引言：現(xiàn)在不管處于外網(wǎng)環(huán)境還是內(nèi)網(wǎng)環(huán)境下，病毒木馬程序都是隨處可見，各種操作安全事故層出不窮。為了在第一時(shí)間發(fā)現(xiàn)各類操作中的安全隱患，可以充分利用Windows系統(tǒng)自身功能，配合一些具有自動(dòng)監(jiān)控功能的專業(yè)工具，實(shí)現(xiàn)對(duì)重要操作的安全狀態(tài)全追蹤！

現(xiàn)在不管處于外網(wǎng)環(huán)境還是內(nèi)網(wǎng)環(huán)境下，病毒木馬程序都是隨處可見，各種操作安全事故層出不窮。為了在第一時(shí)間發(fā)現(xiàn)各類操作中的安全隱患，相信很多管理人員恨不得坐在電腦旁邊，對(duì)每類操作進(jìn)行全程追蹤監(jiān)控。但人的精力往往有限，不可能一天24小時(shí)候都在工作，該怎么辦才好呢？幸運(yùn)的是，可以充分利用Windows系統(tǒng)自身功能，配合一些具有自動(dòng)監(jiān)控功能的專業(yè)工具，實(shí)現(xiàn)對(duì)重要操作的安全狀態(tài)全追蹤！

對(duì)輸入操作全追蹤

圖1“鍵盤記錄截圖”主程序窗口

在多人共用一臺(tái)計(jì)算機(jī)上網(wǎng)的環(huán)境中，有時(shí)要對(duì)特定用戶的鍵盤鼠標(biāo)輸入操作進(jìn)行追蹤，以判斷其是否對(duì)本地計(jì)算機(jī)進(jìn)行了有威脅操作。如果以人工方式追蹤鍵盤鼠標(biāo)輸入操作，既不禮貌又不現(xiàn)實(shí)，現(xiàn)在通過“鍵盤記錄截圖”外力工具可以輕松地全程追蹤鍵盤鼠標(biāo)輸入內(nèi)容，并能選擇隨時(shí)對(duì)當(dāng)前輸入狀態(tài)進(jìn)行屏幕截圖，而且它躲在系統(tǒng)后臺(tái)運(yùn)行，不容易被人察覺。如果本地系統(tǒng)存儲(chǔ)空間非常大，可以選擇同時(shí)存儲(chǔ)若干張圖片，來記錄更多的輸入狀態(tài)。在使用注冊(cè)版的情況下，善于使用自動(dòng)追蹤截屏，可以提高追蹤效率。

啟動(dòng)運(yùn)行“鍵盤記錄截圖”程序后，出現(xiàn)一個(gè)提示框，單擊“確定”按鈕后該程序會(huì)自動(dòng)退回到系統(tǒng)后臺(tái)運(yùn)行，從系統(tǒng)任務(wù)欄或托盤區(qū)域處，都不能發(fā)現(xiàn)該程序的“影子”，這種隱藏屬性能有效避免他人任意關(guān)閉該工具的自動(dòng)追蹤功能，確保全程追蹤不受影響。當(dāng)自己想使用該軟件時(shí)，只要按下組合鍵“Ctrl+Alt+右光標(biāo)鍵”，進(jìn)入如圖1所示的主程序窗口即可看到正在進(jìn)行的鍵盤鼠標(biāo)輸入操作。

對(duì)于追蹤監(jiān)控到的輸入內(nèi)容，該軟件會(huì)將其自動(dòng)保存到txt類型文本文件中，打開“C:Record”文件夾窗口，可以找到該追蹤結(jié)果文件。對(duì)于追蹤到的屏幕內(nèi)容，該程序會(huì)在默認(rèn)狀態(tài)下存儲(chǔ)為jpg類型圖像文件，這種類型文件也能從“C:Record”文件夾窗口中找到。要是當(dāng)前正在使用自動(dòng)追蹤功能進(jìn)行抓圖操作，不妨打開該工具的設(shè)置對(duì)話框，按需設(shè)置好圖像抓取間隔時(shí)間。如果擔(dān)心追蹤結(jié)果存儲(chǔ)在系統(tǒng)分區(qū)中不安全時(shí)，不妨在“鍵盤記錄截圖”主程序窗口，單擊右上角位置處的“更改目錄”按鈕，展開文件夾存儲(chǔ)對(duì)話框，設(shè)置好新的存儲(chǔ)路徑即可。

對(duì)登錄操作全追蹤

與別人共用計(jì)算機(jī)時(shí)，有時(shí)想知道在自己臨時(shí)離開計(jì)算機(jī)的那一段時(shí)間，是否有其他人悄悄登錄過計(jì)算機(jī)系統(tǒng)，要達(dá)到如此追蹤目的該如何進(jìn)行呢？實(shí)際上操作相當(dāng)簡(jiǎn)單，只要通過Windows系統(tǒng)內(nèi)置的登錄監(jiān)控功能，就能輕松追蹤到用戶登錄計(jì)算機(jī)的狀態(tài)信息，追蹤到的結(jié)果會(huì)自動(dòng)出現(xiàn)在下次成功登錄系統(tǒng)時(shí)的桌面上，這樣哪些人偷偷使用過計(jì)算機(jī)，就能一目了然了。

在進(jìn)行該追蹤操作時(shí)，先依次單擊“開始”、“運(yùn)行”命令，展開系統(tǒng)運(yùn)行對(duì)話框，輸 入“gpedit.msc”命令并回車，開啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。在該編輯界面左側(cè)列表窗格中，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“管理模 板”、“Windows組 件”、“Windows登錄選項(xiàng)”節(jié)點(diǎn)上，找到指定節(jié)點(diǎn)下面的“在用戶登錄期間顯示有關(guān)以前登錄的信息”組策略選項(xiàng)，并用鼠標(biāo)雙擊，展開如圖2所示的組策略屬性對(duì)話框。

圖2 組策略屬性

在默認(rèn)狀態(tài)下，可以看到登錄操作追蹤功能并沒有被選啟用，這個(gè)時(shí)候，只要立即選中“已啟動(dòng)”選項(xiàng)，“確認(rèn)”后退出設(shè)置對(duì)話框，這樣共用計(jì)算機(jī)就具有追蹤登錄安全的功能了。當(dāng)有人趁用戶不在計(jì)算機(jī)現(xiàn)場(chǎng)，悄悄用其他賬號(hào)登錄系統(tǒng)時(shí)，那么這個(gè)登錄操作就會(huì)被Windows系統(tǒng)自動(dòng)追蹤保存下來。下次，重新登錄計(jì)算機(jī)系統(tǒng)時(shí)，詳細(xì)的追蹤結(jié)果就能直觀地顯示在自己眼前了，這里面的內(nèi)容包括詳細(xì)的登錄賬號(hào)名稱、具體的登錄時(shí)間等。根據(jù)這些內(nèi)容，用戶就能基本判斷出是否有人偷用過計(jì)算機(jī)了。

對(duì)設(shè)備狀態(tài)全追蹤

Web服務(wù)器是局域網(wǎng)中的重要主機(jī)系統(tǒng)，它包含的各設(shè)備運(yùn)行狀態(tài)，直接影響著系統(tǒng)安全性和穩(wěn)定性，例如，服務(wù)器的風(fēng)扇運(yùn)行狀態(tài)、硬盤讀寫狀態(tài)、CPU使用狀態(tài)等，都與服務(wù)器安全和穩(wěn)定息息相關(guān)，所以有必要對(duì)這些設(shè)備狀態(tài)進(jìn)行全追蹤，以便可以及時(shí)排除服務(wù)器各種潛在安全隱患。不過，每次到服務(wù)器現(xiàn)場(chǎng)追蹤設(shè)備狀態(tài)，肯定是不現(xiàn)實(shí)的，特別是在服務(wù)器數(shù)量很多的情況下，更是不可能的。為了提高追蹤效率，可以通過“HWMonitor Pro”外力工具，對(duì)局域網(wǎng)中的特定服務(wù)器各設(shè)備狀態(tài)進(jìn)行遠(yuǎn)程追蹤！既可以追蹤到服務(wù)器系統(tǒng)的風(fēng)扇運(yùn)行情況、硬盤讀寫速度、CPU使用率，又能追蹤到CPU工作電壓、內(nèi)存工作電壓，根據(jù)這些追蹤結(jié)果，就可以提前判斷出服務(wù)器系統(tǒng)的安全穩(wěn)定性怎樣，倘若追蹤到指標(biāo)不符合要求時(shí)，應(yīng)該果斷采取有效措施，確保服務(wù)器系統(tǒng)一直安全穩(wěn)定工作。

在遠(yuǎn)程追蹤服務(wù)器系統(tǒng)狀態(tài)時(shí)，先要正確配置好“HWMonitor Pro”程序參數(shù)。因?yàn)檫h(yuǎn)程追蹤連接默認(rèn)會(huì)使用到服務(wù)器的25021端口，而防火墻默認(rèn)會(huì)攔截來自該端口的數(shù)據(jù)，為了防止出現(xiàn)該現(xiàn)象，一定要讓防火墻放行25021端口數(shù)據(jù)。依次單擊“開始”、“設(shè)置”、“控制面板”命令，在控制面板窗口中雙擊“Windows防火墻”圖標(biāo)，展開Windows防火墻基本配置界面，點(diǎn)選“例外”標(biāo)簽，單擊對(duì)應(yīng)標(biāo)簽頁面中的“添加端口”按鈕，輸入25021號(hào)碼，同時(shí)任意指定一個(gè)端口名稱，并勾選“TCP/IP”選項(xiàng)，確認(rèn)后退出設(shè)置。同樣地還要開啟服務(wù)器系統(tǒng)的25021端口，確保服務(wù)器系統(tǒng)能正常接受遠(yuǎn)程追蹤請(qǐng)求。

圖3“HWMonitor Pro”主操作窗口

之 后 將“HWMonitor Pro”下載安裝到服務(wù)器系統(tǒng)中，并開啟它的運(yùn)行狀態(tài)，展開如圖3所示的主操作窗口，逐一點(diǎn)擊“Network”、“Listening mode” 命 令，強(qiáng)制服務(wù)器系統(tǒng)處于追蹤偵聽模式，該模式下服務(wù)器可以正常接受到來自用戶的遠(yuǎn)程追蹤連接申請(qǐng)。為了改善操作效率，可以讓“HWMonitor Pro”工具工作在自動(dòng)追蹤偵聽模式，只要在主操作窗口中依次點(diǎn)擊“Tools”、“Option”選 項(xiàng)，選中其后界面中的“Enter in listening mode at startup”選項(xiàng)，同時(shí)將傳輸遠(yuǎn)程數(shù)據(jù)間隔時(shí)間設(shè)置為“10”秒鐘，確認(rèn)后退出設(shè)置界面。

日后，在局域網(wǎng)的其他計(jì)算機(jī)系統(tǒng)中，遠(yuǎn)程追蹤服務(wù)器設(shè)備狀態(tài)時(shí)，也要先將“HWMonitor Pro” 程 序下載安裝到客戶機(jī)中，在程序主操作窗口中逐一點(diǎn)選“Network”、“Connect”、“IP address”命令，彈出服務(wù)器系統(tǒng)IP地址輸入文本框，正確輸入服務(wù)器系統(tǒng)的IP地址，單擊“Connect”按鈕，開始與服務(wù)器系統(tǒng)建立遠(yuǎn)程追蹤連接。當(dāng)遠(yuǎn)程追蹤連接成功創(chuàng)建后，服務(wù)器系統(tǒng)各設(shè)備的狀態(tài)信息就能直觀顯示在追蹤程序窗口中了，在這里可以一目了然地查看到服務(wù)器各設(shè)備狀態(tài)信息，包括風(fēng)扇轉(zhuǎn)速、顯卡溫度、硬盤溫度、CPU電壓、主板南北橋溫度、內(nèi)存電壓等設(shè)備狀態(tài)信息。

如果希望將遠(yuǎn)程追蹤到的狀態(tài)信息記錄保存下來，可以嘗試啟動(dòng)“HWMonitor Pro”工具的智能圖表記錄功能，在主操作窗口中，逐一單擊“Tools”、“Option”、“Start Recording”命令。

對(duì)共享操作全追蹤

為了達(dá)到偷偷查看他人隱私信息的目的，惡意程序常常會(huì)悄悄在終端系統(tǒng)中，生成隱藏共享文件夾，并利用該特殊文件夾來追蹤查看本地終端系統(tǒng)隱私。如果希望避免這種安全隱患，應(yīng)該及時(shí)了解到本地終端系統(tǒng)中共享文件夾的狀態(tài)變化信息，那怎樣才能實(shí)現(xiàn)這個(gè)目的呢？很簡(jiǎn)單，只要巧妙利用Windows系統(tǒng)自帶的“Net share”命令，導(dǎo)出系統(tǒng)發(fā)生異常現(xiàn)象前后的共享列表內(nèi)容，同時(shí)比較分析這兩個(gè)導(dǎo)出文件，就能識(shí)別出哪些共享文件夾是新生成的，哪些共享文件夾已被惡意程序偷偷刪除了。對(duì)于新生成的陌生共享文件夾，必須在第一時(shí)間打開對(duì)應(yīng)文件夾窗口，檢查其中的文件是否值得懷疑，如認(rèn)為可疑時(shí)，必須立即刪除它們，避免惡意程序不能利用該共享文件夾來泄露本地終端系統(tǒng)隱私。下面是詳細(xì)的追蹤操作步驟：

首先在本地終端正常運(yùn)行時(shí)，依次單擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行文本框，輸入“cmd”命令并回車，切換到MS-DOS命令行狀態(tài)；在該狀態(tài)下輸入字符串命令“net share > G:xxx.txt”，Windows系統(tǒng)會(huì)自動(dòng)將對(duì)應(yīng)狀態(tài)下所有共享文件夾名稱全部列寫出來，同時(shí)將其存儲(chǔ)到“G:xxx.txt”文本文件中，打開這個(gè)文件編輯窗口時(shí)，可以一目了然地看到有哪些文件夾正處于共享狀態(tài)。

圖4“找不到相異處”提示

之后，過一段時(shí)間在本地終端的MS-DOS窗口中輸入一次字符串命令“net share > G:yyy.txt”，將發(fā)生變化的共享文件夾名稱信息導(dǎo)出存儲(chǔ)到“G:yyy.txt”文本文件中，這時(shí)如惡意程序悄悄在本地終端中生成了新的隱藏共享文件夾，該文件夾名稱也會(huì)顯示在“G:yyy.txt”文本文件中。

接著需要對(duì)先前生成的兩個(gè)文件進(jìn)行比較分析，以找出它們的異同之處。在進(jìn)行比較分析操作時(shí)，只要輸入字符串命令“fc G:xxx.txt G:yyy.txt”，要是惡意程序沒有在本地終端計(jì)算機(jī)中生成隱藏共享文件夾，那么結(jié)果會(huì)出現(xiàn)如圖4所示的“找不到相異處”提示內(nèi)容。反之，如果惡意程序已經(jīng)悄悄生成了隱藏共享文件夾時(shí)，那么從比較分析結(jié)果中，我們就能知道哪些共享文件夾是新生成的。

當(dāng)然，如果想對(duì)共享文件夾安全變化狀態(tài)進(jìn)行全追蹤，也可打開記事本程序窗口，在其中輸入如下命令代碼：

逐一點(diǎn)選文本編輯窗口中的“文件”、“保存”命令，將如上命令代碼保存為“G:auto.bat”文件，并將該文件快捷圖標(biāo)直接放置到“啟動(dòng)”開始菜單中，這樣Windows系統(tǒng)每次結(jié)束登錄操作后，都會(huì)智能調(diào)用批處理文件“G:auto.bat”，來對(duì)本地終端計(jì)算機(jī)中的共享文件夾安全變化狀態(tài)進(jìn)行追蹤。

一旦使用上面的方法追蹤到計(jì)算機(jī)中有新共享文件夾創(chuàng)建時(shí)，我們應(yīng)該立即打開該共享文件夾，查看其中的數(shù)據(jù)信息是否存在安全隱患，如果看到其有可疑跡象時(shí)，必須及時(shí)將新共享文件夾刪除掉，以防止本地計(jì)算機(jī)繼續(xù)受到安全威脅。