別給惡意分子“出手”機會

找出惡意快捷方式

大家知道，快捷方式往往都是要指向某個應用程序、數據文件或特定網站地址的，而一些惡意程序為了達到遮人耳目的目的，常常會通過快捷方式的快速訪問特性，將用戶頻繁訪問的目標悄悄替換為自身。不過，從表面上看，普通用戶根本不會看出其中的端倪。

考慮到這種情況，我們應該認真檢查常用快捷方式所指向的網站地址或應用程序，以判斷它們是否安全可信，如果它們指向陌生的程序或站點，那基本就能斷定該快捷方式為惡意快捷方式。在進行這種檢查操作時，可以用鼠標右鍵單擊目標快捷方式，點擊快捷菜單中的“屬性”命令，彈出如圖1所示的屬性對話框，在“目標”文本框中就能直觀看出當前快捷方式究竟指向哪里了。如果確認其為惡意快捷方式時，應該及時打開它的右鍵菜單，點擊“刪除”命令，將其從計算機系統中刪除出去。

圖1 屬性對話框

圖2 處于運行狀態(tài)的進程名稱

如果嫌手工尋找惡意快捷方式比較麻煩時，也可以借助360安全衛(wèi)士等專業(yè)工具，對本地系統進行全面、徹底地掃描，這樣能夠快速高效地將存在問題的惡意快捷方式挖掘出來，并能夠自動刪除它們，避免它們威脅計算機系統安全。

找出惡意攻擊程序

在沒有對系統進行任何操作的情況下，Windows系統突然運行異常，這就意味著本地系統可能正遭遇惡意程序攻擊。那在手頭沒有專業(yè)安全工具可以利用的情況下，我們該如何找出惡意攻擊程序呢？

首先，依次單擊“開始”、“運行”命令，彈出系統運行對話框，在其中執(zhí)行“cmd”命令，切換到MS-DOS工作窗口，在該窗口命令提示符下，輸入“tasklist”命令，返回所有處于運行狀態(tài)的進程名稱（如圖2所示），記下陌生進程對應的PID號，繼續(xù)輸入字符串命令“netstat-ano findstr xxx”（其中的“xxx”為當前運行進程對應的PID號），將特定進程所使用的網絡端口號碼顯示出來，看看該網絡端口是否為自己所熟悉的端口，如果該端口為病毒、木馬經常使用的端口，那該進程對應的應用程序為惡意程序。

然后，從官方站點下載“tlist.exe”實用工具，也可以從Windows系統安裝光盤的“Support/Tools/”位置處，借助專業(yè)工具釋放“support.cab”文件包來找到該文件，之后在DOS命令行窗口中，執(zhí)行字符串命令“tlist.exe xxx”，將與特定PID號進程相關的程序所在的文件夾以及調用的具體文件顯示出來，根據這些內容就能判斷出調用陌生進程的應用程序是什么了。當看到這個程序不是我們自己運行的話，那它多半是一個惡意程序，這個時候可以使用“taskkill.exe xxx ”命令，將其對應的惡意進程關閉掉，以防止惡意程序繼續(xù)威脅本地系統的安全。

找出惡意替換文件

圖3 登錄進入主程序界面

目前，QQ盜號現象十分嚴重，之所以頻繁發(fā)生這種現象，主要是盜號程序想方設法劫持正常程序，以達到悄悄隱藏同時自動運行目的，具體地說就是盜號程序通過向特定文件夾添加或修改惡意文件，實現自動激活同時隱藏自身的效果。那么如何才能將存儲在特定文件夾中的惡意文件尋找出來，并立即刪除它們呢？在外力工具“文件異常監(jiān)測器”的幫助下，我們可以十分方便地揪出潛藏在本地系統特定文件夾中的惡意文件，因為該程序能批量掃描到指定文件夾中的每個文件，所有被修改、被替換、新創(chuàng)建甚至被刪除的數據文件，它都能探測掃描到。

啟動運行“文件異常監(jiān)測器”程序，通過正確注冊操作獲得合法的登錄賬號，并通過該賬號成功登錄進入主程序界面（如圖3所示）。接著，單擊“添加項目”按鈕，切換到文件夾添加對話框，從中導入聊天程序對應的安裝文件夾，或添加其他要掃描的特定文件夾，按“保存數據”按鈕結束導入操作。這樣，“文件異常監(jiān)測器”程序將會保存記憶所有數據文件的狀態(tài)信息。日后，當認為某個文件夾可能被惡意程序植入惡意文件時，不妨按“載入數據”按鈕，再點擊“開始驗證”按鈕，過一段時間后，各種被編輯的、新增加的甚至已刪除的數據文件，都會被探測顯示在主程序界面中，如此一來，惡意文件自然就“顯山露水”了。當確認某個數據文件為惡意文件時，可以按照常規(guī)操作，立即將它們從計算機系統中清除出去。

找出惡意用戶賬號

很多人在關閉計算機時，都有可能遇到過“有其他用戶登錄到這臺計算機”這樣的系統提示，這種提示肯定會讓人感到緊張，會不會是本地計算機被人惡意攻擊了，或者是有人正在悄悄偷窺本地計算機中的隱私內容呢？如何才能找出這個潛藏的惡意用戶呢？

正常情況下，碰到這類提示，很可能是用戶在關閉計算機系統的時候，有用戶正通過局域網進行共享訪問操作，或其他人正遠程登錄連接本地系統。當然，也可能是用戶自己沒有及時將以前登錄的用戶賬號注銷掉。對于后面一種原因，往往可以一目了然地看出來。如果自己的計算機位于局域網環(huán)境中，那么前面的幾種因素出現的可能性就比較大了。

在局域網工作環(huán)境中，最讓人擔心的是有不法分子悄悄訪問網絡中的重要共享數據，那么該如何快速找到偷窺共享數據的惡意用戶呢？找到后又該怎樣禁止它們繼續(xù)惡意共享訪問呢？要找到隱藏起來的惡意用戶，不妨先右擊系統桌面上的“計算機”圖標，點擊快捷菜單中的“管理”命令，展開計算機管理窗口。依次展開該管理窗口左側列表中的“系統工具”、“共享文件夾”、“會話”分支（如圖4所示），在指定分支下所有正訪問共享數據的用戶賬號都會被列寫出來。如果發(fā)現某個用戶名稱自己不熟悉，那它多半是惡意用戶，為了防止它威脅系統安全，應該用鼠標右擊對應賬號的共享會話，單擊快捷菜單中的“關閉會話”命令，切斷惡意會話連接。

圖4 依次展開左側列表各分支

圖5 界面功能按鈕列表

此外，考慮到安全方面的原因，建議大家還要依次展開“系統工具”、“共享文件夾”、“打開文件”分支，找到指定分支下被惡意用戶打開的文件，同時用鼠標右鍵單擊該文件，單擊快捷菜單中的“將打開的文件關閉”命令，關閉惡意用戶正訪問的數據文件。對于DOS命令十分熟悉的用戶來說，也可以先進入系統運行文本框，輸入“cmd”命令并回車，彈出MS-DOS工作窗口，在其中執(zhí)行“net use”命令，從命令結果界面中就可以直觀看到有沒有惡意用戶在悄悄偷窺本地共享資源了，其中惡意用戶所用計算機的IP地址，會動態(tài)列寫在“遠程”位置處。如果想切斷惡意用戶所創(chuàng)建的共享連接時，不妨在MS-DOS工作窗口中，輸入“net use ComputerIPC$/del”命令即可，這里的“Computer”就是惡意用戶所用計算機IP地址。

如果有人悄悄通過遠程桌面程序登錄進入本地系統，這就表示本地計算機多半被惡意用戶入侵了。而遠程登錄操作一般要用到某個用戶賬戶，我們不妨認真查看本地計算機系統，看是否有陌生用戶賬號名稱，如果有的話那就能確認遠程入侵事實了。在查看是否有陌生用戶賬號時，可以先打開計算機管理窗口，將鼠標定位到該窗口左側列表中的“系統工具”、“本地用戶和組”、“用戶”分支上，在指定分支下就可以直觀看到本地計算機中的所有用戶賬號，包括各種隱藏賬號，要是發(fā)現有陌生賬號名稱時，可以打開它的右鍵菜單，點擊“刪除”命令，將其從計算機中剔除出去。

找出惡意安裝軟件

一些人常常通過局域網，遠程安裝某些軟件到特定計算機系統中，以達到特殊測試目的，這種安裝操作很容易影響系統運行穩(wěn)定或安全。為了避免這種現象，我們需要及時找出惡意軟件的安裝操作，以便對它們進行有效攔截。要達到這個目的，可以使用“Stop Installation Tool”這款工具，來自動監(jiān)控各種未知軟件的安裝動作。

開 啟“Stop Installation Tool”工具的運行狀態(tài)，展開如圖5所示界面功能按鈕列表，點擊“Program Options”按鈕，按下對應設置區(qū)域中的“Password”按鈕，定義好特定程序的關閉或激活密碼。默認狀態(tài)下，“Stop Installation Tool”要是監(jiān)控到本地系統中有軟件安裝操作時，會及時彈出攔截提示框，只有正確輸入管理密碼，才能繼續(xù)完成軟件安裝任務。要是不想讓人知道存在人為監(jiān)控行為時，不妨在程序選項設置框中，取消選 中“Show the password window to allow software installation”，這樣當監(jiān)控到軟件安裝操作時，軟件安裝操作會被強制停止，系統不會出現任何提示。

“Stop Installation Tool”工具默認能夠成功攔截一些軟件安裝操作，主要是它事先設置了合適的安全監(jiān)控規(guī)則。要讓其監(jiān)控攔截特殊軟件安裝操作時，一定要調整文件類型參數。在主界面中按下“File Masks”按鈕，切換到“Disabled Files”標簽設置頁面，按下“Add”按鈕，展開文件類型添加框，輸入特定格式的文件類型名稱和描述內容即可。

返回主程序界面，點擊“Users Control”按鈕，彈出“PC Users”列表，單擊“Add”或“Remove”按鈕，添加或刪除特定的用戶賬號，選中“All PC users”選項，讓上述配置操作適合本地系統中的所有用戶適用。要是只選中“Only for users in the list”選項，那么上述安全規(guī)則僅對列表中的用戶賬號適用，要是選中“For all except in the list”選項，那安全規(guī)則僅適用于列表之外的用戶賬號。