操作安全狀態全追蹤

引言：現在不管處于外網環境還是內網環境下，病毒木馬程序都是隨處可見，各種操作安全事故層出不窮。為了在第一時間發現各類操作中的安全隱患，可以充分利用Windows系統自身功能，配合一些具有自動監控功能的專業工具，實現對重要操作的安全狀態全追蹤！

現在不管處于外網環境還是內網環境下，病毒木馬程序都是隨處可見，各種操作安全事故層出不窮。為了在第一時間發現各類操作中的安全隱患，相信很多管理人員恨不得坐在電腦旁邊，對每類操作進行全程追蹤監控。但人的精力往往有限，不可能一天24小時候都在工作，該怎么辦才好呢？幸運的是，可以充分利用Windows系統自身功能，配合一些具有自動監控功能的專業工具，實現對重要操作的安全狀態全追蹤！

對輸入操作全追蹤

圖1“鍵盤記錄截圖”主程序窗口

在多人共用一臺計算機上網的環境中，有時要對特定用戶的鍵盤鼠標輸入操作進行追蹤，以判斷其是否對本地計算機進行了有威脅操作。如果以人工方式追蹤鍵盤鼠標輸入操作，既不禮貌又不現實，現在通過“鍵盤記錄截圖”外力工具可以輕松地全程追蹤鍵盤鼠標輸入內容，并能選擇隨時對當前輸入狀態進行屏幕截圖，而且它躲在系統后臺運行，不容易被人察覺。如果本地系統存儲空間非常大，可以選擇同時存儲若干張圖片，來記錄更多的輸入狀態。在使用注冊版的情況下，善于使用自動追蹤截屏，可以提高追蹤效率。

啟動運行“鍵盤記錄截圖”程序后，出現一個提示框，單擊“確定”按鈕后該程序會自動退回到系統后臺運行，從系統任務欄或托盤區域處，都不能發現該程序的“影子”，這種隱藏屬性能有效避免他人任意關閉該工具的自動追蹤功能，確保全程追蹤不受影響。當自己想使用該軟件時，只要按下組合鍵“Ctrl+Alt+右光標鍵”，進入如圖1所示的主程序窗口即可看到正在進行的鍵盤鼠標輸入操作。

對于追蹤監控到的輸入內容，該軟件會將其自動保存到txt類型文本文件中，打開“C:Record”文件夾窗口，可以找到該追蹤結果文件。對于追蹤到的屏幕內容，該程序會在默認狀態下存儲為jpg類型圖像文件，這種類型文件也能從“C:Record”文件夾窗口中找到。要是當前正在使用自動追蹤功能進行抓圖操作，不妨打開該工具的設置對話框，按需設置好圖像抓取間隔時間。如果擔心追蹤結果存儲在系統分區中不安全時，不妨在“鍵盤記錄截圖”主程序窗口，單擊右上角位置處的“更改目錄”按鈕，展開文件夾存儲對話框，設置好新的存儲路徑即可。

對登錄操作全追蹤

與別人共用計算機時，有時想知道在自己臨時離開計算機的那一段時間，是否有其他人悄悄登錄過計算機系統，要達到如此追蹤目的該如何進行呢？實際上操作相當簡單，只要通過Windows系統內置的登錄監控功能，就能輕松追蹤到用戶登錄計算機的狀態信息，追蹤到的結果會自動出現在下次成功登錄系統時的桌面上，這樣哪些人偷偷使用過計算機，就能一目了然了。

在進行該追蹤操作時，先依次單擊“開始”、“運行”命令，展開系統運行對話框，輸 入“gpedit.msc”命令并回車，開啟系統組策略編輯器運行狀態。在該編輯界面左側列表窗格中，將鼠標定位到“本地計算機策略”、“計算機配置”、“管理模 板”、“Windows組 件”、“Windows登錄選項”節點上，找到指定節點下面的“在用戶登錄期間顯示有關以前登錄的信息”組策略選項，并用鼠標雙擊，展開如圖2所示的組策略屬性對話框。

圖2 組策略屬性

在默認狀態下，可以看到登錄操作追蹤功能并沒有被選啟用，這個時候，只要立即選中“已啟動”選項，“確認”后退出設置對話框，這樣共用計算機就具有追蹤登錄安全的功能了。當有人趁用戶不在計算機現場，悄悄用其他賬號登錄系統時，那么這個登錄操作就會被Windows系統自動追蹤保存下來。下次，重新登錄計算機系統時，詳細的追蹤結果就能直觀地顯示在自己眼前了，這里面的內容包括詳細的登錄賬號名稱、具體的登錄時間等。根據這些內容，用戶就能基本判斷出是否有人偷用過計算機了。

對設備狀態全追蹤

Web服務器是局域網中的重要主機系統，它包含的各設備運行狀態，直接影響著系統安全性和穩定性，例如，服務器的風扇運行狀態、硬盤讀寫狀態、CPU使用狀態等，都與服務器安全和穩定息息相關，所以有必要對這些設備狀態進行全追蹤，以便可以及時排除服務器各種潛在安全隱患。不過，每次到服務器現場追蹤設備狀態，肯定是不現實的，特別是在服務器數量很多的情況下，更是不可能的。為了提高追蹤效率，可以通過“HWMonitor Pro”外力工具，對局域網中的特定服務器各設備狀態進行遠程追蹤！既可以追蹤到服務器系統的風扇運行情況、硬盤讀寫速度、CPU使用率，又能追蹤到CPU工作電壓、內存工作電壓，根據這些追蹤結果，就可以提前判斷出服務器系統的安全穩定性怎樣，倘若追蹤到指標不符合要求時，應該果斷采取有效措施，確保服務器系統一直安全穩定工作。

在遠程追蹤服務器系統狀態時，先要正確配置好“HWMonitor Pro”程序參數。因為遠程追蹤連接默認會使用到服務器的25021端口，而防火墻默認會攔截來自該端口的數據，為了防止出現該現象，一定要讓防火墻放行25021端口數據。依次單擊“開始”、“設置”、“控制面板”命令，在控制面板窗口中雙擊“Windows防火墻”圖標，展開Windows防火墻基本配置界面，點選“例外”標簽，單擊對應標簽頁面中的“添加端口”按鈕，輸入25021號碼，同時任意指定一個端口名稱，并勾選“TCP/IP”選項，確認后退出設置。同樣地還要開啟服務器系統的25021端口，確保服務器系統能正常接受遠程追蹤請求。

圖3“HWMonitor Pro”主操作窗口

之 后 將“HWMonitor Pro”下載安裝到服務器系統中，并開啟它的運行狀態，展開如圖3所示的主操作窗口，逐一點擊“Network”、“Listening mode” 命 令，強制服務器系統處于追蹤偵聽模式，該模式下服務器可以正常接受到來自用戶的遠程追蹤連接申請。為了改善操作效率，可以讓“HWMonitor Pro”工具工作在自動追蹤偵聽模式，只要在主操作窗口中依次點擊“Tools”、“Option”選 項，選中其后界面中的“Enter in listening mode at startup”選項，同時將傳輸遠程數據間隔時間設置為“10”秒鐘，確認后退出設置界面。

日后，在局域網的其他計算機系統中，遠程追蹤服務器設備狀態時，也要先將“HWMonitor Pro” 程 序下載安裝到客戶機中，在程序主操作窗口中逐一點選“Network”、“Connect”、“IP address”命令，彈出服務器系統IP地址輸入文本框，正確輸入服務器系統的IP地址，單擊“Connect”按鈕，開始與服務器系統建立遠程追蹤連接。當遠程追蹤連接成功創建后，服務器系統各設備的狀態信息就能直觀顯示在追蹤程序窗口中了，在這里可以一目了然地查看到服務器各設備狀態信息，包括風扇轉速、顯卡溫度、硬盤溫度、CPU電壓、主板南北橋溫度、內存電壓等設備狀態信息。

如果希望將遠程追蹤到的狀態信息記錄保存下來，可以嘗試啟動“HWMonitor Pro”工具的智能圖表記錄功能，在主操作窗口中，逐一單擊“Tools”、“Option”、“Start Recording”命令。

對共享操作全追蹤

為了達到偷偷查看他人隱私信息的目的，惡意程序常常會悄悄在終端系統中，生成隱藏共享文件夾，并利用該特殊文件夾來追蹤查看本地終端系統隱私。如果希望避免這種安全隱患，應該及時了解到本地終端系統中共享文件夾的狀態變化信息，那怎樣才能實現這個目的呢？很簡單，只要巧妙利用Windows系統自帶的“Net share”命令，導出系統發生異常現象前后的共享列表內容，同時比較分析這兩個導出文件，就能識別出哪些共享文件夾是新生成的，哪些共享文件夾已被惡意程序偷偷刪除了。對于新生成的陌生共享文件夾，必須在第一時間打開對應文件夾窗口，檢查其中的文件是否值得懷疑，如認為可疑時，必須立即刪除它們，避免惡意程序不能利用該共享文件夾來泄露本地終端系統隱私。下面是詳細的追蹤操作步驟：

首先在本地終端正常運行時，依次單擊“開始”、“運行”命令，彈出系統運行文本框，輸入“cmd”命令并回車，切換到MS-DOS命令行狀態；在該狀態下輸入字符串命令“net share > G:xxx.txt”，Windows系統會自動將對應狀態下所有共享文件夾名稱全部列寫出來，同時將其存儲到“G:xxx.txt”文本文件中，打開這個文件編輯窗口時，可以一目了然地看到有哪些文件夾正處于共享狀態。

圖4“找不到相異處”提示

之后，過一段時間在本地終端的MS-DOS窗口中輸入一次字符串命令“net share > G:yyy.txt”，將發生變化的共享文件夾名稱信息導出存儲到“G:yyy.txt”文本文件中，這時如惡意程序悄悄在本地終端中生成了新的隱藏共享文件夾，該文件夾名稱也會顯示在“G:yyy.txt”文本文件中。

接著需要對先前生成的兩個文件進行比較分析，以找出它們的異同之處。在進行比較分析操作時，只要輸入字符串命令“fc G:xxx.txt G:yyy.txt”，要是惡意程序沒有在本地終端計算機中生成隱藏共享文件夾，那么結果會出現如圖4所示的“找不到相異處”提示內容。反之，如果惡意程序已經悄悄生成了隱藏共享文件夾時，那么從比較分析結果中，我們就能知道哪些共享文件夾是新生成的。

當然，如果想對共享文件夾安全變化狀態進行全追蹤，也可打開記事本程序窗口，在其中輸入如下命令代碼：

逐一點選文本編輯窗口中的“文件”、“保存”命令，將如上命令代碼保存為“G:auto.bat”文件，并將該文件快捷圖標直接放置到“啟動”開始菜單中，這樣Windows系統每次結束登錄操作后，都會智能調用批處理文件“G:auto.bat”，來對本地終端計算機中的共享文件夾安全變化狀態進行追蹤。

一旦使用上面的方法追蹤到計算機中有新共享文件夾創建時，我們應該立即打開該共享文件夾，查看其中的數據信息是否存在安全隱患，如果看到其有可疑跡象時，必須及時將新共享文件夾刪除掉，以防止本地計算機繼續受到安全威脅。