安全最重要，“臥底”需干掉

如果身邊臥底總是環伺四周，形影相隨，那么無論我們多么小心謹慎，安全麻煩總是很難避免。同樣地，Windows系統中有時也會有這樣的“臥底”不請自來，為了給系統一個更強的安全能力，我們需要及時干掉潛藏的“臥底”！

干掉“臥底”程序

有意無意之中會發現Windows系統中存在一些陌生文件，當嘗試刪除時，系統卻提示其處于鎖定狀態而不能被刪除。實際上，大多數陌生文件都是由系統中的“臥底”惡意程序鎖定的，我們要想找到“臥底”程序，可以請“LockHunter”這款工具幫忙。

安裝好“LockHunter”工具后，會看到系統的右鍵菜單中，自動多出了“What is locking this file”命令 選項。當在平時操作中，發現某個可疑文件無法被拷貝、重命名或刪除時，不妨打開目標文件的右鍵菜單中，執行“What is locking this file”命令選項，在其后出現的設置界面中，就能找到鎖定當前文件的惡意“臥底”程序了。

發現“臥底”程序后，我們就能對癥下藥了。如想立即對當前鎖定文件執行解鎖操作時，只要在對應設置界面中，按下“Unlock it”按鈕即可。工作中，文件鎖定操作常會出現在不同環境下，每種環境對被鎖文件處理方法也不同。點擊“Other”項，“LockHunter”工具提供了五種應對方法：若執行文件重命名操作時發現鎖定了狀 態，選“Unlock&Rename”命令，就能對目標文件進行解鎖并重命名了；倘若是惡意“臥底”程序鎖定了目標文件，只要單擊“Delete Locking Processes From Disk”命令，可將“臥底”惡意程序清除了。若在拷貝文件時發現文件被鎖不能復制，可點 選“Unlock&Copy”命令，取消目標文件的鎖定狀態并自動進行文件復制操作。還有些特殊文件可能會被若干系統進程同時鎖定，這時可考慮選用“Terminate Locking Processes”命令，強制終止所有鎖定目標文件的系統進程，同時取消目標文件的鎖定狀態。

干掉“臥底”帳號

一些惡意程序為達到偷偷攻擊目的，經常會在被攻擊主機系統中生成“臥底”賬號，并將其訪問權限提升為超級用戶權限，以便日后進行攻擊活動。

“臥底”惡意帳號具有系統管理員級別的權限，一般都屬“administrators”用戶組，不妨展開MS-DOS命令行窗口，輸入“net localgroup administrators”命令，可看到所有系統管理員權限的用戶賬號。

當然，有些狡猾的用戶賬號，既不能顯示在DOS命令行窗口中，又不能顯示在計算機管理窗口中，有時只能從系統安全日志中發現它們的“身影”。對于這類相當狡猾的“臥底”帳號，只能在DOS命令行提示符下執行“net user xxxx yyyy”命令，調整“臥底”賬號的密碼，讓其不能繼續生效。

此外，為能在第一時間發現“臥底”帳號，可按如下步驟加強對系統賬號的創建情況進行全程監控。首先要對賬號創建操作啟用審核機制，默認狀態下，Windows系統沒有啟用審核機制，逐一點選“開始”、“運行”命令，在彈出的系統運行框中輸入“secpol.msc”命令，依次跳轉到安全策略編輯對話框中的“安全設置”、“本地策略”、“審核策略”節點上，雙擊“審核賬戶管理”選項，展開選項設置框，勾選“成功”、“失敗”項，確認后保存設置。

接著手工生成用戶賬號創建事件，單擊“開始”、“設置”、“控制面板”命令，雙擊系統控制面板窗口中的“用戶賬戶”圖標，彈出用戶賬戶列表，右擊該界面的空白區域，右擊“新用戶”項，隨意生成一個用戶賬號名稱。切換到系統桌面中，右擊“計算機”圖標，選“管理”項，依次跳轉到“系統工具”、“事件查看器”、“Windows 日志”、“系統”節點上，從指定節點下就可以快速找到之前的賬號生成記錄了。

下面為用戶賬號創建事件添加報警任務，達到全程監控報警目的。選中之前生成的用戶賬號創建記錄選項，打開其右鍵菜單，單擊“附加任務到事件”命令，展開添加報警任務設置框，依照向導對話框的提示，先設置好報警任務名稱，同時定義好合適的報警提示方式，系統在默認狀態下提供了三種報警方式，一是開啟某個應用程序運行狀態，二是向某個用戶發送電子郵件，三是直接提示報警內容。為了讓監控效果更理想，我們不妨勾選彈出消息方式來達到全程監控報警目的。在勾選了“顯示消息”報警選項后，再按照提示定義好報警消息，如可將報警提示消息設置為“全程監控賬號創建狀態，為安全起見，請及時審查”，最后按下“完成”按鈕，退出報警任務添加設置框。

干掉“臥底”進程

在對局域網重要主機中特定資源執行刪除、打開或移動操作時，有時會遇到“文件正在被另一個人或程序使用”這樣的提示信息，多半是當前正在訪問的資源被其他一些“臥底”占用。要是資源悄悄被病毒木馬之類的“臥底”進程非法訪問占用的話，就會十分危險了。

因為與病毒木馬有關的“臥底”進程常常處于自動隱藏狀態，通過Windows系統內置的任務管理器程序，有時無法直接發現。所以可通過“OpenedFilesView”外力工具，來快速了解到哪個“臥底”進程悄悄占用了特定資源，弄清楚這些“臥底”進程究竟有沒有安全威脅。

將“OpenedFilesView”工具下載安裝到本地系統，同時啟動運行它，展開主操作窗口，在這里我們能很詳細地看到與所有被訪問資源相關聯的進程名稱。為搞清楚特定資源內容究竟被哪一個“臥底”進程占用，我們可以用鼠標右擊特定資源名稱，從彈出右鍵菜單中點選“屬性”命令，在其后出現的設置對話框中，就可以很直觀地看到占用資源的詳細進程名稱和路徑內容了。

找到“臥底”進程后，在關閉“臥底”進程時，先在特定資源文件名稱上，點選右鍵菜單中的“結束選定文件占用的進程”命令即可。不過，要提醒的是，強制關閉一些特殊的系統進程時，或許會造成計算機運行不穩定。

如不想通過外力工具干掉“臥底”惡意進程時，也能通過Windows 7系統“資源監視器”程序，來找到“臥底”進程，具體步驟為：首先打開Windows 7系統的“開始”菜單，在彈出的搜索對話框中輸入“資源監視器”，同時開啟該程序運行狀態，進入資源管理器窗口，點選“CPU”標簽，在選項設置頁面中展開“關聯的句柄”列表區域，接著在搜索對話框中輸入被占用的資源名稱，此時就能快速看到特定資源內容究竟是被哪些“臥底”進程所占用了，最后強行關閉這些“臥底”進程即可。

干掉“臥底”連接

為了偷窺局域網重要共享資源，一些非法用戶有時會與共享主機悄悄建立“臥底”連接。為切斷“臥底”共享連接，我們只要單擊“開始”、“運行”命令，打開DOS命令行窗口，執行“net use”命令，從返回的結果信息中，可以從“遠程”欄中詳細了解到究竟是哪一臺計算機，在與本地系統建立“臥底”共享連接，記憶下它的IP地址，以便將其連接關閉掉。

例如，某終端計算機IP地 址 為“10.176.160.120”，在關閉來自該計算機的特定“臥底”共享連接時，只要在命令行狀態下輸入字符串命令“net use\10.176.160.120Share /del”即可，這里的“Share”表示具體的共享名稱。要是創建的“臥底”共享連接數量很多，也可以集中關閉它們，只要執行字符串命令“net use * /del”即可。

當然，若我們認為通過“net use”命令操作效率不高時，也能打開計算機管理窗口，來快速查看“臥底”連接。只要用鼠標右擊系統桌面中的“計算機”圖標，右擊“管理”命令，展開計算機管理窗口，依次跳轉到左側列表區域中的“系統工具”、“共享文件夾”、“會話”分支上。這時，在指定分支下就可以看到所有正在連接到本地系統的共享會話連接。選擇某個“臥底”共享連接，打開其右鍵菜單，點選“關閉會話”命令，就能干掉“臥底”連接。

此外，在無線連接網絡時也會受“臥底”連接干擾，此時不妨通過無線路由器內置的訪問記錄表功能快速找到偷用無線網絡的“臥底”連接。首先以超級用戶登錄無線路由器后臺系統頁面，依次跳轉到“高級設置”、“網絡”、“局域網狀態”節點上，在目標節點下分辨每個用戶賬號，如有陌生賬號存在，說明有“臥底”連接使用過無線網絡。之后逐一跳轉到“高級設置”、“無線”、“無線狀態”節點上，在目標節點下根據MAC地址和對應數據訪問流量，找到蹭用無線網絡的“臥底”連接。再跳轉到“基礎設置”、“無線”、“MAC 地址認證”節點下，導入“臥底”連接的網卡MAC地址，同時勾選“拒絕已注冊的MAC地址”選項，確認后保存設置。

干掉“臥底”病毒

一些狡猾的病毒木馬，為了達到“臥底”目的，常常會將自身悄悄潛藏到Windows系統服務中，直接創建新的系統服務，或替換、修改不常用的系統服務。正常來說，“臥底”病毒有一個明顯特性，就是其啟動類型往往都是“自動”，以便實現開機自動運行。要判斷本地系統是否有“臥底”病毒服務時，可以在系統運行框中輸入“services.msc” 命令，從彈出的系統服務列表中手動查看識別。很明顯，這種方法準確性較差，而且操作效率也很低下。

而巧妙通過Windows系統自帶的“wmic”命令，可以快速地讓“臥底”病毒顯身。只要依次點擊“開 始”、“運 行”命令，進入DOS命令行窗口。在其中輸入“wmic service where creationclassname="win32_service" get caption,description,pathname >123.txt”字符串命令，將所有自啟動類型的系統服務導出保存到“123.txt”文本文件中，用記事本程序打開該文件時，能查明所有自啟動服務的描述內容和調用程序路徑內容。

當感覺本地系統突然運行不正常時，繼續在DOS命令行窗口中執行“wmic service where creationclassname="win32_service" get caption,description,pathname >456.txt”字符串命令，將系統在不正常狀態下的所有自啟動服務信息導出到“456.txt”文件中，再使用“fc 456.txt 123.txt”命令，比較分析系統服務變化情況，根據變化結果往往就能判斷病毒服務是否為“臥底”了。確認“臥底”病毒存在后，進入調用程序路徑，刪除原始的“臥底”病毒文件即可。