找出惡意快捷方式

大家知道，快捷方式往往都是要指向某個(gè)應(yīng)用程序、數(shù)據(jù)文件或特定網(wǎng)站地址的，而一些惡意程序?yàn)榱诉_(dá)到遮人耳目的目的，常常會(huì)通過(guò)快捷方式的快速訪問(wèn)特性，將用戶頻繁訪問(wèn)的目標(biāo)悄悄替換為自身。不過(guò)，從表面上看，普通用戶根本不會(huì)看出其中的端倪。

考慮到這種情況，我們應(yīng)該認(rèn)真檢查常用快捷方式所指向的網(wǎng)站地址或應(yīng)用程序，以判斷它們是否安全可信，如果它們指向陌生的程序或站點(diǎn)，那基本就能斷定該快捷方式為惡意快捷方式。在進(jìn)行這種檢查操作時(shí)，可以用鼠標(biāo)右鍵單擊目標(biāo)快捷方式，點(diǎn)擊快捷菜單中的“屬性”命令，彈出如圖1所示的屬性對(duì)話框，在“目標(biāo)”文本框中就能直觀看出當(dāng)前快捷方式究竟指向哪里了。如果確認(rèn)其為惡意快捷方式時(shí)，應(yīng)該及時(shí)打開(kāi)它的右鍵菜單，點(diǎn)擊“刪除”命令，將其從計(jì)算機(jī)系統(tǒng)中刪除出去。

圖1 屬性對(duì)話框

圖2 處于運(yùn)行狀態(tài)的進(jìn)程名稱(chēng)

如果嫌手工尋找惡意快捷方式比較麻煩時(shí)，也可以借助360安全衛(wèi)士等專(zhuān)業(yè)工具，對(duì)本地系統(tǒng)進(jìn)行全面、徹底地掃描，這樣能夠快速高效地將存在問(wèn)題的惡意快捷方式挖掘出來(lái)，并能夠自動(dòng)刪除它們，避免它們威脅計(jì)算機(jī)系統(tǒng)安全。

找出惡意攻擊程序

在沒(méi)有對(duì)系統(tǒng)進(jìn)行任何操作的情況下，Windows系統(tǒng)突然運(yùn)行異常，這就意味著本地系統(tǒng)可能正遭遇惡意程序攻擊。那在手頭沒(méi)有專(zhuān)業(yè)安全工具可以利用的情況下，我們?cè)撊绾握页鰫阂夤舫绦蚰兀?/p>

首先，依次單擊“開(kāi)始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，在其中執(zhí)行“cmd”命令，切換到MS-DOS工作窗口，在該窗口命令提示符下，輸入“tasklist”命令，返回所有處于運(yùn)行狀態(tài)的進(jìn)程名稱(chēng)（如圖2所示），記下陌生進(jìn)程對(duì)應(yīng)的PID號(hào)，繼續(xù)輸入字符串命令“netstat-ano findstr xxx”（其中的“xxx”為當(dāng)前運(yùn)行進(jìn)程對(duì)應(yīng)的PID號(hào)），將特定進(jìn)程所使用的網(wǎng)絡(luò)端口號(hào)碼顯示出來(lái)，看看該網(wǎng)絡(luò)端口是否為自己所熟悉的端口，如果該端口為病毒、木馬經(jīng)常使用的端口，那該進(jìn)程對(duì)應(yīng)的應(yīng)用程序?yàn)閻阂獬绦颉?/p>

然后，從官方站點(diǎn)下載“tlist.exe”實(shí)用工具，也可以從Windows系統(tǒng)安裝光盤(pán)的“Support/Tools/”位置處，借助專(zhuān)業(yè)工具釋放“support.cab”文件包來(lái)找到該文件，之后在DOS命令行窗口中，執(zhí)行字符串命令“tlist.exe xxx”，將與特定PID號(hào)進(jìn)程相關(guān)的程序所在的文件夾以及調(diào)用的具體文件顯示出來(lái)，根據(jù)這些內(nèi)容就能判斷出調(diào)用陌生進(jìn)程的應(yīng)用程序是什么了。當(dāng)看到這個(gè)程序不是我們自己運(yùn)行的話，那它多半是一個(gè)惡意程序，這個(gè)時(shí)候可以使用“taskkill.exe xxx ”命令，將其對(duì)應(yīng)的惡意進(jìn)程關(guān)閉掉，以防止惡意程序繼續(xù)威脅本地系統(tǒng)的安全。

找出惡意替換文件

圖3 登錄進(jìn)入主程序界面

目前，QQ盜號(hào)現(xiàn)象十分嚴(yán)重，之所以頻繁發(fā)生這種現(xiàn)象，主要是盜號(hào)程序想方設(shè)法劫持正常程序，以達(dá)到悄悄隱藏同時(shí)自動(dòng)運(yùn)行目的，具體地說(shuō)就是盜號(hào)程序通過(guò)向特定文件夾添加或修改惡意文件，實(shí)現(xiàn)自動(dòng)激活同時(shí)隱藏自身的效果。那么如何才能將存儲(chǔ)在特定文件夾中的惡意文件尋找出來(lái)，并立即刪除它們呢？在外力工具“文件異常監(jiān)測(cè)器”的幫助下，我們可以十分方便地揪出潛藏在本地系統(tǒng)特定文件夾中的惡意文件，因?yàn)樵摮绦蚰芘繏呙璧街付ㄎ募A中的每個(gè)文件，所有被修改、被替換、新創(chuàng)建甚至被刪除的數(shù)據(jù)文件，它都能探測(cè)掃描到。

啟動(dòng)運(yùn)行“文件異常監(jiān)測(cè)器”程序，通過(guò)正確注冊(cè)操作獲得合法的登錄賬號(hào)，并通過(guò)該賬號(hào)成功登錄進(jìn)入主程序界面（如圖3所示）。接著，單擊“添加項(xiàng)目”按鈕，切換到文件夾添加對(duì)話框，從中導(dǎo)入聊天程序?qū)?yīng)的安裝文件夾，或添加其他要掃描的特定文件夾，按“保存數(shù)據(jù)”按鈕結(jié)束導(dǎo)入操作。這樣，“文件異常監(jiān)測(cè)器”程序?qū)?huì)保存記憶所有數(shù)據(jù)文件的狀態(tài)信息。日后，當(dāng)認(rèn)為某個(gè)文件夾可能被惡意程序植入惡意文件時(shí)，不妨按“載入數(shù)據(jù)”按鈕，再點(diǎn)擊“開(kāi)始驗(yàn)證”按鈕，過(guò)一段時(shí)間后，各種被編輯的、新增加的甚至已刪除的數(shù)據(jù)文件，都會(huì)被探測(cè)顯示在主程序界面中，如此一來(lái)，惡意文件自然就“顯山露水”了。當(dāng)確認(rèn)某個(gè)數(shù)據(jù)文件為惡意文件時(shí)，可以按照常規(guī)操作，立即將它們從計(jì)算機(jī)系統(tǒng)中清除出去。

找出惡意用戶賬號(hào)

很多人在關(guān)閉計(jì)算機(jī)時(shí)，都有可能遇到過(guò)“有其他用戶登錄到這臺(tái)計(jì)算機(jī)”這樣的系統(tǒng)提示，這種提示肯定會(huì)讓人感到緊張，會(huì)不會(huì)是本地計(jì)算機(jī)被人惡意攻擊了，或者是有人正在悄悄偷窺本地計(jì)算機(jī)中的隱私內(nèi)容呢？如何才能找出這個(gè)潛藏的惡意用戶呢？

正常情況下，碰到這類(lèi)提示，很可能是用戶在關(guān)閉計(jì)算機(jī)系統(tǒng)的時(shí)候，有用戶正通過(guò)局域網(wǎng)進(jìn)行共享訪問(wèn)操作，或其他人正遠(yuǎn)程登錄連接本地系統(tǒng)。當(dāng)然，也可能是用戶自己沒(méi)有及時(shí)將以前登錄的用戶賬號(hào)注銷(xiāo)掉。對(duì)于后面一種原因，往往可以一目了然地看出來(lái)。如果自己的計(jì)算機(jī)位于局域網(wǎng)環(huán)境中，那么前面的幾種因素出現(xiàn)的可能性就比較大了。

在局域網(wǎng)工作環(huán)境中，最讓人擔(dān)心的是有不法分子悄悄訪問(wèn)網(wǎng)絡(luò)中的重要共享數(shù)據(jù)，那么該如何快速找到偷窺共享數(shù)據(jù)的惡意用戶呢？找到后又該怎樣禁止它們繼續(xù)惡意共享訪問(wèn)呢？要找到隱藏起來(lái)的惡意用戶，不妨先右擊系統(tǒng)桌面上的“計(jì)算機(jī)”圖標(biāo)，點(diǎn)擊快捷菜單中的“管理”命令，展開(kāi)計(jì)算機(jī)管理窗口。依次展開(kāi)該管理窗口左側(cè)列表中的“系統(tǒng)工具”、“共享文件夾”、“會(huì)話”分支（如圖4所示），在指定分支下所有正訪問(wèn)共享數(shù)據(jù)的用戶賬號(hào)都會(huì)被列寫(xiě)出來(lái)。如果發(fā)現(xiàn)某個(gè)用戶名稱(chēng)自己不熟悉，那它多半是惡意用戶，為了防止它威脅系統(tǒng)安全，應(yīng)該用鼠標(biāo)右擊對(duì)應(yīng)賬號(hào)的共享會(huì)話，單擊快捷菜單中的“關(guān)閉會(huì)話”命令，切斷惡意會(huì)話連接。

圖4 依次展開(kāi)左側(cè)列表各分支

圖5 界面功能按鈕列表

此外，考慮到安全方面的原因，建議大家還要依次展開(kāi)“系統(tǒng)工具”、“共享文件夾”、“打開(kāi)文件”分支，找到指定分支下被惡意用戶打開(kāi)的文件，同時(shí)用鼠標(biāo)右鍵單擊該文件，單擊快捷菜單中的“將打開(kāi)的文件關(guān)閉”命令，關(guān)閉惡意用戶正訪問(wèn)的數(shù)據(jù)文件。對(duì)于DOS命令十分熟悉的用戶來(lái)說(shuō)，也可以先進(jìn)入系統(tǒng)運(yùn)行文本框，輸入“cmd”命令并回車(chē)，彈出MS-DOS工作窗口，在其中執(zhí)行“net use”命令，從命令結(jié)果界面中就可以直觀看到有沒(méi)有惡意用戶在悄悄偷窺本地共享資源了，其中惡意用戶所用計(jì)算機(jī)的IP地址，會(huì)動(dòng)態(tài)列寫(xiě)在“遠(yuǎn)程”位置處。如果想切斷惡意用戶所創(chuàng)建的共享連接時(shí)，不妨在MS-DOS工作窗口中，輸入“net use ComputerIPC$/del”命令即可，這里的“Computer”就是惡意用戶所用計(jì)算機(jī)IP地址。

如果有人悄悄通過(guò)遠(yuǎn)程桌面程序登錄進(jìn)入本地系統(tǒng)，這就表示本地計(jì)算機(jī)多半被惡意用戶入侵了。而遠(yuǎn)程登錄操作一般要用到某個(gè)用戶賬戶，我們不妨認(rèn)真查看本地計(jì)算機(jī)系統(tǒng)，看是否有陌生用戶賬號(hào)名稱(chēng)，如果有的話那就能確認(rèn)遠(yuǎn)程入侵事實(shí)了。在查看是否有陌生用戶賬號(hào)時(shí)，可以先打開(kāi)計(jì)算機(jī)管理窗口，將鼠標(biāo)定位到該窗口左側(cè)列表中的“系統(tǒng)工具”、“本地用戶和組”、“用戶”分支上，在指定分支下就可以直觀看到本地計(jì)算機(jī)中的所有用戶賬號(hào)，包括各種隱藏賬號(hào)，要是發(fā)現(xiàn)有陌生賬號(hào)名稱(chēng)時(shí)，可以打開(kāi)它的右鍵菜單，點(diǎn)擊“刪除”命令，將其從計(jì)算機(jī)中剔除出去。

找出惡意安裝軟件

一些人常常通過(guò)局域網(wǎng)，遠(yuǎn)程安裝某些軟件到特定計(jì)算機(jī)系統(tǒng)中，以達(dá)到特殊測(cè)試目的，這種安裝操作很容易影響系統(tǒng)運(yùn)行穩(wěn)定或安全。為了避免這種現(xiàn)象，我們需要及時(shí)找出惡意軟件的安裝操作，以便對(duì)它們進(jìn)行有效攔截。要達(dá)到這個(gè)目的，可以使用“Stop Installation Tool”這款工具，來(lái)自動(dòng)監(jiān)控各種未知軟件的安裝動(dòng)作。

開(kāi) 啟“Stop Installation Tool”工具的運(yùn)行狀態(tài)，展開(kāi)如圖5所示界面功能按鈕列表，點(diǎn)擊“Program Options”按鈕，按下對(duì)應(yīng)設(shè)置區(qū)域中的“Password”按鈕，定義好特定程序的關(guān)閉或激活密碼。默認(rèn)狀態(tài)下，“Stop Installation Tool”要是監(jiān)控到本地系統(tǒng)中有軟件安裝操作時(shí)，會(huì)及時(shí)彈出攔截提示框，只有正確輸入管理密碼，才能繼續(xù)完成軟件安裝任務(wù)。要是不想讓人知道存在人為監(jiān)控行為時(shí)，不妨在程序選項(xiàng)設(shè)置框中，取消選 中“Show the password window to allow software installation”，這樣當(dāng)監(jiān)控到軟件安裝操作時(shí)，軟件安裝操作會(huì)被強(qiáng)制停止，系統(tǒng)不會(huì)出現(xiàn)任何提示。

“Stop Installation Tool”工具默認(rèn)能夠成功攔截一些軟件安裝操作，主要是它事先設(shè)置了合適的安全監(jiān)控規(guī)則。要讓其監(jiān)控?cái)r截特殊軟件安裝操作時(shí)，一定要調(diào)整文件類(lèi)型參數(shù)。在主界面中按下“File Masks”按鈕，切換到“Disabled Files”標(biāo)簽設(shè)置頁(yè)面，按下“Add”按鈕，展開(kāi)文件類(lèi)型添加框，輸入特定格式的文件類(lèi)型名稱(chēng)和描述內(nèi)容即可。

返回主程序界面，點(diǎn)擊“Users Control”按鈕，彈出“PC Users”列表，單擊“Add”或“Remove”按鈕，添加或刪除特定的用戶賬號(hào)，選中“All PC users”選項(xiàng)，讓上述配置操作適合本地系統(tǒng)中的所有用戶適用。要是只選中“Only for users in the list”選項(xiàng)，那么上述安全規(guī)則僅對(duì)列表中的用戶賬號(hào)適用，要是選中“For all except in the list”選項(xiàng)，那安全規(guī)則僅適用于列表之外的用戶賬號(hào)。