嚴防死守 別人“黑”我及時知

江蘇 周勇生

捕捉連接“黑”手

在局域網環境中，有些黑客會想方設法偷偷與網絡中的重要平臺系統建立連接，日后借助連接通道達到隨時“黑”人目的。其實，在Windows 平臺系統中，利用系統自帶的命令，進行下面的操作，就能很輕松捕捉到各種可疑網絡連接：

首先CMD 窗口提示符狀態下輸入“netstat -a”命令，打開后能夠檢查到各個網絡連接的所有狀態信息，包括連接的協議名稱、外部地址、本地連接以及開啟的端口號碼等。依照這些內容，大家只需要逐一排查本地平臺或用戶程序實際創建或使用的網絡連接，就能很輕松捕捉到那些潛藏的可疑網絡連接。

如果無法判斷特定網絡連接是否屬于“黑”連接，大家可以進入瀏覽器窗口，輸入局域網路由器的管理地址（默認地址大多為http://192.168.0.1 或http://192.168.1.1），進入路由器后臺系統管理頁面。找到“附加設備”或相關的管理頁面，獲取到連接局域網的計算機名稱、IP 地址、MAC 地址以及設備硬件地址，將這些內容與之前從DOS 命令窗口中獲取到的信息進行認真對比，倘若看到了一些陌生的設備或網絡連接，那么基本就能認定本地網絡或系統正在遭受人“黑”。

知曉登錄“黑”手

在某些環境下，黑客可能會趁四周無人的時候，偷偷用超級用戶權限登錄重要平臺系統，以竊取一些機密信息。如何防范這種“黑”手行為呢？

很簡單！在Vista 以上版本系統中，只要系統啟用了“在用戶登錄期間顯示有關以前登錄的信息”組策略，那么操作系統的登錄過程就能被監控到。下面就是詳細的設置過程：

首先在運行框執行“gpedit.msc”命令，在打開的系統組策略編輯窗口中，將鼠標定位到“計算機配置”→“管理模板”→“Windows 組件”→“Windows 登錄選項”分支。

圖1 設置顯示登錄的信息

其次雙擊目標分支下的“在用戶登錄期間顯示有關以前登錄的信息”組策略選項，彈出如圖1 所示的選項設置框，選擇“已啟用”，再單擊“確定”按鈕，這樣一來任何用戶的登錄過程都被系統自動監控到了。下一次，我們只要重新啟動操作系統平臺，在登錄窗口就能知道上次是哪位用戶曾經登錄過本地系統了。

揪出插拔“黑”手

不少網絡病毒都能利用移動設備進行傳播擴散，哪一天突然覺得本地計算機系統感染了網絡病毒，那就很有必要弄清楚是否有“黑”手在本地計算機系統中偷偷插拔過帶毒的移動設備。

要達到這個控制目的，我們不需要借助外力工具幫忙，就能查看到插入到本地系統中的所有移動設備品牌以及它的ID 信息，下面就是詳細的查看操作步驟：

首先，打開運行對話框，然后輸入“reg query HKLMSYSTEMCurrentControlSetEnumUSBSTOR/s”字符串命令，Windows 系統就會自動將插入到本地計算機中的所有移動設備品牌信息列寫出來。從如圖2 所示界面中，找到關鍵字“FriendlyName”，在該關鍵字后能查看到究竟有哪些品牌的移動設備在本地計算機中插拔過。

圖2 查找本地系統中的所有移動設備信息

當然，執行“reg query HKLMSYSTEMCurrent ControlSetEnumUSBSTOR/s”命令后，Windows 系統有時會返回大量的結果信息，這些信息不能在一屏界面中顯示完，為準確地查看到監控結果，不妨在MS-DOS工作窗口中輸入字符串命令“reg query HKLMSYSTEMCurrentControlSetEnumUSBSTOR/s >H:123.txt”，將命令返回結果輸出到“H:123.txt”文本文件中。日后，啟動運行記事本程序，打開“H:123.txt”文本文件，在該文件編輯界面中依次單擊菜單欄中的“編輯”、“查找”命令，將“FriendlyName”關鍵字全部查找出來，同時將每個關鍵字后的品牌信息逐一記錄下來，這樣就能將所有可疑的移動硬盤全部搜索出來。

有時，局域網中很多員工使用的移動設備都是同一個品牌，此時想通過上面的方法來判斷是否有用戶悄悄在本地計算機中插拔過移動設備，顯然是行不通的，我們只有使用其他辦法才能查看到是誰在偷插移動設備。因為Windows 系統默認會為插入的每一只移動硬盤分配一個設備ID，同時該設備ID 是唯一的。很明顯，我們現在能通過設備ID 來判斷是否有用戶在本地計算機中使用過移動硬盤。

先將自己使用的移動硬盤插入到本地計算機中，進入計算機窗口，用鼠標右擊自己的移動硬盤圖標，點擊快捷菜單中的“屬性”命令，切換到特定移動硬盤屬性對話框，選擇“詳細信息”選項卡，在對應選項設置頁面的“設備范例ID”或“設備實例路徑”設置項處，手工記憶下自己移動硬盤的設備ID。

接著在CMD 窗口輸入“reg query HKLMSYSTEMCurrentControlSetEnumUSBSTOR/s”字符串命令，從返回的結果信息中，手工記憶下“Disk&Ven”關鍵字后面的設備ID，一旦看到結果信息中存在多個不同移動硬盤的設備ID 時，那就表示肯定有其他用戶悄悄在本地計算機中使用過移動硬盤。

發現輸入“黑”手

在公共場合下，有些人會對重要系統中的內容，進行非法輸入篡改。這時，我們需要加強對鍵盤鼠標輸入操作進行監控，以及時發現輸入“黑”手。

要做到這一點，可以請“鍵盤記錄截圖”工具幫忙，它能自動追蹤鼠標活動和鍵盤使用情況，同時以截取當前屏幕圖片的方式存儲監控結果，而且它在運行時，會悄悄退回到系統后臺，不容易被“黑”手發現。

第一次運行“鍵盤記錄截圖”程序時，它會彈出一個提示窗口，確認后它會悄悄隱藏在系統后臺工作，無論是在系統任務欄中，還是在系統托盤位置處，都找不到目標程序的“身影”，這種隱藏工作特性，能很好地防止別人任意停止該程序的工作狀態，從而能增強系統工作安全性。日后，如果想進入“鍵盤記錄截圖”的主操作窗口時，只要通過“Ctrl+Alt+右光標鍵”快捷鍵，就能調出主操作窗口了，在這里可以直觀看到正在操作的鼠標、鍵盤輸入內容。

一旦鼠標、鍵盤有輸入內容時，“鍵盤記錄截圖”工具會在第一時間將其捕獲，并會將監控內容智能保存到一個純文本文件中，該文本文件默認位于“C:Record”文件夾中，以后進入該文件夾窗口，打開其中的文本文件，就能查看到監控結果了。

要是安裝的“鍵盤記錄截圖”程序是注冊版，那么它還可以監控屏幕內容，并將監控到的屏幕內容，自動存儲為jpg 圖像文件，該文件默認也位于“C:Record”文件夾窗口中。

倘若希望抓圖操作自動進行，建議大家打開目標工具的設置對話框，按需設置好抓圖間隔時間，有效時間數值范圍為1-999 分鐘。

此外，考慮到將監控結果保存到C 盤分區不安全，因此，建議大家調整一下監控結果的保存路徑，讓其指向系統分區以外的位置。在進行該操作時，可以先切換到目標工具主操作界面，點擊右上角處的“更改目錄”按鈕，彈出文件夾選擇對話框，選擇并導入合適的文件夾即可。

請走蹭網“黑”手

成功組建好無線局域網后，不少用戶會不請自來，即使頻繁調整上網訪問密碼，也存在被蹭網“黑”手暴力破解的風險。為了及時請走蹭網“黑”手，確保無線上網安全，我們不妨借助“WiFi Guard”這款專業程序，對那些嘗試蹭網的“黑”手加強監控，讓他們在蹭網之前顯露原形。

圖3 自動顯示在程序的監控列表中

進入“WiFi Guard”程序的主界面，點擊“Settings”按鈕，打開Basic 控制面板，在其中選擇正在使用的無線網卡設備，接著定義好自動掃描周期、同步掃描的網絡設備數量等信息，再切換到Advanced 控制面板，在這里設置好自動掃描的地址范圍。這樣，“WiFi Guard”程序就能按照配置要求，進入監控狀態了。第一次運行時，它可以將無線網絡中的所有主機監控到，同時自動顯示在程序的監控列表中（如圖3 所示），不過在默認狀態下，該程序僅會將本地主機和無線路由器顯示為綠色圖標，將其他主機全部顯示為可疑的紅色圖標。

用鼠標雙擊自己認為合法、可信的主機名稱，同時輸入對應主機的說明信息，再勾選“I know this computer or device”選項，將目標主機設置為合法主機。按照相同的操作步驟，將其他主機逐一定義為合法主機。日后，當懷疑無線網絡被人攻擊或運行不正常時，只要點擊該程序界面中的“Scan Now”按鈕，它會立即對本地無線網絡進行掃描監控，通過分析、比對預存的主機數據庫，就能發現蹭網用戶的主機設備。將對應設備的MAC 地址手工添加到無線路由器MAC 過濾列表中，就能及時請走蹭網“黑”手了。

清除病毒“黑”手

長時間在線的計算機，總會不可避免地遭遇病毒“黑”手的攻擊。這些“黑”手往往會悄悄潛藏在系統的啟動項中，以便日后跟隨系統自動運行發作，從而給重要系統正常運行帶來極大的安全威脅。為了降低系統安全威脅，我們必須想方設法，及時清除潛藏在系統暗處的病毒“黑”手！

首先，打開系統資源管理器窗口，定位到“C:Documents and Settings用戶名開始菜單程序 啟動”路徑，檢查其中是否有可疑的自啟動項目，揪出潛藏在啟動文件夾中的病毒“黑”手。

其次，進入系統注冊表編輯界面，定位到如圖4 所示等分支，檢查各個注冊表啟動項中是否存在陌生鍵值，如果存在的話，必須及時將陌生鍵值和對應病毒文件刪除掉，這樣才能將潛藏在系統注冊表中的自啟動病毒“黑”手清除掉。

圖4 檢查各個注冊表啟動項中是否存在陌生鍵值

第三，執行“gpedit.msc”命令，打開系統組策略控制臺窗口，將鼠標定位到“用戶配置”→“管理模板”→“系統”→“登錄”分支上，雙擊“在用戶登錄時運行這些程序”選項，彈出選項設置對話框，檢查“已啟用”選項是否已被選中，當看到該選項已處于選中狀態時，單擊“顯示”按鈕，切換到應用程序默認啟動列表對話框。檢查這里是否有應用程序出現，缺省狀態下，應該不會看到任何應用程序，要是發現有陌生應用程序存在時，那多半就是病毒“黑”手化身，立即選中并清空調用路徑，再根據源路徑找到并刪除具體的病毒“黑”手的可執行文件，將潛藏在組策略中的病毒“黑”手清除干凈。

還有一些病毒“黑”手隱蔽性十分強，它們有時會將自身“化身”成系統服務，讓普通用戶不能準確找到它們的“身影”。

此時，可以打開系統服務列表界面，單擊“啟動類型”標簽，讓系統服務按啟動類型進行排序，確保自啟動類型服務排列顯示在最頂端，從中找出陌生的自啟動服務。

進入該服務屬性對話框中，單擊“停止”按鈕，暫停其繼續運行。同時，在“常規”標簽頁面中，找到陌生服務的可執行文件路徑，進入系統資源管理器窗口，刪除干凈它的可執行文件。此外，還可以將鼠標定位到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”分支中，找到該分支下的陌生鍵值，刪除陌生鍵值和對應病毒文件，請走“喬裝”成系統服務躲藏到注冊表中的病毒“黑”手。