如果身邊臥底總是環(huán)伺四周，形影相隨，那么無論我們多么小心謹(jǐn)慎，安全麻煩總是很難避免。同樣地，Windows系統(tǒng)中有時也會有這樣的“臥底”不請自來，為了給系統(tǒng)一個更強的安全能力，我們需要及時干掉潛藏的“臥底”！

干掉“臥底”程序

有意無意之中會發(fā)現(xiàn)Windows系統(tǒng)中存在一些陌生文件，當(dāng)嘗試刪除時，系統(tǒng)卻提示其處于鎖定狀態(tài)而不能被刪除。實際上，大多數(shù)陌生文件都是由系統(tǒng)中的“臥底”惡意程序鎖定的，我們要想找到“臥底”程序，可以請“LockHunter”這款工具幫忙。

安裝好“LockHunter”工具后，會看到系統(tǒng)的右鍵菜單中，自動多出了“What is locking this file”命令 選項。當(dāng)在平時操作中，發(fā)現(xiàn)某個可疑文件無法被拷貝、重命名或刪除時，不妨打開目標(biāo)文件的右鍵菜單中，執(zhí)行“What is locking this file”命令選項，在其后出現(xiàn)的設(shè)置界面中，就能找到鎖定當(dāng)前文件的惡意“臥底”程序了。

發(fā)現(xiàn)“臥底”程序后，我們就能對癥下藥了。如想立即對當(dāng)前鎖定文件執(zhí)行解鎖操作時，只要在對應(yīng)設(shè)置界面中，按下“Unlock it”按鈕即可。工作中，文件鎖定操作常會出現(xiàn)在不同環(huán)境下，每種環(huán)境對被鎖文件處理方法也不同。點擊“Other”項，“LockHunter”工具提供了五種應(yīng)對方法：若執(zhí)行文件重命名操作時發(fā)現(xiàn)鎖定了狀 態(tài)，選“Unlock&Rename”命令，就能對目標(biāo)文件進行解鎖并重命名了；倘若是惡意“臥底”程序鎖定了目標(biāo)文件，只要單擊“Delete Locking Processes From Disk”命令，可將“臥底”惡意程序清除了。若在拷貝文件時發(fā)現(xiàn)文件被鎖不能復(fù)制，可點 選“Unlock&Copy”命令，取消目標(biāo)文件的鎖定狀態(tài)并自動進行文件復(fù)制操作。還有些特殊文件可能會被若干系統(tǒng)進程同時鎖定，這時可考慮選用“Terminate Locking Processes”命令，強制終止所有鎖定目標(biāo)文件的系統(tǒng)進程，同時取消目標(biāo)文件的鎖定狀態(tài)。

干掉“臥底”帳號

一些惡意程序為達到偷偷攻擊目的，經(jīng)常會在被攻擊主機系統(tǒng)中生成“臥底”賬號，并將其訪問權(quán)限提升為超級用戶權(quán)限，以便日后進行攻擊活動。

“臥底”惡意帳號具有系統(tǒng)管理員級別的權(quán)限，一般都屬“administrators”用戶組，不妨展開MS-DOS命令行窗口，輸入“net localgroup administrators”命令，可看到所有系統(tǒng)管理員權(quán)限的用戶賬號。

當(dāng)然，有些狡猾的用戶賬號，既不能顯示在DOS命令行窗口中，又不能顯示在計算機管理窗口中，有時只能從系統(tǒng)安全日志中發(fā)現(xiàn)它們的“身影”。對于這類相當(dāng)狡猾的“臥底”帳號，只能在DOS命令行提示符下執(zhí)行“net user xxxx yyyy”命令，調(diào)整“臥底”賬號的密碼，讓其不能繼續(xù)生效。

此外，為能在第一時間發(fā)現(xiàn)“臥底”帳號，可按如下步驟加強對系統(tǒng)賬號的創(chuàng)建情況進行全程監(jiān)控。首先要對賬號創(chuàng)建操作啟用審核機制，默認(rèn)狀態(tài)下，Windows系統(tǒng)沒有啟用審核機制，逐一點選“開始”、“運行”命令，在彈出的系統(tǒng)運行框中輸入“secpol.msc”命令，依次跳轉(zhuǎn)到安全策略編輯對話框中的“安全設(shè)置”、“本地策略”、“審核策略”節(jié)點上，雙擊“審核賬戶管理”選項，展開選項設(shè)置框，勾選“成功”、“失敗”項，確認(rèn)后保存設(shè)置。

接著手工生成用戶賬號創(chuàng)建事件，單擊“開始”、“設(shè)置”、“控制面板”命令，雙擊系統(tǒng)控制面板窗口中的“用戶賬戶”圖標(biāo)，彈出用戶賬戶列表，右擊該界面的空白區(qū)域，右擊“新用戶”項，隨意生成一個用戶賬號名稱。切換到系統(tǒng)桌面中，右擊“計算機”圖標(biāo)，選“管理”項，依次跳轉(zhuǎn)到“系統(tǒng)工具”、“事件查看器”、“Windows 日志”、“系統(tǒng)”節(jié)點上，從指定節(jié)點下就可以快速找到之前的賬號生成記錄了。

下面為用戶賬號創(chuàng)建事件添加報警任務(wù)，達到全程監(jiān)控報警目的。選中之前生成的用戶賬號創(chuàng)建記錄選項，打開其右鍵菜單，單擊“附加任務(wù)到事件”命令，展開添加報警任務(wù)設(shè)置框，依照向?qū)υ捒虻奶崾?，先設(shè)置好報警任務(wù)名稱，同時定義好合適的報警提示方式，系統(tǒng)在默認(rèn)狀態(tài)下提供了三種報警方式，一是開啟某個應(yīng)用程序運行狀態(tài)，二是向某個用戶發(fā)送電子郵件，三是直接提示報警內(nèi)容。為了讓監(jiān)控效果更理想，我們不妨勾選彈出消息方式來達到全程監(jiān)控報警目的。在勾選了“顯示消息”報警選項后，再按照提示定義好報警消息，如可將報警提示消息設(shè)置為“全程監(jiān)控賬號創(chuàng)建狀態(tài)，為安全起見，請及時審查”，最后按下“完成”按鈕，退出報警任務(wù)添加設(shè)置框。

干掉“臥底”進程

在對局域網(wǎng)重要主機中特定資源執(zhí)行刪除、打開或移動操作時，有時會遇到“文件正在被另一個人或程序使用”這樣的提示信息，多半是當(dāng)前正在訪問的資源被其他一些“臥底”占用。要是資源悄悄被病毒木馬之類的“臥底”進程非法訪問占用的話，就會十分危險了。

因為與病毒木馬有關(guān)的“臥底”進程常常處于自動隱藏狀態(tài)，通過Windows系統(tǒng)內(nèi)置的任務(wù)管理器程序，有時無法直接發(fā)現(xiàn)。所以可通過“OpenedFilesView”外力工具，來快速了解到哪個“臥底”進程悄悄占用了特定資源，弄清楚這些“臥底”進程究竟有沒有安全威脅。

將“OpenedFilesView”工具下載安裝到本地系統(tǒng)，同時啟動運行它，展開主操作窗口，在這里我們能很詳細地看到與所有被訪問資源相關(guān)聯(lián)的進程名稱。為搞清楚特定資源內(nèi)容究竟被哪一個“臥底”進程占用，我們可以用鼠標(biāo)右擊特定資源名稱，從彈出右鍵菜單中點選“屬性”命令，在其后出現(xiàn)的設(shè)置對話框中，就可以很直觀地看到占用資源的詳細進程名稱和路徑內(nèi)容了。

找到“臥底”進程后，在關(guān)閉“臥底”進程時，先在特定資源文件名稱上，點選右鍵菜單中的“結(jié)束選定文件占用的進程”命令即可。不過，要提醒的是，強制關(guān)閉一些特殊的系統(tǒng)進程時，或許會造成計算機運行不穩(wěn)定。

如不想通過外力工具干掉“臥底”惡意進程時，也能通過Windows 7系統(tǒng)“資源監(jiān)視器”程序，來找到“臥底”進程，具體步驟為：首先打開Windows 7系統(tǒng)的“開始”菜單，在彈出的搜索對話框中輸入“資源監(jiān)視器”，同時開啟該程序運行狀態(tài)，進入資源管理器窗口，點選“CPU”標(biāo)簽，在選項設(shè)置頁面中展開“關(guān)聯(lián)的句柄”列表區(qū)域，接著在搜索對話框中輸入被占用的資源名稱，此時就能快速看到特定資源內(nèi)容究竟是被哪些“臥底”進程所占用了，最后強行關(guān)閉這些“臥底”進程即可。

干掉“臥底”連接

為了偷窺局域網(wǎng)重要共享資源，一些非法用戶有時會與共享主機悄悄建立“臥底”連接。為切斷“臥底”共享連接，我們只要單擊“開始”、“運行”命令，打開DOS命令行窗口，執(zhí)行“net use”命令，從返回的結(jié)果信息中，可以從“遠程”欄中詳細了解到究竟是哪一臺計算機，在與本地系統(tǒng)建立“臥底”共享連接，記憶下它的IP地址，以便將其連接關(guān)閉掉。

例如，某終端計算機IP地 址 為“10.176.160.120”，在關(guān)閉來自該計算機的特定“臥底”共享連接時，只要在命令行狀態(tài)下輸入字符串命令“net use\10.176.160.120Share /del”即可，這里的“Share”表示具體的共享名稱。要是創(chuàng)建的“臥底”共享連接數(shù)量很多，也可以集中關(guān)閉它們，只要執(zhí)行字符串命令“net use * /del”即可。

當(dāng)然，若我們認(rèn)為通過“net use”命令操作效率不高時，也能打開計算機管理窗口，來快速查看“臥底”連接。只要用鼠標(biāo)右擊系統(tǒng)桌面中的“計算機”圖標(biāo)，右擊“管理”命令，展開計算機管理窗口，依次跳轉(zhuǎn)到左側(cè)列表區(qū)域中的“系統(tǒng)工具”、“共享文件夾”、“會話”分支上。這時，在指定分支下就可以看到所有正在連接到本地系統(tǒng)的共享會話連接。選擇某個“臥底”共享連接，打開其右鍵菜單，點選“關(guān)閉會話”命令，就能干掉“臥底”連接。

此外，在無線連接網(wǎng)絡(luò)時也會受“臥底”連接干擾，此時不妨通過無線路由器內(nèi)置的訪問記錄表功能快速找到偷用無線網(wǎng)絡(luò)的“臥底”連接。首先以超級用戶登錄無線路由器后臺系統(tǒng)頁面，依次跳轉(zhuǎn)到“高級設(shè)置”、“網(wǎng)絡(luò)”、“局域網(wǎng)狀態(tài)”節(jié)點上，在目標(biāo)節(jié)點下分辨每個用戶賬號，如有陌生賬號存在，說明有“臥底”連接使用過無線網(wǎng)絡(luò)。之后逐一跳轉(zhuǎn)到“高級設(shè)置”、“無線”、“無線狀態(tài)”節(jié)點上，在目標(biāo)節(jié)點下根據(jù)MAC地址和對應(yīng)數(shù)據(jù)訪問流量，找到蹭用無線網(wǎng)絡(luò)的“臥底”連接。再跳轉(zhuǎn)到“基礎(chǔ)設(shè)置”、“無線”、“MAC 地址認(rèn)證”節(jié)點下，導(dǎo)入“臥底”連接的網(wǎng)卡MAC地址，同時勾選“拒絕已注冊的MAC地址”選項，確認(rèn)后保存設(shè)置。

干掉“臥底”病毒

一些狡猾的病毒木馬，為了達到“臥底”目的，常常會將自身悄悄潛藏到Windows系統(tǒng)服務(wù)中，直接創(chuàng)建新的系統(tǒng)服務(wù)，或替換、修改不常用的系統(tǒng)服務(wù)。正常來說，“臥底”病毒有一個明顯特性，就是其啟動類型往往都是“自動”，以便實現(xiàn)開機自動運行。要判斷本地系統(tǒng)是否有“臥底”病毒服務(wù)時，可以在系統(tǒng)運行框中輸入“services.msc” 命令，從彈出的系統(tǒng)服務(wù)列表中手動查看識別。很明顯，這種方法準(zhǔn)確性較差，而且操作效率也很低下。

而巧妙通過Windows系統(tǒng)自帶的“wmic”命令，可以快速地讓“臥底”病毒顯身。只要依次點擊“開 始”、“運 行”命令，進入DOS命令行窗口。在其中輸入“wmic service where creationclassname="win32_service" get caption,description,pathname >123.txt”字符串命令，將所有自啟動類型的系統(tǒng)服務(wù)導(dǎo)出保存到“123.txt”文本文件中，用記事本程序打開該文件時，能查明所有自啟動服務(wù)的描述內(nèi)容和調(diào)用程序路徑內(nèi)容。

當(dāng)感覺本地系統(tǒng)突然運行不正常時，繼續(xù)在DOS命令行窗口中執(zhí)行“wmic service where creationclassname="win32_service" get caption,description,pathname >456.txt”字符串命令，將系統(tǒng)在不正常狀態(tài)下的所有自啟動服務(wù)信息導(dǎo)出到“456.txt”文件中，再使用“fc 456.txt 123.txt”命令，比較分析系統(tǒng)服務(wù)變化情況，根據(jù)變化結(jié)果往往就能判斷病毒服務(wù)是否為“臥底”了。確認(rèn)“臥底”病毒存在后，進入調(diào)用程序路徑，刪除原始的“臥底”病毒文件即可。