■

如何识别暗中偷窥

无论Windows系统是否接入网络，都存在被偷窥的可能。在单机环境下的偷窥，都属于本地偷窥，这种偷窥往往是事先在Windows系统中安装好特定程序，该程序能在系统后台悄悄记忆用户的各种操作，并将记录结果以系统日志、监控视频或屏幕截图形式存储起来，日后恶意用户只要想办法调阅这些记录结果，就能达到偷窥用户各种操作的效果。要识别本地偷窥，其实不难，只要定期查看最近生成的系统日志，搜索查找近几天创建的屏幕截图、屏幕视频文件等内容，就能大概了解到本地偷窥是否存在了。如果认为这种搜索操作不准确时，也可以进入本地系统控制面板窗口，点击“添加/删除程序”图标，看看“当前的安装程序”列表中，是否存在自己不熟悉的应用程序或软件名称，如果发现有陌生的程序名称，可以通过百度搜索等方式，确认它们是否具有暗中偷窥功能。

而在网络随处可见的今天，通过网络进行暗中偷窥，往往更具有隐蔽性，恶意用户常常会通过这种方式，来远程查看局域网重要主机系统的运行情况。既然网络中的重要主机系统存在被非法偷窥的可能，那么，怎样才能识别对应主机系统可能正在被暗中偷窥呢？最简单的方法就是利用Windows系统内置的“net user”命令来判断。例如，在Windows 7重要主机系统中，依次单击“开始”、“所有程序”、“附件”、“命令提示符”选项，展开DOS命令行工作窗口，在其中执行“net user”命令，在其后界面中就能直观地看到计算机主人的用户帐号，要是计算机主人只创建过一个登录帐号，但结果界面中返回了多个帐号名称，那就意味着有其他用户在偷偷连接这台计算机，或许会对该系统进行远程偷窥。继续在命令提示符状态，执行字符串命令“netstat-a”，如果系统返回“TCP<本地地址>：xxxx<外部地址>LISTENING”之类的结果信息时，将这里“xxxx”位置处的端口号码记录下来，通过网络搜索引擎查找黑客或木马经常使用的端口号码有哪些。要是“xxxx”端口号码对应着某个黑客或木马程序的常用端口，那就说明本地主机系统已经被黑客或木马程序偷窥。这个时候，可以设置系统防火墙或专业防火墙，来过滤特定网络端口的通信连接。

要想识别重要主机系统有没有可能被内网用户非法偷窥时，可以在DOS命令行工作窗口中，执行字符串命令“netstat -a-b”，从返回的结果界面中，检查有没有10.176.34.12等非自身IP地址的计算机在频繁地与本地主机系统建立连接，要是存在这样的结果记录时，那就说明本地系统有可能正被非法偷窥。

这里之所以要用“可能”字眼，主要是内网环境下其他计算机系统感染病毒时，也可能会不停地与重要主机系统建立连接，这自然不代表其他计算机正在偷窥重要主机系统，但可以肯定的是重要主机系统正在遭受网络病毒的攻击。

如果对上述命令使用情况不熟悉，也可以使用更为简单的方法，来识别暗中偷窥现象是否存在。只要先关闭本地系统中的所有网络访问程序，之后使用“Ctrl+Alt+Del”组合键调用系统任务管理器窗口，进入联网标签页面，在其中检查网络流量的使用情况，要是发现网络流量没有明显下降时，那基本就能断定非法偷窥现象存在了。相反，在网络访问程序全部关闭的情况下，网络流量有明显下降或显示为0字节时，那就表示当前状态没有传输数据信号，这至少能够证明当前状态不存在非法偷窥现象。

如何应付非法偷窥

无论是哪种形式的非法偷窥，总需要通过无线网络或有线介质来传输偷窥信号，所以，在初步判断非法偷窥现象存在时，最简单、最有效的应付措施就是进行断开网络连接操作。当然，这种应付措施有点极端，只能在重要主机系统不需要接入网络工作时才能进行，如果重要主机系统的工作状态离不开网络连接时，这种措施就不能拿来使用。而且，断开网络连接只能解救一时之急，在随后恢复网络连接状态时，非法偷窥现象仍然有可能卷土重来，如此一来保存在重要主机系统中的隐私数据，还有被非法偷窥的风险。

因此，要想彻底有效地应付非法偷窥现象，必须要弄清楚非法偷窥现象产生的原因。正常情况下，被非法偷窥的重要主机系统，都会被悄悄植入黑客或木马程序，之后才会被远程偷窥的。例如，有的时候，Windows系统会突然反应迟钝或鼠标指针乱移，这多半是恶意用户在该系统中偷偷地安装了非法偷窥程序，以方便进行偷窥操作。这个时候，不妨使用专业的木马查杀工具，对本地系统进行彻底地扫描查杀操作，将潜藏起来的所有黑客或木马程序删除干净，同时开启木马防火墙运行状态，加强对陌生网络连接的监控。要是扫描不到木马程序或有关服务，但Windows系统反应状态仍然不能正常，可以先对重要数据进行备份转移，之后采用重新安装操作系统的方法，彻底消除非法偷窥的隐患。

当然，在手头没有专业工具可以利用的情况下，也可以通过Windows系统的“net session”命令，查看当前状态下是否存在陌生的会话连接。进入MS-DOS工作窗口，输入“net session”命令，从所示的结果信息中，能够非常直观地看到本地系统的所有会话连接状态。当看到有异常会话连接时，不妨通过“net session”命令的“/delete”参数，强行断开异常会话连接，以避免非法偷窥现象的继续发生。

如何预防非法偷窥

在多用户账号环境下，非法偷窥现象更容易频繁发生。为了避免这种现象带来安全麻烦，我们可以未雨绸缪，采取合适措施提前防范，不让非法偷窥轻易得逞！下面，本文就以Windows 7系统为例，总结几则让Windows系统远离非法偷窥的技巧，希望这些内容能给大家带来帮助！

1.禁止远程连接

由于非法偷窥大多以远程连接形式出现，如果我们事先对网络中的重要主机系统进行合适设置，禁止任何用户与本地系统建立远程连接，那么各种远程非法偷窥现象就能有效避免了。

禁止远程连接操作很简单，可以先用鼠标右键单击系统桌面上的“计算机”图标，执行快捷菜单中的“属性”命令，进入系统属性对话框，按下“远程设置”按钮，在对应标签页面中，将“不允许远程连接到此计算机”选项选中，同时将“允许远程协助连接这台计算机”取消选中，单击“确定”按钮保存设置即可。

当然，冒然切断远程连接，可能会影响用户本人的远程访问操作。所以，如果用户不想关闭远程连接时，也可以通过修改远程连接端口方法，来提高远程桌面连接的安全性，恶意用户不知道新端口的情况下，是不能通过远程桌面连接进行非法偷窥的。

例如，要将远程桌面连接端口号码修改为“9162”时，不妨逐一单击“开始”、“运行”选项，弹出系统运行对话框，在其中执行“regedit”命令，开启系统注册表编辑器运行状态。在该编辑界面左侧列表中，将鼠标定 位 到“HKEY_LOCAL_MACHINESYSTEMC u r r e n t C o n t r o l S e tC o n t r o lT e r m i n a l ServerWds dpwdTds cp”节点上，找到该节点下的“PortNumber”的键值，该键值就是用来指定远程桌面连接端口的，将其数值修改为“9162”，确认后返回。再将鼠标定位到“HKEY_LOCAL_MACHINESYSTEMC u r r e n t C o n t r o l S e tC o n t r o lT e r m i n a l ServerWinStationsRDPTcp”节点下，双击该节点下的“PortNumber”键值，输入“9162”并执行保存操作。

2.加强异常报警

在Windows 7系统中，巧妙利用事件查看器自带的附加任务功能，就能轻松做到这一点，具体实现步骤为：首先逐一选择“开始”、“控制面板”、“管理工具”、“本地安全策略”命令，进入系统安全策略控制台，依次展开“本地策略”、“审核策略”节点，用鼠标双击该节点下的“审核账户管理”选项，选中其后界面中的“成功”、“失败”等选项，单击“确定”按钮保存设置操作。这样，日后Windows 7系统就可以智能审核系统账户管理方面的事情了，一旦系统中真的发生异常账号创建事件时，该事件记录会被系统日志文件自动捕捉到。

为了实现对异常操作行为的报警，我们可以将报警任务附加到账号创建事件上。只要用鼠标右击系统桌面上的“计算机”图标，从右键菜单中选择“管理”命令，切换到本地系统计算机管理窗口，将鼠标定位到“本地用户和组”、“用户”分支上，在目标分支下任意创建一个用户账号。再依次点选“开始”、“控制面板”、“管理工具”、“事件查看器”选项，打开事件查看器窗口，从“Windows日志”、“安全”选项下面找到之前生成的用户账号事件，打开该事件的右键菜单，执行“将任务附加到此事件”命令，弹出基本任务向导对话框，依照屏幕提示不停按“下一步”按钮，当系统出现有“显示消息”对话框时，选中“显示消息”选项，定义好报警标题和内容，单击“完成”按钮退出任务附加操作向导框。

日后，当黑客、木马程序尝试在Windows 7系统中偷偷创建陌生账号，来实现非法偷窥目的时，Windows系统就会自动发出报警提示消息，将这一异常操作行为反馈给用户，用户发现这样的报警内容，就能识别出本地系统在当前状态下存在异常帐号创建行为，这时只要立即采取合适措施来找出那个异常的隐藏账号，同时将它删除或停用掉，就能避免异常偷窥现象的发生。

3.强制身份认证

在内网环境中，有些用户只要简单地打开网上邻居窗口，就能轻松通过网络偷窥到别人的共享数据。之所以发生这种现象，主要是共享主机启用了简单的共享访问模式，这种模式不需要访问者输入共享账号与密码，就能保证共享访问成功。为了避免这种偷窥现象的发生，我们应该设置Windows系统，使用经典共享模式状态，强制对共享访问进行身份认证，下面就是详细的操作步骤：首先依次单击“开始”、“运行”命令，弹出系统运行对话框，输入“gpedit.msc”命令，进入系统组策略编辑窗口。在该窗口左侧列表中，将鼠标定位到“本地计算机策略”、“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”、“安全选项”分支上。双击该分支下的“网络访问： 本地帐户的共享和安全模型”组策略，打开选项设置对话框，选中“经典—对本地用户进行身份验证，不改变其本来身份”选项，单击“确定”按钮保存设置操作。

此外，建议大家一并设置好合适访问权限，不让无关用户偷窥到重要共享内容。

在进行该操作时，首先打开特定共享文件夹的右键菜单，选择“属性”命令，进入共享文件夹属性对话框。选择“安全”选项卡，在对应选项设置页面中，导入合法可信的账户名称。选中新添加的合法用户账号，在权限列表框中，按需定义好用户的访问权限，确认后退出设置对话框。这样，通过网络共享形式发生的非法偷窥现象就不会轻易发生了。

4.禁用不明控件

有些非法偷窥软件常常以不明控件的形式，通过Windows系统自带IE浏览器的漏洞，自动下载安装运行，这往往让用户防不胜防。为了避免这种现象发生，我们可以按照如下步骤，设置IE浏览器参数，禁用所有不明ActiveX控件和插件：

首先启动IE浏览器程序，依次点击浏览窗口中的“工具”、“Internet选项”命令，切换到Internet选项设置对话框，选择“安全”选项卡，在自定义级别设置页面的“ActiveX控件自动提示”位置处，选择“禁用”选项。

其次在“ActiveX控件和插件”设置项处，将“对标记为可安全执行脚本的ActiveX控件”选项设置为“启用”，将“对未标记为可安全执行脚本的ActiveX控件”设置为“禁用”，确认后退出设置对话框。这样，任何以不明控件形式存在的非法偷窥软件，都将无法通过IE浏览器下载安装到本地系统了。

为稳妥起见，建议大家同时关闭浏览器的自动下载功能，不让非法偷窥程序以其他形式偷偷下载到本地系统。打开系统运行对话框，输入“gpedit.msc”命令，将鼠标定位到组策略编辑窗口左侧的“本地计算机策略”、“计算机配置”、“管 理 模 板”、“Windows组 件”、“Internet Explorer”、“安全功能”、“限制文件下载”节点上，找到“所有进程”组策略，用鼠标双击之，选中“已启用”选项，单击“确定”按钮保存设置即可。