后門(mén)能相互關(guān)聯(lián)，而且這個(gè)技術(shù)被許多黑客所使用。黑客可能會(huì)對(duì)系統(tǒng)的配置文件進(jìn)行小部分的修改，以降低系統(tǒng)的防衛(wèi)性能。也可能會(huì)安裝一個(gè)木馬程序，使系統(tǒng)打開(kāi)一個(gè)安全漏洞，以利于黑客完全掌握系統(tǒng)。

有的用戶通過(guò)雙擊鼠標(biāo)方式，訪問(wèn)某個(gè)純文本文件時(shí)，Windows系統(tǒng)先是出現(xiàn)了一個(gè)蹊蹺的命令行窗口，內(nèi)容提示為“帳號(hào)已經(jīng)存在，發(fā)生系統(tǒng)錯(cuò)誤”，之后才打開(kāi)文本窗口，不知道為什么會(huì)出現(xiàn)這種奇怪的現(xiàn)象？

這種現(xiàn)象很可能是黑客將文件關(guān)聯(lián)設(shè)置成了系統(tǒng)后門(mén)，用戶在訪問(wèn)特定文件時(shí)，將會(huì)自動(dòng)觸發(fā)一些命令，從而達(dá)到攻擊系統(tǒng)目的。遇到這種現(xiàn)象時(shí)，不妨依次點(diǎn)擊“開(kāi)始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，在其中輸入“regedit”命令并回車(chē)，展開(kāi)系統(tǒng)注冊(cè)表編輯界面，在該界面的左側(cè)列表中，將鼠標(biāo)定位到注冊(cè)表分 支 上“HKEY_CLASSES_ROOT xtfileshellopencommand”。檢查目標(biāo)分支下的鍵值內(nèi)容，看看關(guān)聯(lián)的命令是否已被改頭換面了。如果發(fā)現(xiàn)鍵值已經(jīng)被修改，必須及時(shí)將其恢復(fù)過(guò)來(lái)，以堵住文件關(guān)聯(lián)的后門(mén)。

向系統(tǒng)組策略中添加關(guān)機(jī)腳本，可以讓W(xué)indows在關(guān)閉系統(tǒng)時(shí)執(zhí)行一些特殊操作。由于這種操作具有隱蔽性，惡意用戶經(jīng)常會(huì)利用它來(lái)做服務(wù)器系統(tǒng)的后門(mén)。請(qǐng)問(wèn)如何防范這種后門(mén)被惡意用戶頻繁利用？

很簡(jiǎn)單！只要定期打開(kāi)服務(wù)器系統(tǒng)組策略編輯窗口，依次展開(kāi)“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“腳本（啟動(dòng)/關(guān)機(jī)）”節(jié)點(diǎn)，檢查目標(biāo)節(jié)點(diǎn)下是否存在陌生的腳本文件，一旦發(fā)現(xiàn)有可疑腳本出現(xiàn)時(shí)，不但要將其從腳本列表中及時(shí)刪除掉，而且還要找到并刪除原始的腳本文件。

此外，系統(tǒng)管理員也可以打開(kāi)資源管理器窗口，定期查看“C：Windowssystem32GroupPolicyMachineScriptsShutdown”窗口下的內(nèi)容，因?yàn)樗嘘P(guān)機(jī)腳本內(nèi)容都會(huì)顯示在這里。同樣地，還應(yīng)該定期查看并切斷啟動(dòng)腳本后門(mén)。

黑客通過(guò)系統(tǒng)后門(mén)成功入侵主機(jī)后，首先要做的工作就是克隆賬號(hào)，并通過(guò)該賬號(hào)任意控制對(duì)應(yīng)系統(tǒng)，請(qǐng)問(wèn)如何才能在第一時(shí)間發(fā)現(xiàn)并刪除潛藏在本地系統(tǒng)中的克隆賬號(hào)呢？

巧妙通過(guò)LP_Check工具，就能輕易地找到克隆賬號(hào)的“身 影”。 啟 動(dòng) LP_Check工具后，本地系統(tǒng)中所有的用戶賬號(hào)都會(huì)被自動(dòng)列寫(xiě)出來(lái)，如果發(fā)現(xiàn)某個(gè)賬號(hào)的“Result”列中標(biāo)示為“Shadow Administrator”時(shí)，那就意味著該用戶賬號(hào)已經(jīng)被克隆了。要?jiǎng)h除該克隆用戶賬號(hào)時(shí)，只能通過(guò)System賬號(hào)權(quán)限來(lái)完成。我們不妨將“whoami.exe”程序拷貝到系統(tǒng)文件夾中，之后打開(kāi)DOS命令行窗口，輸入“whoami”命令并回車(chē)，要是彈出“NT AuthoritySystem”提示，就意味著當(dāng)前我們已經(jīng)具有System賬號(hào)權(quán)限了。下面繼續(xù)在DOS命令行窗口中輸入“regedit”命令并回車(chē)，打開(kāi)系統(tǒng)注冊(cè)表編輯界面，將鼠標(biāo)定位到該界面左側(cè)列表中的HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames節(jié)點(diǎn)，就能發(fā)現(xiàn)所有的用戶賬號(hào)了，找到并刪除克隆賬號(hào)即可。

為了防止黑客通過(guò)telnet服務(wù)，遠(yuǎn)程攻擊本地系統(tǒng)，筆者不但停用了本地系統(tǒng)中的telnet服務(wù)，而且還刪除了與之關(guān)聯(lián)的“tlntsvr.exe”文件，以切斷系統(tǒng)的telnet后門(mén)?？杉词惯@樣，筆者還是在偶然之間，看到本地系統(tǒng)的23號(hào)端口處于開(kāi)啟狀態(tài)，而且使用“net user”命令查看到有陌生用戶存在，這說(shuō)明本地系統(tǒng)的telnet后門(mén)還是被強(qiáng)行開(kāi)啟了。我想知道在關(guān)閉telnet服務(wù)、刪除“tlntsvr.exe”文件的情況下，為什么黑客還能打開(kāi)telnet后門(mén)呢？請(qǐng)問(wèn)如何徹底地堵住這種后門(mén)呢？

現(xiàn)在很多狡猾的黑客會(huì)通過(guò)“SetupFactory”工具，將各種常見(jiàn)程序命令和相關(guān)的腳本代碼組合起來(lái)，生成獨(dú)具特色的組合型木馬。當(dāng)我們不幸遭遇這種類(lèi)型木馬攻擊時(shí)，其中的一些惡意代碼或命令，專(zhuān)門(mén)用來(lái)判斷本地主機(jī)是否已經(jīng)建立了網(wǎng)絡(luò)連接，要是與Internet網(wǎng)絡(luò)建立了連接，就立即起用本地主機(jī)的telnet服務(wù)。要是啟用操作失敗時(shí)，將會(huì)從預(yù)先指定的站點(diǎn)下載“tlntsvr.exe”、“ftp.exe”文件，來(lái)自行安裝并啟用telnet服務(wù)。在成功啟用了telnet服務(wù)后，就能利用telnet后門(mén)繼續(xù)進(jìn)行其他惡意攻擊了。

要想徹底堵住這種后門(mén)，唯一辦法就是從源頭出發(fā)，找到原始的木馬程序。由于這種木馬程序隱蔽性很強(qiáng)，殺毒軟件往往也無(wú)法發(fā)現(xiàn)它的行蹤，我們可以到系統(tǒng)啟動(dòng)項(xiàng)藏身的位置，去手工尋找陌生程序的“身影”。為了實(shí)現(xiàn)快速查找目的，我們可以請(qǐng)“Autoruns”工具幫忙，它不但能集中顯示注冊(cè)表中的啟動(dòng)項(xiàng)目，而且也支持自動(dòng)定位注冊(cè)表分支的功能。進(jìn)入該程序的“登錄”列表頁(yè)面，查看本地系統(tǒng)注冊(cè)表中的所有應(yīng)用程序啟動(dòng)項(xiàng)目，看看有沒(méi)有陌生的啟動(dòng)項(xiàng)目，如果存在的話，只需要用鼠標(biāo)雙擊對(duì)應(yīng)注冊(cè)表啟動(dòng)項(xiàng)所在分之，系統(tǒng)就會(huì)自動(dòng)打開(kāi)注冊(cè)表編輯窗口，并自動(dòng)定位到目標(biāo)分支下面，之后對(duì)相關(guān)啟動(dòng)項(xiàng)目進(jìn)行編輯、修改甚至刪除操作，同時(shí)根據(jù)惡意啟動(dòng)項(xiàng)目的路徑，打開(kāi)系統(tǒng)資源管理器窗口，刪除原始的木馬程序。此外，我們還能通過(guò)“Autoruns”工具對(duì)位于系統(tǒng)服務(wù)、驅(qū)動(dòng)程序、映像劫持等其他位置處的啟動(dòng)項(xiàng)目進(jìn)行查看，來(lái)尋找木馬程序啟動(dòng)項(xiàng)的“身影”。

請(qǐng)問(wèn)什么是系統(tǒng)嗅探后門(mén)？

這種后門(mén)其實(shí)是惡意用戶通過(guò)欺騙方式或其他方式，向特定計(jì)算機(jī)系統(tǒng)中悄悄植入專(zhuān)業(yè)嗅探程序，以達(dá)到截獲超級(jí)用戶權(quán)限賬號(hào)的密碼信息。為了防止植入的專(zhuān)業(yè)嗅探程序被用戶發(fā)現(xiàn)，這類(lèi)程序往往會(huì)被偽裝成系統(tǒng)驅(qū)動(dòng)程序，而且文件尺寸也是相當(dāng)?shù)匦?，安全意識(shí)不高的用戶一般很難找到它們的蹤跡。

請(qǐng)問(wèn)如何有效切斷系統(tǒng)嗅探后門(mén)，以防黑客竊取系統(tǒng)管理員帳號(hào)？

第一通過(guò)加密措施，保護(hù)重要數(shù)據(jù)傳輸安全。比方說(shuō)，在上網(wǎng)瀏覽站點(diǎn)信息時(shí)，可以使用https協(xié)議，來(lái)突破專(zhuān)業(yè)工具的嗅探，避免Web訪問(wèn)密碼被黑客偷偷竊取，當(dāng)然這種方法的安全保護(hù)，依賴瀏覽器的正確實(shí)現(xiàn)以及服務(wù)器軟件、實(shí)際加密算法的支持。

第二嚴(yán)加審核系統(tǒng)登錄操作。黑客要想植入專(zhuān)業(yè)嗅探程序，一定要先登錄服務(wù)器系統(tǒng)。要是對(duì)系統(tǒng)登錄操作啟用審核監(jiān)控策略，那么黑客的一切登錄入侵痕跡會(huì)被系統(tǒng)日志記憶下來(lái)，到時(shí)打開(kāi)事件查看器窗口，檢查分析有沒(méi)有可疑時(shí)間的非法登錄，或許就能發(fā)現(xiàn)黑客的“身影”。在啟用審核監(jiān)控策略時(shí)，可以依次點(diǎn)擊“開(kāi)始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“gpedit.msc”命令并回車(chē)，開(kāi)啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。將鼠標(biāo)定位到左側(cè)列表中的“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows設(shè)置”、“安全設(shè)置”、“本地策略”、“審核策略”節(jié)點(diǎn)上，雙擊目標(biāo)節(jié)點(diǎn)下的“審核登錄事件”選項(xiàng)，選中其后界面中的“成功”選項(xiàng)，確認(rèn)后返回即可。當(dāng)然，有些黑客可能在實(shí)施攻擊后，會(huì)悄悄刪除或者修改遺留在日志中的痕跡，這時(shí)唯一的應(yīng)對(duì)辦法，就是想辦法找到并刪除安裝在服務(wù)器系統(tǒng)中的嗅探工具，同時(shí)及時(shí)調(diào)整系統(tǒng)管理員登錄密碼。

大家知道，當(dāng)Web服務(wù)器開(kāi)啟了IIS服務(wù)時(shí)，一定會(huì)用到80端口?？墒牵幸淮涡埻ㄟ^(guò)專(zhuān)業(yè)的網(wǎng)絡(luò)數(shù)據(jù)分析工具，分析某個(gè)陌生的應(yīng)用程序時(shí)，看到該程序也在使用80端口與外網(wǎng)進(jìn)行通信。很顯然，80端口已成為黑客攻擊本地服務(wù)器的后門(mén)，請(qǐng)問(wèn)黑客是怎樣將80端口設(shè)計(jì)成系統(tǒng)后門(mén)的？

很簡(jiǎn)單！80端口不屬于獨(dú)占方式的系統(tǒng)端口，黑客只要使用常見(jiàn)的端口復(fù)用技術(shù)，將一個(gè)網(wǎng)絡(luò)端口開(kāi)辟成多個(gè)網(wǎng)絡(luò)連接通道，就能輕易將常用的80端口，設(shè)計(jì)成系統(tǒng)的攻擊后門(mén)。

憑借功能強(qiáng)大、身材小巧等特點(diǎn)，Remote Administrator工具常常會(huì)成為網(wǎng)管員遠(yuǎn)程管理時(shí)的首選工具。不過(guò)，該工具有時(shí)會(huì)成為黑客入侵系統(tǒng)的后門(mén)通道，黑客利用系統(tǒng)漏洞，將喬裝改扮的Remote Administrator工具植入到遠(yuǎn)程主機(jī)中，并通過(guò)其完全控制遠(yuǎn)程主機(jī)。而且，Remote Administrator工具屬于合法程序，殺毒軟件一般對(duì)其無(wú)可奈何，所以這種后門(mén)往往顯得十分“安全”。那么如何才能切斷這種后門(mén)通道，防止黑客任意入侵本地系統(tǒng)呢？

為了達(dá)到隱蔽運(yùn)行目的，一些黑客會(huì)將喬裝改扮的Remote Administrator工具，偽裝成虛假的系統(tǒng)服務(wù)“Windows Management Instrumentation Player Drivers”。所以，我們首先需要打開(kāi)系統(tǒng)服務(wù)列表界面，找到“Windows Management Instrumentation Player Drivers”服 務(wù) 選 項(xiàng)，打 開(kāi)它的屬性對(duì)話框，點(diǎn)擊“停止”按鈕，關(guān)閉它的運(yùn)行狀態(tài)。接著打開(kāi)系統(tǒng)資源管理器窗口，定位到系統(tǒng)文件夾“system32”窗口中，刪除與Remote Administrator工具相關(guān)的所有文件。之后，切換到系統(tǒng)注冊(cè)表編輯界面中，在該界面左側(cè)列表中，依次展開(kāi)HKEY_LOCAL_MACHINESYSTEMRadmin節(jié)點(diǎn)，將該節(jié)點(diǎn)下所有與Remote Administrator工具有關(guān)的鍵值信息全部刪除。最后，及時(shí)從微軟的官方網(wǎng)站中下載安裝最新的漏洞補(bǔ)丁程序，修復(fù)本地系統(tǒng)存在的各種漏洞，堵上系統(tǒng)的各種潛在漏洞，讓黑客無(wú)法繼續(xù)利用偽造的Remote Administrator程序后門(mén)。

一些黑客之所以隨便進(jìn)出特定重要網(wǎng)站，主要是這類(lèi)網(wǎng)站沒(méi)有及時(shí)修改默認(rèn)設(shè)置，最后它們無(wú)一例外地成為黑客入侵網(wǎng)站的后門(mén)。請(qǐng)問(wèn)怎樣才能預(yù)防黑客通過(guò)這種后門(mén)對(duì)重要網(wǎng)站發(fā)動(dòng)惡意攻擊呢？

首先不要使用“admin”之類(lèi)的默認(rèn)管理賬號(hào)，一定要將這類(lèi)管理賬號(hào)名稱修改為十分復(fù)雜的名稱，同時(shí)也要將對(duì)應(yīng)賬號(hào)的密碼設(shè)置得足夠健壯，以避免被黑客輕易破解成功。其次要善于將網(wǎng)站后臺(tái)路徑隱藏起來(lái)，例如將“l(fā)ogin.asp”等重要文件，隱藏到不容易被人猜測(cè)出來(lái)的較深層次目錄中，而且還要將重要文件名稱修改一下，以防止黑客依照網(wǎng)站模板系統(tǒng)輕易找到后臺(tái)入口。

請(qǐng)問(wèn)“粘滯鍵”后門(mén)有什么危害性？

黑客可以通過(guò)這種系統(tǒng)后門(mén)，將事先設(shè)計(jì)好的具有惡意攻擊性的程序替換掉系統(tǒng)自帶的粘滯鍵程序時(shí)，日后黑客就能通過(guò)連續(xù)按5下SHIFT的方式，達(dá)到攻擊特定計(jì)算機(jī)系統(tǒng)的目的。

請(qǐng)問(wèn)怎樣切斷“粘滯鍵”后門(mén)攻擊通道，確保本地系統(tǒng)不被黑客攻擊？

最理想的辦法就是關(guān)閉系統(tǒng)粘滯鍵的快捷鍵調(diào)用方式。在進(jìn)行該操作時(shí)，可以依次點(diǎn)擊“開(kāi)始”、“設(shè)置”、“控制面板”命令，彈出系統(tǒng)控制面板窗口，雙擊其中的“輔助功能選項(xiàng)”圖標(biāo)，切換到輔助功能選項(xiàng)設(shè)置對(duì)話框。點(diǎn)擊“鍵盤(pán)”標(biāo)簽，在對(duì)應(yīng)標(biāo)簽頁(yè)面的“粘滯鍵”位置處，按下“設(shè)置”按鈕，將其后界面中的“使用快捷鍵”選項(xiàng)取消選中，確認(rèn)后保存設(shè)置即可。

要是不想關(guān)閉系統(tǒng)粘滯鍵的快捷鍵調(diào)用方式時(shí)，也可以通過(guò)授權(quán)的方式，禁止普通用戶使用系統(tǒng)粘滯鍵功能。只要先進(jìn)入系統(tǒng)資源管理器窗口，找到其中的“C：Windowssystem32Sethc.exe”文件，用鼠標(biāo)右鍵單擊該文件，點(diǎn)擊快捷菜單中的“屬性”命令，進(jìn)入對(duì)應(yīng)文件屬性對(duì)話框。選擇“安全”標(biāo)簽，在對(duì)應(yīng)標(biāo)簽頁(yè)面中，將“everyone”賬號(hào)的權(quán)限設(shè)置為拒絕訪問(wèn)，單擊“確定”按鈕保存設(shè)置操作，這樣普通用戶日后就不能使用系統(tǒng)粘滯鍵功能了。

為什么說(shuō)及時(shí)更新安裝漏洞補(bǔ)丁程序，能夠預(yù)防系統(tǒng)被悄悄打開(kāi)各種攻擊后門(mén)？

現(xiàn)在，大多數(shù)黑客入侵終端主機(jī)或服務(wù)器，都是先通過(guò)專(zhuān)業(yè)的漏洞掃描工具，尋找獲得被攻擊目標(biāo)的系統(tǒng)漏洞，之后通過(guò)專(zhuān)門(mén)的入侵工具，沿著漏洞通道進(jìn)行非法攻擊，最后預(yù)留下攻擊后門(mén)，以便日后通過(guò)該后門(mén)對(duì)被攻擊目標(biāo)進(jìn)行監(jiān)控或數(shù)據(jù)竊取操作。一旦為終端主機(jī)或服務(wù)器及時(shí)升級(jí)補(bǔ)丁程序后，非法攻擊通道就會(huì)被自動(dòng)切斷，那么入侵者就沒(méi)有任何攻擊機(jī)會(huì)了。

既然及時(shí)升級(jí)系統(tǒng)漏洞補(bǔ)丁，可以堵住一些系統(tǒng)后門(mén)通道。請(qǐng)問(wèn)如何實(shí)現(xiàn)對(duì)局域網(wǎng)終端計(jì)算機(jī)的自動(dòng)升級(jí)補(bǔ)丁操作？

在局域網(wǎng)沒(méi)有部署補(bǔ)丁更新服務(wù)器的情況下，可以直接在終端計(jì)算機(jī)系統(tǒng)中，依次點(diǎn)擊“開(kāi)始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，在其中執(zhí)行“gpedit.msc”命令，切換到系統(tǒng)組策略控制臺(tái)界面。在該控制臺(tái)界面的左側(cè)列表中，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“管理模板”、“Windows 組 件”、“Windows Update”分支上，雙擊目標(biāo)分支下的“配置自動(dòng)更新”組策略，選中其后界面中的“已啟用”選項(xiàng)，并定義好自動(dòng)更新補(bǔ)丁類(lèi)型，確認(rèn)后保存設(shè)置操作，就能讓終端計(jì)算機(jī)日后自動(dòng)微軟官方網(wǎng)站的Update服務(wù)器中下載安裝補(bǔ)丁程序。

當(dāng)局域網(wǎng)部署有補(bǔ)丁更新服務(wù)器時(shí)，可以在終端計(jì)算機(jī)系統(tǒng)中進(jìn)行如下設(shè)置，強(qiáng)制終端系統(tǒng)從WSUS服務(wù)器下載安裝補(bǔ)丁程序：先打開(kāi)系統(tǒng)組策略控制臺(tái)界面，在該界面的左側(cè)列表中，依次跳轉(zhuǎn)到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“管理模板”分支上，用鼠標(biāo)右鍵單擊該節(jié)點(diǎn)，選擇右鍵菜單中的“添加刪除模板”命令。在其后彈出的設(shè)置對(duì)話框中，導(dǎo)入“Wuau”模板文件，并點(diǎn)擊“添加”按鈕，將其添加到當(dāng)前策略模板中。接著跳轉(zhuǎn)到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“管理模板”、“Windows組件”、“Windows Update”分支上，用鼠標(biāo)雙擊該節(jié)點(diǎn)下的“配置自動(dòng)更新”組策略，選中“已啟用”選項(xiàng)，同時(shí)設(shè)置好自動(dòng)更新補(bǔ)丁類(lèi)型，確認(rèn)后保存設(shè)置操作。

下面逐一展開(kāi)“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“管理模板”、“Windows組件”、“Windows Update”分支，雙擊該分支下的“指定Intranet Microsoft更新服務(wù)位置”選項(xiàng)，選擇其后界面中的“已啟用”選項(xiàng)，再將單位局域網(wǎng)WSUS服務(wù)器的IP地址或主機(jī)名稱添加進(jìn)來(lái)，確認(rèn)后退出設(shè)置對(duì)話框。最后打開(kāi)系統(tǒng)運(yùn)行對(duì)話框，輸入“cmd”命令并回車(chē)，彈出DOS命令行工作窗口，在該窗口命令行提示符下，輸入“wuauclt.exe /detectnow”命令來(lái)啟用更新即可。這樣，終端計(jì)算機(jī)日后就能從WSUS服務(wù)器上，悄悄進(jìn)行補(bǔ)丁升級(jí)和安裝操作了，整個(gè)過(guò)程用戶是不容易覺(jué)察到的，只有從服務(wù)器的管理界面中，才能了解到補(bǔ)丁程序升級(jí)進(jìn)度。

有的Windows系統(tǒng)自帶有放大鏡程序，來(lái)方便視力不好用戶的操作?？墒?，該程序很容易被黑客替換成惡意腳本文件，從而成為系統(tǒng)后門(mén)，被黑客利用來(lái)攻擊控制本地系統(tǒng)。請(qǐng)問(wèn)如何防范這種后門(mén)攻擊行為？

可以定期打開(kāi)本地系統(tǒng)資源管理器窗口，展開(kāi)“%Windir%system32”文件夾窗口，看看“magnify.exe”程序圖標(biāo)與默認(rèn)的放大鏡圖標(biāo)是否一致，要是不一致是，多半是黑客正在利用放大程序后門(mén)。此時(shí)，先將被替換掉的放大程序文件刪除，同時(shí)從其他相同版本W(wǎng)indows系統(tǒng)中復(fù)制一個(gè)正常的“magnify.exe”文件回來(lái)，以恢復(fù)放大程序的工作狀態(tài)。

接著右擊系統(tǒng)桌面上的“我的電腦”圖標(biāo)，點(diǎn)擊右鍵菜單中的“管理”命令，進(jìn)入計(jì)算機(jī)管理窗口。在該窗口的左側(cè)列表中，將鼠標(biāo)定位到“系統(tǒng)工具”、“本地用戶和組”、“用戶”節(jié)點(diǎn)上，檢查目標(biāo)節(jié)點(diǎn)下是否存在陌生的用戶賬號(hào)，一旦發(fā)現(xiàn)有可疑賬號(hào)存在時(shí)，必須及時(shí)選中并刪除它們，以防止惡意用戶再次利用它們進(jìn)行惡意攻擊。

Windows系統(tǒng)中最隱蔽的后門(mén)是什么？

是該系統(tǒng)中的隱藏賬號(hào)。由于創(chuàng)建隱藏賬號(hào)操作比較簡(jiǎn)單，隱藏效果也很好，更為重要的是隱藏賬號(hào)能夠躲避殺毒軟件和安全工具的查殺，所以黑客攻擊Windows系統(tǒng)后，很有可能會(huì)在對(duì)應(yīng)系統(tǒng)中創(chuàng)建好隱藏賬號(hào)，以便于日后隨時(shí)“光臨”。

為了防止黑客將系統(tǒng)隱藏賬號(hào)，作為攻擊系統(tǒng)的后門(mén)，請(qǐng)問(wèn)如何刪除系統(tǒng)隱藏賬號(hào)？

對(duì)其直接刪除，顯然有點(diǎn)難度。但對(duì)一些普通的系統(tǒng)隱藏賬號(hào)，它們只是簡(jiǎn)單地在賬號(hào)名稱后面添加一個(gè)“$”字符，實(shí)現(xiàn)賬號(hào)隱藏目的的，黑客、木馬通過(guò)該方法快速創(chuàng)建好隱藏賬號(hào)后，往往還會(huì)將其提升為系統(tǒng)管理員賬號(hào)，確保能通過(guò)該賬號(hào)進(jìn)行各種破壞活動(dòng)。要想刪除這類(lèi)系統(tǒng)隱藏賬號(hào)，可以先打開(kāi)系統(tǒng)的運(yùn)行對(duì)話框，執(zhí)行“cmd”命令，將系統(tǒng)切換到DOS命令行窗口，在命令提示符下輸入字符串命令“net localgroup administrators”，單擊回車(chē)鍵后，那些被授予系統(tǒng)管理員權(quán)限的隱藏賬號(hào)就會(huì)被顯示出來(lái)。

此外，也有一些復(fù)雜的系統(tǒng)隱藏賬號(hào)，我們既不能在DOS命令行窗口中看到它的“身影”，也不能在計(jì)算機(jī)管理窗口中看到它的“身影”，只能從系統(tǒng)的安全日志文件中找到它們的賬號(hào)名稱。對(duì)于這類(lèi)特殊的系統(tǒng)隱藏賬號(hào)，我們無(wú)法直接將其刪除，只能在DOS命令行窗口中使用“net user aaaa$ 1234”之類(lèi)的命令修改隱藏賬號(hào)的密碼，讓目標(biāo)隱藏賬號(hào)不能繼續(xù)生效，拒絕黑客、木馬繼續(xù)使用該賬號(hào)攻擊本地系統(tǒng)。

如果開(kāi)啟了Windows系統(tǒng)的遠(yuǎn)程桌面功能，系統(tǒng)將會(huì)對(duì)外打開(kāi)一扇后門(mén)，這時(shí)一些惡意用戶可能會(huì)偷偷通過(guò)這扇門(mén)來(lái)進(jìn)行非法攻擊，請(qǐng)問(wèn)怎樣防范惡意用戶通過(guò)這道后門(mén)攻擊Win8系統(tǒng)？

很簡(jiǎn)單！只要將Win8系統(tǒng)默認(rèn)使用的3389端口調(diào)整為其他號(hào)碼即可。比方說(shuō)，要將Win8系統(tǒng)的遠(yuǎn)程桌面端口號(hào)碼調(diào)整為“4653”時(shí)，可以先在Win8開(kāi)始屏幕或傳統(tǒng)桌面中，使用“Win+R”快捷鍵，打開(kāi)系統(tǒng)運(yùn)行框，執(zhí)行“regedit”命令進(jìn)入系統(tǒng)注冊(cè)表編輯窗口，將鼠標(biāo)定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWds dpwdTds cp分支上。雙擊目標(biāo)分支下的“PortNumber”雙字節(jié)鍵值，彈出編輯鍵值對(duì)話框，在“數(shù)值數(shù)據(jù)”文本框中輸入新端口“4653”，再重新啟動(dòng)計(jì)算機(jī)系統(tǒng)即可。這樣，就能防范惡意用戶通過(guò)遠(yuǎn)程桌面這道后門(mén)攻擊Win8系統(tǒng)了。

大家知道，基于Win2003系統(tǒng)的Web服務(wù)器，往往會(huì)有文件解析后門(mén)，請(qǐng)問(wèn)這種后門(mén)有什么危害，該如何進(jìn)行安全防范？

黑客可以利用這種后門(mén)，向Web服務(wù)器特定路徑上傳圖象格式的惡意文件，達(dá)到悄悄向服務(wù)器系統(tǒng)植入木馬或間諜程序目的，那樣Web服務(wù)器系統(tǒng)的運(yùn)行安全性和穩(wěn)定性就會(huì)受到嚴(yán)重威脅。

要想預(yù)防這種后門(mén)威脅，建議用戶將通過(guò)網(wǎng)站上傳的文件統(tǒng)一保存到指定的一個(gè)文件夾里面，同時(shí)將該文件夾的執(zhí)行權(quán)限設(shè)置為“無(wú)”。在進(jìn)行該操作時(shí)，先以系統(tǒng)管理員權(quán)限登錄進(jìn)入服務(wù)器系統(tǒng)，展開(kāi)系統(tǒng)資源管理器窗口，從中找到用來(lái)保存上傳文件的特定文件夾。用鼠標(biāo)右鍵單擊該文件夾圖標(biāo)，點(diǎn)擊快捷菜單中的“屬性”命令，切換到特定文件夾屬性設(shè)置對(duì)話框。選中“安全”標(biāo)簽，選擇對(duì)應(yīng)標(biāo)簽頁(yè)面“組或用戶名稱”位置處的“everyone”帳號(hào)，將其操作權(quán)限調(diào)整為“讀取”和“寫(xiě)入”，同時(shí)將其他所有權(quán)限全部設(shè)置為拒絕即可。

作為服務(wù)器系統(tǒng)用的Linux，往往需要開(kāi)放端口和服務(wù)，來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)連接。要是盡可能少地開(kāi)放系統(tǒng)服務(wù)和網(wǎng)絡(luò)端口，那么系統(tǒng)留下的攻擊后門(mén)就會(huì)少很多。為了降低Linux系統(tǒng)的安全隱患，請(qǐng)問(wèn)如何將那些不需要的或無(wú)效的系統(tǒng)服務(wù)和網(wǎng)絡(luò)端口關(guān)閉掉，以減少黑客攻擊后門(mén)？

所有系統(tǒng)服務(wù)的運(yùn)行狀態(tài)都受“/etc/inetd.conf”文件控制，我們可以打開(kāi)該文件，檢查其中有哪些系統(tǒng)服務(wù)不需要，通過(guò)在對(duì)應(yīng)服務(wù)前面添加“#”的方法，取消并反安裝目標(biāo)服務(wù)，再通過(guò)“sighup”命令對(duì)“/etc/inetd.conf”文件進(jìn)行升級(jí)，讓上述操作正式生效。一般來(lái)說(shuō)，fingerd、rexec、rlogin、rshd等服務(wù)不常使用，我們應(yīng)該將其取消安裝。