帷幄

病毒木馬為了達到悄悄攻擊目的，常常會在被攻擊主機系統(tǒng)偷偷創(chuàng)建系統(tǒng)隱藏賬號，同時將其操作權(quán)限提升為系統(tǒng)管理員級別的權(quán)限，以保證日后能利用該隱藏賬號進行各種非法攻擊活動。對于這種類型的不速之客，我們必須想盡一切辦法將其從系統(tǒng)中顯身，同時及時將其刪除干凈，避免黑客、木馬將其作為后門，對本地系統(tǒng)進行無休止的攻擊與蹂躪。

在局域網(wǎng)工作環(huán)境中，各種各樣的不速之客會潛藏在我們身邊，要是得過且過，對這些不速之客視而不見的話，說不定哪一天它們會給我們帶來安全麻煩，甚至會帶來不可估量的經(jīng)濟損失。為了讓局域網(wǎng)安全穩(wěn)定運行，讓自己遠離潛在安全威脅，我們需要在平時煉就過硬的安全防范本領(lǐng)，以便及時讓潛藏的各種不速之客統(tǒng)統(tǒng)顯身。

讓潛藏的特權(quán)賬號顯身

病毒木馬為了達到悄悄攻擊目的，常常會在被攻擊主機系統(tǒng)偷偷創(chuàng)建系統(tǒng)隱藏賬號，同時將其操作權(quán)限提升為系統(tǒng)管理員級別的權(quán)限，以保證日后能利用該隱藏賬號進行各種非法攻擊活動。對于這種類型的不速之客，我們必須想盡一切辦法將其從系統(tǒng)中顯身，同時及時將其刪除干凈，避免黑客、木馬將其作為后門，對本地系統(tǒng)進行無休止的攻擊與蹂躪。然而，這種潛藏的特權(quán)賬號隱蔽性比較強，我們往往很難看到它的“身影”，通過打開計算機管理窗口，定位到“本地用戶和組”、“用戶”分支上的方法，往往不能讓其直接顯身。

考慮到潛藏的特權(quán)賬號都屬于administrators用戶組，都具有系統(tǒng)管理員級別的操作權(quán)限，我們可以依次點擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，輸入“cmd”命令并回車，彈出MS-DOS命令行窗口，在該窗口命令提示符狀態(tài)下，執(zhí)行“net localgroup administrators”字符串命令，這時所有被授予系統(tǒng)管理員權(quán)限的特權(quán)賬號就會自動顯身。比方說，在如圖1所示的結(jié)果界面中，我們發(fā)現(xiàn)本地系統(tǒng)中存在一個名稱為“aaaa$”、權(quán)限為系統(tǒng)管理員級別的隱藏賬號，這種潛藏的特權(quán)賬號如果不是我們本人創(chuàng)建的話，那很可能是病毒木馬創(chuàng)建的，我們必須要及時將其從系統(tǒng)中刪除掉。在執(zhí)行刪除操作時，只要在MS-DOS工作窗口中輸入“net user aaaa$ /delete”命令即可。

當然，并不是所有的特權(quán)潛藏賬號，都能通過上述方法顯身，有些狡猾的不速之客，既無法在DOS命令行窗口中顯身，也無法在計算機管理窗口中顯身，系統(tǒng)管理員往往只能從系統(tǒng)的安全日志文件中找到它們的“身影”。對于這類狡猾的不速之客，我們無法直接將其刪除，只能在DOS命令行窗口中使用“net user xxxx 1234”之類的命令修改特權(quán)賬號的密碼，讓其無法繼續(xù)生效，這樣就能間接拒絕黑客、木馬繼續(xù)使用該特權(quán)賬號實施非法攻擊。

讓偽裝的惡意進程顯身

不少病毒木馬程序往往會通過喬裝改扮之術(shù)，來將有威脅的進程模仿成普通的進程，以便躲避用戶或殺毒軟件的查殺。那么有沒有辦法一眼就能看穿系統(tǒng)進程的來龍去脈，讓潛藏在系統(tǒng)進程中的不速之客顯身呢？相信很多人會下意識地想到系統(tǒng)任務(wù)管理器。其實，任務(wù)管理器自身的能力很有限，比方說，在任務(wù)管理器窗口的進程標簽頁面中，或許能顯示有若干個svchost進程，用戶往往不能判斷出哪個svchost進程究竟調(diào)用了什么應(yīng)用程序。正是基于這種特性，網(wǎng)絡(luò)病毒或木馬程序特別喜歡將自身偽裝成svchost進程，同時將病毒文件隱藏到系統(tǒng)文件夾中。

為了能快速發(fā)現(xiàn)潛藏在系統(tǒng)進程中的不速之客，我們可以巧妙利用Windows系統(tǒng)內(nèi)置的“wmic”命令，來查看特定進程究竟在調(diào)用什么應(yīng)用程序，如果發(fā)現(xiàn)它正在調(diào)用一個陌生的應(yīng)用程序時，基本就能判斷目標進程為病毒木馬的偽裝進程。在進行這種查看操作時，只要依次點擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，輸入“cmd”命令并回車，切換到DOS命令行工作窗口。在其中執(zhí)行字符串命令“wmic process where creationclassname="win32_process" get caption，executablepath”，從返回的如圖2所示結(jié)果界面中，就能輕易發(fā)現(xiàn)每個系統(tǒng)進程各自調(diào)用了什么應(yīng)用程序。一旦看到有陌生程序被偷偷調(diào)用時，那調(diào)用該程序的進程肯定是病毒木馬偽裝的惡意進程，我們必須立即強行終止它的運行，以避免它繼續(xù)影響系統(tǒng)的運行安全。

要是認為命令行界面不夠直觀時，還能借助TaskPatrol這款專業(yè)進程管理工具，來讓偽裝的惡意進程快速顯身。當懷疑有系統(tǒng)進程被病毒木馬偽裝時，只要開啟TaskPatrol工具的運行狀態(tài)，點擊主界面中的“security rating”列，就能看到每個系統(tǒng)進程的安全威脅程度，其中安全數(shù)值比較高的進程很可能是偽裝進程，它們對系統(tǒng)的安全運行是有威脅的。選中疑似偽裝進程并右擊它，從彈出的右鍵菜單中點擊“reanalyze”命令，TaskPatrol工具就能對其進行安全分析。分析結(jié)束后，我們就能從“monitoring functions”位置處，知道疑似偽裝進程是否具有監(jiān)視功能，比方說有的惡意進程可以攔截鍵盤輸入，在這里可以識別出指定進程對系統(tǒng)底層控制力到底有多大；在“registry function”位置處，能判斷出指定進程對系統(tǒng)注冊表的操作能力到底如何，比方說有沒有訪問、保存、查詢、編輯等功能；在“process function”位置處，可以識別出指定進程是否具有操作、運行、分析其他進程的能力，從而斷定特定進程對其他進程的操控力有多深；在“internet function”位置處，可以識別出特定進程是否支持網(wǎng)絡(luò)連接功能；在“file function”位置處，可以分析出指定進程有沒有修改、查詢、復(fù)制、刪除、定位、重命名文件等功能，從而進一步判斷出目標進程對文件系統(tǒng)的管理力有多強。一旦根據(jù)上述分析結(jié)果確認指定進程就是病毒木馬偽裝進程時，立即用鼠標選中并右擊它，從快捷菜單中執(zhí)行“terminate process”命令，終止偽裝進程的運行狀態(tài)，防止它繼續(xù)影響系統(tǒng)安全運行。

讓隱藏的病毒服務(wù)顯身

為了躲避用戶的“圍剿”，病毒木馬還喜歡將惡意程序悄悄潛藏到Windows系統(tǒng)服務(wù)中，通過替換、修改不常用的系統(tǒng)服務(wù)或直接創(chuàng)建新的系統(tǒng)服務(wù)，來隱藏攻擊源頭。惡意程序有一個明顯的特性，就是它們的啟動類型幾乎都為“自動”，這樣才能實現(xiàn)開機自動運行。要查看自己的計算機系統(tǒng)是否有隱藏的病毒服務(wù)時，一般會在系統(tǒng)運行對話框中，執(zhí)行“services.msc” 命令，從彈出的系統(tǒng)服務(wù)列表中手動查看識別。很顯然，這種方法準確性較差，而且操作效率也十分低下。

其實，善于使用Windows系統(tǒng)內(nèi)置的“wmic”命令，我們可以快速地讓隱藏的病毒服務(wù)顯身。只要依次點擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，輸入“cmd”命令并回車，切換到DOS命令行工作窗口。在其中執(zhí)行字符串命令“wmic service where creationclassname="win32_service" get caption，description，pathname >111.txt”，將此刻所有處于自啟動狀態(tài)的系統(tǒng)服務(wù)列表信息導(dǎo)入到“111.txt”文件中，用記事本程序打開該文本文件時，能查看到每個自啟動服務(wù)的描述信息和調(diào)用程序路徑信息（如圖3所示），這有利于我們判斷特定系統(tǒng)服務(wù)是否為隱藏的病毒服務(wù)。

日后，當懷疑本地計算機系統(tǒng)隱藏有病毒服務(wù)時，可以在DOS命令行窗口中，繼續(xù)執(zhí)行字符串命令“wmic service where creationclassname="win32_service" get caption，description，pathname >222.txt”，將系統(tǒng)在故障狀態(tài)下的所有自啟動類型服務(wù)列表信息導(dǎo)入到“222.txt”文件中。之后，執(zhí)行字符串命令“fc 222.txt 111.txt”，讓W(xué)indows系統(tǒng)自動對比分析系統(tǒng)出現(xiàn)故障前后的服務(wù)變化情況，這樣就能輕易讓隱藏的病毒服務(wù)顯身了。

讓可疑的移動設(shè)備顯身

現(xiàn)在，不少病毒都能通過移動存儲設(shè)備傳播，為了保護計算機系統(tǒng)和網(wǎng)絡(luò)安全，很多單位都會嚴格禁止用戶隨意使用移動存儲設(shè)備的。不過，總有一些人貪圖操作方便，悄悄在局域網(wǎng)重要主機中使用移動存儲設(shè)備。為了保護局域網(wǎng)重要主機運行安全，該怎樣讓偷偷插入到重要主機中的可疑移動硬盤顯身呢，也就是說，怎樣才能找到可疑移動設(shè)備的使用者呢？要達到這個目的，不妨著眼系統(tǒng)注冊表，找到所插移動設(shè)備的ID數(shù)值和品牌內(nèi)容，依照這些內(nèi)容，就能初步判斷出可疑移動設(shè)備是誰的了。

依次單擊“開始”、“運行”命令，彈出系統(tǒng)運行文本框，在其中執(zhí)行“cmd”命令，切換到MS-DOS工作窗口。執(zhí)行“reg query HKLM＼SYSTEM＼CurrentControlSet＼Enum＼USBSTOR /s”字符串命令，在結(jié)果信息的“FriendlyName”位置處，查看并記錄下所插移動設(shè)備的品牌內(nèi)容，如圖4所示。比方說，這里我們查看到所插移動存儲設(shè)備是聯(lián)想品牌，那么可疑設(shè)備自然就是聯(lián)想移動硬盤或優(yōu)盤了。

值得注意的是，在命令行窗口中查看移動設(shè)備的品牌內(nèi)容，有時會比較費力，為了便于查詢，可以嘗試在MS-DOS工作窗口中，執(zhí)行字符串命令“reg query HKLM＼SYSTEM＼CurrentControlSet＼Enum＼USBSTOR /s >E：＼aaa.txt”，將命令返回結(jié)果信息導(dǎo)入到“E：＼aaa.txt”文件中，日后使用記事本程序訪問“E：＼aaa.txt”文件內(nèi)容，就能快速地查看到可疑移動設(shè)備的品牌內(nèi)容了。

當然，在相同的網(wǎng)絡(luò)環(huán)境中，使用同一品牌設(shè)備的用戶可能比較多，這時，簡單通過設(shè)備品牌，就不能讓可疑移動設(shè)備顯身了，只有使用其他途徑才能識別出誰在局域網(wǎng)重要主機中悄悄使用過移動存儲設(shè)備?？紤]到Windows系統(tǒng)會為所插移動設(shè)備智能分配唯一ID數(shù)值，也就是說，每只移動設(shè)備都有一個獨一無二的ID，要是可以查看到所插移動設(shè)備的ID數(shù)值，就能讓可疑移動設(shè)備顯身了，下面就是詳細的實現(xiàn)步驟：

打開系統(tǒng)運行對話框，在其中執(zhí)行“cmd”命令，進入DOS命令行窗口，在該窗口命令提示符下輸入“reg query HKLM＼SYSTEM＼CurrentControlSet＼Enum＼USBSTOR /s”命令，在結(jié)果信息的“Disk&Ven”位置處，查找并記錄下移動設(shè)備ID數(shù)值，要是發(fā)現(xiàn)結(jié)果信息中有多個移動設(shè)備ID時，那就表示有多位用戶在重要主機系統(tǒng)中悄悄使用過移動設(shè)備。

獲取到可疑移動設(shè)備的ID數(shù)值后，再查看單位每位員工的移動設(shè)備ID數(shù)值，如果該數(shù)值與可疑移動設(shè)備的ID數(shù)值相同，那么擁有該設(shè)備的員工就是偷偷在局域網(wǎng)中違規(guī)使用移動設(shè)備的人。在查看員工的移動設(shè)備ID數(shù)值時，只要先將其正確插入到計算機中，打開計算機窗口，右擊目標設(shè)備圖標，點擊右鍵菜單中的“屬性”命令，彈出特定設(shè)備屬性對話框，點擊“詳細信息”標簽，在對應(yīng)標簽頁面的“設(shè)備實例路徑”或“設(shè)備范例ID”位置處，就能看到目標設(shè)備的ID數(shù)值了。

讓幕后的占用程序顯身

對某些文件執(zhí)行刪除或其他操作時，系統(tǒng)有時會彈出“文件正在被另一個人或程序使用”之類的提示，事實上用戶自己可能沒有啟動任何程序，那如何讓幕后的占用程序顯身呢？我們可以請“OpenedFilesView”這款外力工具來幫忙，利用它可以輕松地查看到哪個進程或程序偷偷占用了文件，日后只要關(guān)閉這些幕后程序或進程，解除對文件的占用操作，就能重新對文件正常執(zhí)行移動、刪除或打開操作了。

從網(wǎng)上下載獲得“OpenedFilesView”工具的壓縮包后，直接用鼠標雙擊壓縮包中的“OpenedFilesView.exe”文件，不需要經(jīng)過安裝操作，就能打開對應(yīng)程序的主界面了，在這里我們能看到所有被打開的文件已經(jīng)對應(yīng)的進程信息。為了弄清楚目標文件究竟被哪一種進程偷偷占用，我們可以用鼠標右鍵單擊目標文件名稱，從彈出的快捷菜單上執(zhí)行“屬性”命令，在其后出現(xiàn)的設(shè)置對話框中，就可以準確查看到占用文件的具體進程名稱和進程路徑信息了。揪出占用文件的黑手進程后，那么現(xiàn)在就要對它“立即行刑”，將其解鎖了。在執(zhí)行文件解鎖操作時，先在目標文件名稱上單擊鼠標右鍵，執(zhí)行快捷菜單中的“結(jié)束選定文件占用的進程”命令，就能切斷幕后進程的黑手，此后就能對目標文件進行正常操作了。當然，要提醒大家的是，強行中斷一些特殊進程時，容易造成系統(tǒng)崩潰現(xiàn)象。

在Windows 7系統(tǒng)環(huán)境下，利用系統(tǒng)內(nèi)置的“資源監(jiān)視器”程序，也能讓占用文件的幕后黑手顯身，具體操作步驟為：首先打開Windows 7系統(tǒng)的“開始”菜單，在搜索文本框中輸入“資源監(jiān)視器”，并啟動運行該程序，切換到資源管理器界面，點選“CPU”標簽，打開如圖5所示的標簽設(shè)置頁面，展開其中的“關(guān)聯(lián)的句柄”列表區(qū)域，之后在搜索文本框中輸入被占用的文件名稱，此時很快就能發(fā)現(xiàn)目標文件究竟是被哪些程序或進程所占用了，最后關(guān)閉這些偷偷占用文件的幕后程序，就能對目標文件執(zhí)行各種操作了。

讓神秘的共享連接顯身

在局域網(wǎng)工作環(huán)境中，最討厭有些人偷偷訪問重要主機中的共享文件夾，這就像貿(mào)然闖入別人家中一樣不讓人歡迎，那么該怎樣才能讓悄悄訪問重要共享內(nèi)容的神秘連接顯身呢，找到神秘訪問者以后又該如何將它踢掉呢？

很簡單！在重要主機系統(tǒng)中，依次單擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，在其中執(zhí)行“cmd”命令，切換到DOS命令行提示符狀態(tài)，輸入字符串命令“net use”，單擊回車鍵后，從返回的結(jié)果信息中，就能發(fā)現(xiàn)究竟是誰在偷偷訪問特定的共享資源了，其中“遠程”這一列信息顯示的就是神秘用戶的計算機IP地址，假設(shè)該地址為“10.176.3.12”。要想切斷這個神秘共享連接時，只要在DOS命令行窗口中，執(zhí)行字符串命令“net use ＼＼10.176.3.12＼IPC$ /del”即可。要是同時訪問特定共享資源的神秘連接很多時，我們可以簡單地執(zhí)行字符串命令“net use * /del”，將所有共享訪問連接統(tǒng)統(tǒng)踢走。

要是我們對命令提示符狀態(tài)下的操作不熟悉，也可以依次單擊“開始”、“控制面板”命令，彈出系統(tǒng)控制面板窗口，逐一雙擊其中的“管理工具”、“計算機管理”圖標，進入到計算機管理窗口。在該窗口的左側(cè)列表中，將鼠標定位到“系統(tǒng)工具”、“共享文件夾”節(jié)點上（如圖6所示），此時，只需要選中“會話”選項，在右側(cè)列表中就能查看到連接到本機的所有共享用戶。要是我們想切斷某個神秘用戶的共享連接時，只需要用鼠標右擊該會話連接，點擊右鍵菜單中的“關(guān)閉會話”命令即可。除此之外，我們還能直接關(guān)閉正在訪問的共享文件，選擇“共享文件夾”節(jié)點下的“打開文件”選項，在右側(cè)列表中選中要關(guān)閉的共享文件，打開它的右鍵菜單，點擊“將打開的文件關(guān)閉”命令即可。