引言：現(xiàn)在不管處于外網(wǎng)環(huán)境還是內(nèi)網(wǎng)環(huán)境下，病毒木馬程序都是隨處可見，各種操作安全事故層出不窮。為了在第一時間發(fā)現(xiàn)各類操作中的安全隱患，可以充分利用Windows系統(tǒng)自身功能，配合一些具有自動監(jiān)控功能的專業(yè)工具，實現(xiàn)對重要操作的安全狀態(tài)全追蹤！

現(xiàn)在不管處于外網(wǎng)環(huán)境還是內(nèi)網(wǎng)環(huán)境下，病毒木馬程序都是隨處可見，各種操作安全事故層出不窮。為了在第一時間發(fā)現(xiàn)各類操作中的安全隱患，相信很多管理人員恨不得坐在電腦旁邊，對每類操作進(jìn)行全程追蹤監(jiān)控。但人的精力往往有限，不可能一天24小時候都在工作，該怎么辦才好呢？幸運的是，可以充分利用Windows系統(tǒng)自身功能，配合一些具有自動監(jiān)控功能的專業(yè)工具，實現(xiàn)對重要操作的安全狀態(tài)全追蹤！

對輸入操作全追蹤

圖1“鍵盤記錄截圖”主程序窗口

在多人共用一臺計算機上網(wǎng)的環(huán)境中，有時要對特定用戶的鍵盤鼠標(biāo)輸入操作進(jìn)行追蹤，以判斷其是否對本地計算機進(jìn)行了有威脅操作。如果以人工方式追蹤鍵盤鼠標(biāo)輸入操作，既不禮貌又不現(xiàn)實，現(xiàn)在通過“鍵盤記錄截圖”外力工具可以輕松地全程追蹤鍵盤鼠標(biāo)輸入內(nèi)容，并能選擇隨時對當(dāng)前輸入狀態(tài)進(jìn)行屏幕截圖，而且它躲在系統(tǒng)后臺運行，不容易被人察覺。如果本地系統(tǒng)存儲空間非常大，可以選擇同時存儲若干張圖片，來記錄更多的輸入狀態(tài)。在使用注冊版的情況下，善于使用自動追蹤截屏，可以提高追蹤效率。

啟動運行“鍵盤記錄截圖”程序后，出現(xiàn)一個提示框，單擊“確定”按鈕后該程序會自動退回到系統(tǒng)后臺運行，從系統(tǒng)任務(wù)欄或托盤區(qū)域處，都不能發(fā)現(xiàn)該程序的“影子”，這種隱藏屬性能有效避免他人任意關(guān)閉該工具的自動追蹤功能，確保全程追蹤不受影響。當(dāng)自己想使用該軟件時，只要按下組合鍵“Ctrl+Alt+右光標(biāo)鍵”，進(jìn)入如圖1所示的主程序窗口即可看到正在進(jìn)行的鍵盤鼠標(biāo)輸入操作。

對于追蹤監(jiān)控到的輸入內(nèi)容，該軟件會將其自動保存到txt類型文本文件中，打開“C:Record”文件夾窗口，可以找到該追蹤結(jié)果文件。對于追蹤到的屏幕內(nèi)容，該程序會在默認(rèn)狀態(tài)下存儲為jpg類型圖像文件，這種類型文件也能從“C:Record”文件夾窗口中找到。要是當(dāng)前正在使用自動追蹤功能進(jìn)行抓圖操作，不妨打開該工具的設(shè)置對話框，按需設(shè)置好圖像抓取間隔時間。如果擔(dān)心追蹤結(jié)果存儲在系統(tǒng)分區(qū)中不安全時，不妨在“鍵盤記錄截圖”主程序窗口，單擊右上角位置處的“更改目錄”按鈕，展開文件夾存儲對話框，設(shè)置好新的存儲路徑即可。

對登錄操作全追蹤

與別人共用計算機時，有時想知道在自己臨時離開計算機的那一段時間，是否有其他人悄悄登錄過計算機系統(tǒng)，要達(dá)到如此追蹤目的該如何進(jìn)行呢？實際上操作相當(dāng)簡單，只要通過Windows系統(tǒng)內(nèi)置的登錄監(jiān)控功能，就能輕松追蹤到用戶登錄計算機的狀態(tài)信息，追蹤到的結(jié)果會自動出現(xiàn)在下次成功登錄系統(tǒng)時的桌面上，這樣哪些人偷偷使用過計算機，就能一目了然了。

在進(jìn)行該追蹤操作時，先依次單擊“開始”、“運行”命令，展開系統(tǒng)運行對話框，輸 入“gpedit.msc”命令并回車，開啟系統(tǒng)組策略編輯器運行狀態(tài)。在該編輯界面左側(cè)列表窗格中，將鼠標(biāo)定位到“本地計算機策略”、“計算機配置”、“管理模 板”、“Windows組 件”、“Windows登錄選項”節(jié)點上，找到指定節(jié)點下面的“在用戶登錄期間顯示有關(guān)以前登錄的信息”組策略選項，并用鼠標(biāo)雙擊，展開如圖2所示的組策略屬性對話框。

圖2 組策略屬性

在默認(rèn)狀態(tài)下，可以看到登錄操作追蹤功能并沒有被選啟用，這個時候，只要立即選中“已啟動”選項，“確認(rèn)”后退出設(shè)置對話框，這樣共用計算機就具有追蹤登錄安全的功能了。當(dāng)有人趁用戶不在計算機現(xiàn)場，悄悄用其他賬號登錄系統(tǒng)時，那么這個登錄操作就會被Windows系統(tǒng)自動追蹤保存下來。下次，重新登錄計算機系統(tǒng)時，詳細(xì)的追蹤結(jié)果就能直觀地顯示在自己眼前了，這里面的內(nèi)容包括詳細(xì)的登錄賬號名稱、具體的登錄時間等。根據(jù)這些內(nèi)容，用戶就能基本判斷出是否有人偷用過計算機了。

對設(shè)備狀態(tài)全追蹤

Web服務(wù)器是局域網(wǎng)中的重要主機系統(tǒng)，它包含的各設(shè)備運行狀態(tài)，直接影響著系統(tǒng)安全性和穩(wěn)定性，例如，服務(wù)器的風(fēng)扇運行狀態(tài)、硬盤讀寫狀態(tài)、CPU使用狀態(tài)等，都與服務(wù)器安全和穩(wěn)定息息相關(guān)，所以有必要對這些設(shè)備狀態(tài)進(jìn)行全追蹤，以便可以及時排除服務(wù)器各種潛在安全隱患。不過，每次到服務(wù)器現(xiàn)場追蹤設(shè)備狀態(tài)，肯定是不現(xiàn)實的，特別是在服務(wù)器數(shù)量很多的情況下，更是不可能的。為了提高追蹤效率，可以通過“HWMonitor Pro”外力工具，對局域網(wǎng)中的特定服務(wù)器各設(shè)備狀態(tài)進(jìn)行遠(yuǎn)程追蹤！既可以追蹤到服務(wù)器系統(tǒng)的風(fēng)扇運行情況、硬盤讀寫速度、CPU使用率，又能追蹤到CPU工作電壓、內(nèi)存工作電壓，根據(jù)這些追蹤結(jié)果，就可以提前判斷出服務(wù)器系統(tǒng)的安全穩(wěn)定性怎樣，倘若追蹤到指標(biāo)不符合要求時，應(yīng)該果斷采取有效措施，確保服務(wù)器系統(tǒng)一直安全穩(wěn)定工作。

在遠(yuǎn)程追蹤服務(wù)器系統(tǒng)狀態(tài)時，先要正確配置好“HWMonitor Pro”程序參數(shù)。因為遠(yuǎn)程追蹤連接默認(rèn)會使用到服務(wù)器的25021端口，而防火墻默認(rèn)會攔截來自該端口的數(shù)據(jù)，為了防止出現(xiàn)該現(xiàn)象，一定要讓防火墻放行25021端口數(shù)據(jù)。依次單擊“開始”、“設(shè)置”、“控制面板”命令，在控制面板窗口中雙擊“Windows防火墻”圖標(biāo)，展開Windows防火墻基本配置界面，點選“例外”標(biāo)簽，單擊對應(yīng)標(biāo)簽頁面中的“添加端口”按鈕，輸入25021號碼，同時任意指定一個端口名稱，并勾選“TCP/IP”選項，確認(rèn)后退出設(shè)置。同樣地還要開啟服務(wù)器系統(tǒng)的25021端口，確保服務(wù)器系統(tǒng)能正常接受遠(yuǎn)程追蹤請求。

圖3“HWMonitor Pro”主操作窗口

之 后 將“HWMonitor Pro”下載安裝到服務(wù)器系統(tǒng)中，并開啟它的運行狀態(tài)，展開如圖3所示的主操作窗口，逐一點擊“Network”、“Listening mode” 命 令，強制服務(wù)器系統(tǒng)處于追蹤偵聽模式，該模式下服務(wù)器可以正常接受到來自用戶的遠(yuǎn)程追蹤連接申請。為了改善操作效率，可以讓“HWMonitor Pro”工具工作在自動追蹤偵聽模式，只要在主操作窗口中依次點擊“Tools”、“Option”選 項，選中其后界面中的“Enter in listening mode at startup”選項，同時將傳輸遠(yuǎn)程數(shù)據(jù)間隔時間設(shè)置為“10”秒鐘，確認(rèn)后退出設(shè)置界面。

日后，在局域網(wǎng)的其他計算機系統(tǒng)中，遠(yuǎn)程追蹤服務(wù)器設(shè)備狀態(tài)時，也要先將“HWMonitor Pro” 程 序下載安裝到客戶機中，在程序主操作窗口中逐一點選“Network”、“Connect”、“IP address”命令，彈出服務(wù)器系統(tǒng)IP地址輸入文本框，正確輸入服務(wù)器系統(tǒng)的IP地址，單擊“Connect”按鈕，開始與服務(wù)器系統(tǒng)建立遠(yuǎn)程追蹤連接。當(dāng)遠(yuǎn)程追蹤連接成功創(chuàng)建后，服務(wù)器系統(tǒng)各設(shè)備的狀態(tài)信息就能直觀顯示在追蹤程序窗口中了，在這里可以一目了然地查看到服務(wù)器各設(shè)備狀態(tài)信息，包括風(fēng)扇轉(zhuǎn)速、顯卡溫度、硬盤溫度、CPU電壓、主板南北橋溫度、內(nèi)存電壓等設(shè)備狀態(tài)信息。

如果希望將遠(yuǎn)程追蹤到的狀態(tài)信息記錄保存下來，可以嘗試啟動“HWMonitor Pro”工具的智能圖表記錄功能，在主操作窗口中，逐一單擊“Tools”、“Option”、“Start Recording”命令。

對共享操作全追蹤

為了達(dá)到偷偷查看他人隱私信息的目的，惡意程序常常會悄悄在終端系統(tǒng)中，生成隱藏共享文件夾，并利用該特殊文件夾來追蹤查看本地終端系統(tǒng)隱私。如果希望避免這種安全隱患，應(yīng)該及時了解到本地終端系統(tǒng)中共享文件夾的狀態(tài)變化信息，那怎樣才能實現(xiàn)這個目的呢？很簡單，只要巧妙利用Windows系統(tǒng)自帶的“Net share”命令，導(dǎo)出系統(tǒng)發(fā)生異常現(xiàn)象前后的共享列表內(nèi)容，同時比較分析這兩個導(dǎo)出文件，就能識別出哪些共享文件夾是新生成的，哪些共享文件夾已被惡意程序偷偷刪除了。對于新生成的陌生共享文件夾，必須在第一時間打開對應(yīng)文件夾窗口，檢查其中的文件是否值得懷疑，如認(rèn)為可疑時，必須立即刪除它們，避免惡意程序不能利用該共享文件夾來泄露本地終端系統(tǒng)隱私。下面是詳細(xì)的追蹤操作步驟：

首先在本地終端正常運行時，依次單擊“開始”、“運行”命令，彈出系統(tǒng)運行文本框，輸入“cmd”命令并回車，切換到MS-DOS命令行狀態(tài)；在該狀態(tài)下輸入字符串命令“net share > G:xxx.txt”，Windows系統(tǒng)會自動將對應(yīng)狀態(tài)下所有共享文件夾名稱全部列寫出來，同時將其存儲到“G:xxx.txt”文本文件中，打開這個文件編輯窗口時，可以一目了然地看到有哪些文件夾正處于共享狀態(tài)。

圖4“找不到相異處”提示

之后，過一段時間在本地終端的MS-DOS窗口中輸入一次字符串命令“net share > G:yyy.txt”，將發(fā)生變化的共享文件夾名稱信息導(dǎo)出存儲到“G:yyy.txt”文本文件中，這時如惡意程序悄悄在本地終端中生成了新的隱藏共享文件夾，該文件夾名稱也會顯示在“G:yyy.txt”文本文件中。

接著需要對先前生成的兩個文件進(jìn)行比較分析，以找出它們的異同之處。在進(jìn)行比較分析操作時，只要輸入字符串命令“fc G:xxx.txt G:yyy.txt”，要是惡意程序沒有在本地終端計算機中生成隱藏共享文件夾，那么結(jié)果會出現(xiàn)如圖4所示的“找不到相異處”提示內(nèi)容。反之，如果惡意程序已經(jīng)悄悄生成了隱藏共享文件夾時，那么從比較分析結(jié)果中，我們就能知道哪些共享文件夾是新生成的。

當(dāng)然，如果想對共享文件夾安全變化狀態(tài)進(jìn)行全追蹤，也可打開記事本程序窗口，在其中輸入如下命令代碼：

逐一點選文本編輯窗口中的“文件”、“保存”命令，將如上命令代碼保存為“G:auto.bat”文件，并將該文件快捷圖標(biāo)直接放置到“啟動”開始菜單中，這樣Windows系統(tǒng)每次結(jié)束登錄操作后，都會智能調(diào)用批處理文件“G:auto.bat”，來對本地終端計算機中的共享文件夾安全變化狀態(tài)進(jìn)行追蹤。

一旦使用上面的方法追蹤到計算機中有新共享文件夾創(chuàng)建時，我們應(yīng)該立即打開該共享文件夾，查看其中的數(shù)據(jù)信息是否存在安全隱患，如果看到其有可疑跡象時，必須及時將新共享文件夾刪除掉，以防止本地計算機繼續(xù)受到安全威脅。