進入系統(tǒng)安全策略控制臺，依次展開“本地策略”、“審核策略”節(jié)點，用鼠標(biāo)雙擊該節(jié)點下的“審核賬戶管理”選項，選中其后界面中的“成功”、“失敗”等選項，單擊“確定”按鈕保存設(shè)置操作。這樣，日后Windows 7系統(tǒng)就可以智能審核系統(tǒng)賬戶管理方面的事情了，一旦系統(tǒng)中真的發(fā)生異常賬號創(chuàng)建事件時，該事件記錄會被系統(tǒng)日志文件自動捕捉到。

為了實現(xiàn)對異常操作行為的報警，我們可以將報警任務(wù)附加到賬號創(chuàng)建事件上。只要用鼠標(biāo)右擊系統(tǒng)桌面上的“計算機”圖標(biāo)，從右鍵菜單中選擇“管理”命令，切換到本地系統(tǒng)計算機管理窗口，將鼠標(biāo)定位到“本地用戶和組”、“用戶”分支上，在目標(biāo)分支下任意創(chuàng)建一個用戶賬號。再依次點選“開始”、“控制面板”、“管理工具”、“事件查看器”選項，打開事件查看器窗口，從“Windows日志”、“安全”選項下面找到之前生成的用戶賬號事件，打開該事件的右鍵菜單，執(zhí)行“將任務(wù)附加到此事件”命令，彈出基本任務(wù)向?qū)υ捒?，依照屏幕提示不停按“下一步”按鈕，當(dāng)系統(tǒng)出現(xiàn)有“顯示消息”對話框時，選中“顯示消息”選項，定義好報警標(biāo)題和內(nèi)容，單擊“完成”按鈕退出任務(wù)附加操作向?qū)Э颉?/p>

日后，當(dāng)黑客、木馬程序嘗試在Windows 7系統(tǒng)中偷偷創(chuàng)建陌生賬號，來實現(xiàn)非法偷窺目的時，Windows系統(tǒng)就會自動發(fā)出報警提示消息，將這一異常操作行為反饋給用戶，用戶發(fā)現(xiàn)這樣的報警內(nèi)容，就能識別出本地系統(tǒng)在當(dāng)前狀態(tài)下存在異常帳號創(chuàng)建行為，這時只要立即采取合適措施來找出那個異常的隱藏賬號，同時將它刪除或停用掉，就能避免異常偷窺現(xiàn)象的發(fā)生。

3.強制身份認證

在內(nèi)網(wǎng)環(huán)境中，有些用戶只要簡單地打開網(wǎng)上鄰居窗口，就能輕松通過網(wǎng)絡(luò)偷窺到別人的共享數(shù)據(jù)。之所以發(fā)生這種現(xiàn)象，主要是共享主機啟用了簡單的共享訪問模式，這種模式不需要訪問者輸入共享賬號與密碼，就能保證共享訪問成功。為了避免這種偷窺現(xiàn)象的發(fā)生，我們應(yīng)該設(shè)置Windows系統(tǒng)，使用經(jīng)典共享模式狀態(tài)，強制對共享訪問進行身份認證，下面就是詳細的操作步驟：首先依次單擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，輸入“gpedit.msc”命令，進入系統(tǒng)組策略編輯窗口。在該窗口左側(cè)列表中，將鼠標(biāo)定位到“本地計算機策略”、“計算機配置”、“Windows 設(shè)置”、“安全設(shè)置”、“本地策略”、“安全選項”分支上。雙擊該分支下的“網(wǎng)絡(luò)訪問： 本地帳戶的共享和安全模型”組策略，打開選項設(shè)置對話框，選中“經(jīng)典—對本地用戶進行身份驗證，不改變其本來身份”選項，單擊“確定”按鈕保存設(shè)置操作。

此外，建議大家一并設(shè)置好合適訪問權(quán)限，不讓無關(guān)用戶偷窺到重要共享內(nèi)容。

在進行該操作時，首先打開特定共享文件夾的右鍵菜單，選擇“屬性”命令，進入共享文件夾屬性對話框。選擇“安全”選項卡，在對應(yīng)選項設(shè)置頁面中，導(dǎo)入合法可信的賬戶名稱。選中新添加的合法用戶賬號，在權(quán)限列表框中，按需定義好用戶的訪問權(quán)限，確認后退出設(shè)置對話框。這樣，通過網(wǎng)絡(luò)共享形式發(fā)生的非法偷窺現(xiàn)象就不會輕易發(fā)生了。

4.禁用不明控件

有些非法偷窺軟件常常以不明控件的形式，通過Windows系統(tǒng)自帶IE瀏覽器的漏洞，自動下載安裝運行，這往往讓用戶防不勝防。為了避免這種現(xiàn)象發(fā)生，我們可以按照如下步驟，設(shè)置IE瀏覽器參數(shù)，禁用所有不明ActiveX控件和插件：

首先啟動IE瀏覽器程序，依次點擊瀏覽窗口中的“工具”、“Internet選項”命令，切換到Internet選項設(shè)置對話框，選擇“安全”選項卡，在自定義級別設(shè)置頁面的“ActiveX控件自動提示”位置處，選擇“禁用”選項。

其次在“ActiveX控件和插件”設(shè)置項處，將“對標(biāo)記為可安全執(zhí)行腳本的ActiveX控件”選項設(shè)置為“啟用”，將“對未標(biāo)記為可安全執(zhí)行腳本的ActiveX控件”設(shè)置為“禁用”，確認后退出設(shè)置對話框。這樣，任何以不明控件形式存在的非法偷窺軟件，都將無法通過IE瀏覽器下載安裝到本地系統(tǒng)了。

為穩(wěn)妥起見，建議大家同時關(guān)閉瀏覽器的自動下載功能，不讓非法偷窺程序以其他形式偷偷下載到本地系統(tǒng)。打開系統(tǒng)運行對話框，輸入“gpedit.msc”命令，將鼠標(biāo)定位到組策略編輯窗口左側(cè)的“本地計算機策略”、“計算機配置”、“管 理 模 板”、“Windows組 件”、“Internet Explorer”、“安全功能”、“限制文件下載”節(jié)點上，找到“所有進程”組策略，用鼠標(biāo)雙擊之，選中“已啟用”選項，單擊“確定”按鈕保存設(shè)置即可。