讓潛藏的不速之客顯身

帷幄

病毒木馬為了達到悄悄攻擊目的，常常會在被攻擊主機系統偷偷創建系統隱藏賬號，同時將其操作權限提升為系統管理員級別的權限，以保證日后能利用該隱藏賬號進行各種非法攻擊活動。對于這種類型的不速之客，我們必須想盡一切辦法將其從系統中顯身，同時及時將其刪除干凈，避免黑客、木馬將其作為后門，對本地系統進行無休止的攻擊與蹂躪。

在局域網工作環境中，各種各樣的不速之客會潛藏在我們身邊，要是得過且過，對這些不速之客視而不見的話，說不定哪一天它們會給我們帶來安全麻煩，甚至會帶來不可估量的經濟損失。為了讓局域網安全穩定運行，讓自己遠離潛在安全威脅，我們需要在平時煉就過硬的安全防范本領，以便及時讓潛藏的各種不速之客統統顯身。

讓潛藏的特權賬號顯身

病毒木馬為了達到悄悄攻擊目的，常常會在被攻擊主機系統偷偷創建系統隱藏賬號，同時將其操作權限提升為系統管理員級別的權限，以保證日后能利用該隱藏賬號進行各種非法攻擊活動。對于這種類型的不速之客，我們必須想盡一切辦法將其從系統中顯身，同時及時將其刪除干凈，避免黑客、木馬將其作為后門，對本地系統進行無休止的攻擊與蹂躪。然而，這種潛藏的特權賬號隱蔽性比較強，我們往往很難看到它的“身影”，通過打開計算機管理窗口，定位到“本地用戶和組”、“用戶”分支上的方法，往往不能讓其直接顯身。

考慮到潛藏的特權賬號都屬于administrators用戶組，都具有系統管理員級別的操作權限，我們可以依次點擊“開始”、“運行”命令，彈出系統運行對話框，輸入“cmd”命令并回車，彈出MS-DOS命令行窗口，在該窗口命令提示符狀態下，執行“net localgroup administrators”字符串命令，這時所有被授予系統管理員權限的特權賬號就會自動顯身。比方說，在如圖1所示的結果界面中，我們發現本地系統中存在一個名稱為“aaaa$”、權限為系統管理員級別的隱藏賬號，這種潛藏的特權賬號如果不是我們本人創建的話，那很可能是病毒木馬創建的，我們必須要及時將其從系統中刪除掉。在執行刪除操作時，只要在MS-DOS工作窗口中輸入“net user aaaa$ /delete”命令即可。

當然，并不是所有的特權潛藏賬號，都能通過上述方法顯身，有些狡猾的不速之客，既無法在DOS命令行窗口中顯身，也無法在計算機管理窗口中顯身，系統管理員往往只能從系統的安全日志文件中找到它們的“身影”。對于這類狡猾的不速之客，我們無法直接將其刪除，只能在DOS命令行窗口中使用“net user xxxx 1234”之類的命令修改特權賬號的密碼，讓其無法繼續生效，這樣就能間接拒絕黑客、木馬繼續使用該特權賬號實施非法攻擊。

讓偽裝的惡意進程顯身

不少病毒木馬程序往往會通過喬裝改扮之術，來將有威脅的進程模仿成普通的進程，以便躲避用戶或殺毒軟件的查殺。那么有沒有辦法一眼就能看穿系統進程的來龍去脈，讓潛藏在系統進程中的不速之客顯身呢？相信很多人會下意識地想到系統任務管理器。其實，任務管理器自身的能力很有限，比方說，在任務管理器窗口的進程標簽頁面中，或許能顯示有若干個svchost進程，用戶往往不能判斷出哪個svchost進程究竟調用了什么應用程序。正是基于這種特性，網絡病毒或木馬程序特別喜歡將自身偽裝成svchost進程，同時將病毒文件隱藏到系統文件夾中。

為了能快速發現潛藏在系統進程中的不速之客，我們可以巧妙利用Windows系統內置的“wmic”命令，來查看特定進程究竟在調用什么應用程序，如果發現它正在調用一個陌生的應用程序時，基本就能判斷目標進程為病毒木馬的偽裝進程。在進行這種查看操作時，只要依次點擊“開始”、“運行”命令，彈出系統運行對話框，輸入“cmd”命令并回車，切換到DOS命令行工作窗口。在其中執行字符串命令“wmic process where creationclassname="win32_process" get caption，executablepath”，從返回的如圖2所示結果界面中，就能輕易發現每個系統進程各自調用了什么應用程序。一旦看到有陌生程序被偷偷調用時，那調用該程序的進程肯定是病毒木馬偽裝的惡意進程，我們必須立即強行終止它的運行，以避免它繼續影響系統的運行安全。

要是認為命令行界面不夠直觀時，還能借助TaskPatrol這款專業進程管理工具，來讓偽裝的惡意進程快速顯身。當懷疑有系統進程被病毒木馬偽裝時，只要開啟TaskPatrol工具的運行狀態，點擊主界面中的“security rating”列，就能看到每個系統進程的安全威脅程度，其中安全數值比較高的進程很可能是偽裝進程，它們對系統的安全運行是有威脅的。選中疑似偽裝進程并右擊它，從彈出的右鍵菜單中點擊“reanalyze”命令，TaskPatrol工具就能對其進行安全分析。分析結束后，我們就能從“monitoring functions”位置處，知道疑似偽裝進程是否具有監視功能，比方說有的惡意進程可以攔截鍵盤輸入，在這里可以識別出指定進程對系統底層控制力到底有多大；在“registry function”位置處，能判斷出指定進程對系統注冊表的操作能力到底如何，比方說有沒有訪問、保存、查詢、編輯等功能；在“process function”位置處，可以識別出指定進程是否具有操作、運行、分析其他進程的能力，從而斷定特定進程對其他進程的操控力有多深；在“internet function”位置處，可以識別出特定進程是否支持網絡連接功能；在“file function”位置處，可以分析出指定進程有沒有修改、查詢、復制、刪除、定位、重命名文件等功能，從而進一步判斷出目標進程對文件系統的管理力有多強。一旦根據上述分析結果確認指定進程就是病毒木馬偽裝進程時，立即用鼠標選中并右擊它，從快捷菜單中執行“terminate process”命令，終止偽裝進程的運行狀態，防止它繼續影響系統安全運行。

讓隱藏的病毒服務顯身

為了躲避用戶的“圍剿”，病毒木馬還喜歡將惡意程序悄悄潛藏到Windows系統服務中，通過替換、修改不常用的系統服務或直接創建新的系統服務，來隱藏攻擊源頭。惡意程序有一個明顯的特性，就是它們的啟動類型幾乎都為“自動”，這樣才能實現開機自動運行。要查看自己的計算機系統是否有隱藏的病毒服務時，一般會在系統運行對話框中，執行“services.msc” 命令，從彈出的系統服務列表中手動查看識別。很顯然，這種方法準確性較差，而且操作效率也十分低下。

其實，善于使用Windows系統內置的“wmic”命令，我們可以快速地讓隱藏的病毒服務顯身。只要依次點擊“開始”、“運行”命令，彈出系統運行對話框，輸入“cmd”命令并回車，切換到DOS命令行工作窗口。在其中執行字符串命令“wmic service where creationclassname="win32_service" get caption，description，pathname >111.txt”，將此刻所有處于自啟動狀態的系統服務列表信息導入到“111.txt”文件中，用記事本程序打開該文本文件時，能查看到每個自啟動服務的描述信息和調用程序路徑信息（如圖3所示），這有利于我們判斷特定系統服務是否為隱藏的病毒服務。

日后，當懷疑本地計算機系統隱藏有病毒服務時，可以在DOS命令行窗口中，繼續執行字符串命令“wmic service where creationclassname="win32_service" get caption，description，pathname >222.txt”，將系統在故障狀態下的所有自啟動類型服務列表信息導入到“222.txt”文件中。之后，執行字符串命令“fc 222.txt 111.txt”，讓Windows系統自動對比分析系統出現故障前后的服務變化情況，這樣就能輕易讓隱藏的病毒服務顯身了。

讓可疑的移動設備顯身

現在，不少病毒都能通過移動存儲設備傳播，為了保護計算機系統和網絡安全，很多單位都會嚴格禁止用戶隨意使用移動存儲設備的。不過，總有一些人貪圖操作方便，悄悄在局域網重要主機中使用移動存儲設備。為了保護局域網重要主機運行安全，該怎樣讓偷偷插入到重要主機中的可疑移動硬盤顯身呢，也就是說，怎樣才能找到可疑移動設備的使用者呢？要達到這個目的，不妨著眼系統注冊表，找到所插移動設備的ID數值和品牌內容，依照這些內容，就能初步判斷出可疑移動設備是誰的了。

依次單擊“開始”、“運行”命令，彈出系統運行文本框，在其中執行“cmd”命令，切換到MS-DOS工作窗口。執行“reg query HKLM＼SYSTEM＼CurrentControlSet＼Enum＼USBSTOR /s”字符串命令，在結果信息的“FriendlyName”位置處，查看并記錄下所插移動設備的品牌內容，如圖4所示。比方說，這里我們查看到所插移動存儲設備是聯想品牌，那么可疑設備自然就是聯想移動硬盤或優盤了。

值得注意的是，在命令行窗口中查看移動設備的品牌內容，有時會比較費力，為了便于查詢，可以嘗試在MS-DOS工作窗口中，執行字符串命令“reg query HKLM＼SYSTEM＼CurrentControlSet＼Enum＼USBSTOR /s >E：＼aaa.txt”，將命令返回結果信息導入到“E：＼aaa.txt”文件中，日后使用記事本程序訪問“E：＼aaa.txt”文件內容，就能快速地查看到可疑移動設備的品牌內容了。

當然，在相同的網絡環境中，使用同一品牌設備的用戶可能比較多，這時，簡單通過設備品牌，就不能讓可疑移動設備顯身了，只有使用其他途徑才能識別出誰在局域網重要主機中悄悄使用過移動存儲設備。考慮到Windows系統會為所插移動設備智能分配唯一ID數值，也就是說，每只移動設備都有一個獨一無二的ID，要是可以查看到所插移動設備的ID數值，就能讓可疑移動設備顯身了，下面就是詳細的實現步驟：

打開系統運行對話框，在其中執行“cmd”命令，進入DOS命令行窗口，在該窗口命令提示符下輸入“reg query HKLM＼SYSTEM＼CurrentControlSet＼Enum＼USBSTOR /s”命令，在結果信息的“Disk&Ven”位置處，查找并記錄下移動設備ID數值，要是發現結果信息中有多個移動設備ID時，那就表示有多位用戶在重要主機系統中悄悄使用過移動設備。

獲取到可疑移動設備的ID數值后，再查看單位每位員工的移動設備ID數值，如果該數值與可疑移動設備的ID數值相同，那么擁有該設備的員工就是偷偷在局域網中違規使用移動設備的人。在查看員工的移動設備ID數值時，只要先將其正確插入到計算機中，打開計算機窗口，右擊目標設備圖標，點擊右鍵菜單中的“屬性”命令，彈出特定設備屬性對話框，點擊“詳細信息”標簽，在對應標簽頁面的“設備實例路徑”或“設備范例ID”位置處，就能看到目標設備的ID數值了。

讓幕后的占用程序顯身

對某些文件執行刪除或其他操作時，系統有時會彈出“文件正在被另一個人或程序使用”之類的提示，事實上用戶自己可能沒有啟動任何程序，那如何讓幕后的占用程序顯身呢？我們可以請“OpenedFilesView”這款外力工具來幫忙，利用它可以輕松地查看到哪個進程或程序偷偷占用了文件，日后只要關閉這些幕后程序或進程，解除對文件的占用操作，就能重新對文件正常執行移動、刪除或打開操作了。

從網上下載獲得“OpenedFilesView”工具的壓縮包后，直接用鼠標雙擊壓縮包中的“OpenedFilesView.exe”文件，不需要經過安裝操作，就能打開對應程序的主界面了，在這里我們能看到所有被打開的文件已經對應的進程信息。為了弄清楚目標文件究竟被哪一種進程偷偷占用，我們可以用鼠標右鍵單擊目標文件名稱，從彈出的快捷菜單上執行“屬性”命令，在其后出現的設置對話框中，就可以準確查看到占用文件的具體進程名稱和進程路徑信息了。揪出占用文件的黑手進程后，那么現在就要對它“立即行刑”，將其解鎖了。在執行文件解鎖操作時，先在目標文件名稱上單擊鼠標右鍵，執行快捷菜單中的“結束選定文件占用的進程”命令，就能切斷幕后進程的黑手，此后就能對目標文件進行正常操作了。當然，要提醒大家的是，強行中斷一些特殊進程時，容易造成系統崩潰現象。

在Windows 7系統環境下，利用系統內置的“資源監視器”程序，也能讓占用文件的幕后黑手顯身，具體操作步驟為：首先打開Windows 7系統的“開始”菜單，在搜索文本框中輸入“資源監視器”，并啟動運行該程序，切換到資源管理器界面，點選“CPU”標簽，打開如圖5所示的標簽設置頁面，展開其中的“關聯的句柄”列表區域，之后在搜索文本框中輸入被占用的文件名稱，此時很快就能發現目標文件究竟是被哪些程序或進程所占用了，最后關閉這些偷偷占用文件的幕后程序，就能對目標文件執行各種操作了。

讓神秘的共享連接顯身

在局域網工作環境中，最討厭有些人偷偷訪問重要主機中的共享文件夾，這就像貿然闖入別人家中一樣不讓人歡迎，那么該怎樣才能讓悄悄訪問重要共享內容的神秘連接顯身呢，找到神秘訪問者以后又該如何將它踢掉呢？

很簡單！在重要主機系統中，依次單擊“開始”、“運行”命令，彈出系統運行對話框，在其中執行“cmd”命令，切換到DOS命令行提示符狀態，輸入字符串命令“net use”，單擊回車鍵后，從返回的結果信息中，就能發現究竟是誰在偷偷訪問特定的共享資源了，其中“遠程”這一列信息顯示的就是神秘用戶的計算機IP地址，假設該地址為“10.176.3.12”。要想切斷這個神秘共享連接時，只要在DOS命令行窗口中，執行字符串命令“net use ＼＼10.176.3.12＼IPC$ /del”即可。要是同時訪問特定共享資源的神秘連接很多時，我們可以簡單地執行字符串命令“net use * /del”，將所有共享訪問連接統統踢走。

要是我們對命令提示符狀態下的操作不熟悉，也可以依次單擊“開始”、“控制面板”命令，彈出系統控制面板窗口，逐一雙擊其中的“管理工具”、“計算機管理”圖標，進入到計算機管理窗口。在該窗口的左側列表中，將鼠標定位到“系統工具”、“共享文件夾”節點上（如圖6所示），此時，只需要選中“會話”選項，在右側列表中就能查看到連接到本機的所有共享用戶。要是我們想切斷某個神秘用戶的共享連接時，只需要用鼠標右擊該會話連接，點擊右鍵菜單中的“關閉會話”命令即可。除此之外，我們還能直接關閉正在訪問的共享文件，選擇“共享文件夾”節點下的“打開文件”選項，在右側列表中選中要關閉的共享文件，打開它的右鍵菜單，點擊“將打開的文件關閉”命令即可。