帷幄

病毒木马为了达到悄悄攻击目的，常常会在被攻击主机系统偷偷创建系统隐藏账号，同时将其操作权限提升为系统管理员级别的权限，以保证日后能利用该隐藏账号进行各种非法攻击活动。对于这种类型的不速之客，我们必须想尽一切办法将其从系统中显身，同时及时将其删除干净，避免黑客、木马将其作为后门，对本地系统进行无休止的攻击与蹂躏。

在局域网工作环境中，各种各样的不速之客会潜藏在我们身边，要是得过且过，对这些不速之客视而不见的话，说不定哪一天它们会给我们带来安全麻烦，甚至会带来不可估量的经济损失。为了让局域网安全稳定运行，让自己远离潜在安全威胁，我们需要在平时炼就过硬的安全防范本领，以便及时让潜藏的各种不速之客统统显身。

让潜藏的特权账号显身

病毒木马为了达到悄悄攻击目的，常常会在被攻击主机系统偷偷创建系统隐藏账号，同时将其操作权限提升为系统管理员级别的权限，以保证日后能利用该隐藏账号进行各种非法攻击活动。对于这种类型的不速之客，我们必须想尽一切办法将其从系统中显身，同时及时将其删除干净，避免黑客、木马将其作为后门，对本地系统进行无休止的攻击与蹂躏。然而，这种潜藏的特权账号隐蔽性比较强，我们往往很难看到它的“身影”，通过打开计算机管理窗口，定位到“本地用户和组”、“用户”分支上的方法，往往不能让其直接显身。

考虑到潜藏的特权账号都属于administrators用户组，都具有系统管理员级别的操作权限，我们可以依次点击“开始”、“运行”命令，弹出系统运行对话框，输入“cmd”命令并回车，弹出MS-DOS命令行窗口，在该窗口命令提示符状态下，执行“net localgroup administrators”字符串命令，这时所有被授予系统管理员权限的特权账号就会自动显身。比方说，在如图1所示的结果界面中，我们发现本地系统中存在一个名称为“aaaa$”、权限为系统管理员级别的隐藏账号，这种潜藏的特权账号如果不是我们本人创建的话，那很可能是病毒木马创建的，我们必须要及时将其从系统中删除掉。在执行删除操作时，只要在MS-DOS工作窗口中输入“net user aaaa$ /delete”命令即可。

当然，并不是所有的特权潜藏账号，都能通过上述方法显身，有些狡猾的不速之客，既无法在DOS命令行窗口中显身，也无法在计算机管理窗口中显身，系统管理员往往只能从系统的安全日志文件中找到它们的“身影”。对于这类狡猾的不速之客，我们无法直接将其删除，只能在DOS命令行窗口中使用“net user xxxx 1234”之类的命令修改特权账号的密码，让其无法继续生效，这样就能间接拒绝黑客、木马继续使用该特权账号实施非法攻击。

让伪装的恶意进程显身

不少病毒木马程序往往会通过乔装改扮之术，来将有威胁的进程模仿成普通的进程，以便躲避用户或杀毒软件的查杀。那么有没有办法一眼就能看穿系统进程的来龙去脉，让潜藏在系统进程中的不速之客显身呢？相信很多人会下意识地想到系统任务管理器。其实，任务管理器自身的能力很有限，比方说，在任务管理器窗口的进程标签页面中，或许能显示有若干个svchost进程，用户往往不能判断出哪个svchost进程究竟调用了什么应用程序。正是基于这种特性，网络病毒或木马程序特别喜欢将自身伪装成svchost进程，同时将病毒文件隐藏到系统文件夹中。

为了能快速发现潜藏在系统进程中的不速之客，我们可以巧妙利用Windows系统内置的“wmic”命令，来查看特定进程究竟在调用什么应用程序，如果发现它正在调用一个陌生的应用程序时，基本就能判断目标进程为病毒木马的伪装进程。在进行这种查看操作时，只要依次点击“开始”、“运行”命令，弹出系统运行对话框，输入“cmd”命令并回车，切换到DOS命令行工作窗口。在其中执行字符串命令“wmic process where creationclassname="win32_process" get caption，executablepath”，从返回的如图2所示结果界面中，就能轻易发现每个系统进程各自调用了什么应用程序。一旦看到有陌生程序被偷偷调用时，那调用该程序的进程肯定是病毒木马伪装的恶意进程，我们必须立即强行终止它的运行，以避免它继续影响系统的运行安全。

要是认为命令行界面不够直观时，还能借助TaskPatrol这款专业进程管理工具，来让伪装的恶意进程快速显身。当怀疑有系统进程被病毒木马伪装时，只要开启TaskPatrol工具的运行状态，点击主界面中的“security rating”列，就能看到每个系统进程的安全威胁程度，其中安全数值比较高的进程很可能是伪装进程，它们对系统的安全运行是有威胁的。选中疑似伪装进程并右击它，从弹出的右键菜单中点击“reanalyze”命令，TaskPatrol工具就能对其进行安全分析。分析结束后，我们就能从“monitoring functions”位置处，知道疑似伪装进程是否具有监视功能，比方说有的恶意进程可以拦截键盘输入，在这里可以识别出指定进程对系统底层控制力到底有多大；在“registry function”位置处，能判断出指定进程对系统注册表的操作能力到底如何，比方说有没有访问、保存、查询、编辑等功能；在“process function”位置处，可以识别出指定进程是否具有操作、运行、分析其他进程的能力，从而断定特定进程对其他进程的操控力有多深；在“internet function”位置处，可以识别出特定进程是否支持网络连接功能；在“file function”位置处，可以分析出指定进程有没有修改、查询、复制、删除、定位、重命名文件等功能，从而进一步判断出目标进程对文件系统的管理力有多强。一旦根据上述分析结果确认指定进程就是病毒木马伪装进程时，立即用鼠标选中并右击它，从快捷菜单中执行“terminate process”命令，终止伪装进程的运行状态，防止它继续影响系统安全运行。

让隐藏的病毒服务显身

为了躲避用户的“围剿”，病毒木马还喜欢将恶意程序悄悄潜藏到Windows系统服务中，通过替换、修改不常用的系统服务或直接创建新的系统服务，来隐藏攻击源头。恶意程序有一个明显的特性，就是它们的启动类型几乎都为“自动”，这样才能实现开机自动运行。要查看自己的计算机系统是否有隐藏的病毒服务时，一般会在系统运行对话框中，执行“services.msc” 命令，从弹出的系统服务列表中手动查看识别。很显然，这种方法准确性较差，而且操作效率也十分低下。

其实，善于使用Windows系统内置的“wmic”命令，我们可以快速地让隐藏的病毒服务显身。只要依次点击“开始”、“运行”命令，弹出系统运行对话框，输入“cmd”命令并回车，切换到DOS命令行工作窗口。在其中执行字符串命令“wmic service where creationclassname="win32_service" get caption，description，pathname >111.txt”，将此刻所有处于自启动状态的系统服务列表信息导入到“111.txt”文件中，用记事本程序打开该文本文件时，能查看到每个自启动服务的描述信息和调用程序路径信息（如图3所示），这有利于我们判断特定系统服务是否为隐藏的病毒服务。

日后，当怀疑本地计算机系统隐藏有病毒服务时，可以在DOS命令行窗口中，继续执行字符串命令“wmic service where creationclassname="win32_service" get caption，description，pathname >222.txt”，将系统在故障状态下的所有自启动类型服务列表信息导入到“222.txt”文件中。之后，执行字符串命令“fc 222.txt 111.txt”，让Windows系统自动对比分析系统出现故障前后的服务变化情况，这样就能轻易让隐藏的病毒服务显身了。

让可疑的移动设备显身

现在，不少病毒都能通过移动存储设备传播，为了保护计算机系统和网络安全，很多单位都会严格禁止用户随意使用移动存储设备的。不过，总有一些人贪图操作方便，悄悄在局域网重要主机中使用移动存储设备。为了保护局域网重要主机运行安全，该怎样让偷偷插入到重要主机中的可疑移动硬盘显身呢，也就是说，怎样才能找到可疑移动设备的使用者呢？要达到这个目的，不妨着眼系统注册表，找到所插移动设备的ID数值和品牌内容，依照这些内容，就能初步判断出可疑移动设备是谁的了。

依次单击“开始”、“运行”命令，弹出系统运行文本框，在其中执行“cmd”命令，切换到MS-DOS工作窗口。执行“reg query HKLM＼SYSTEM＼CurrentControlSet＼Enum＼USBSTOR /s”字符串命令，在结果信息的“FriendlyName”位置处，查看并记录下所插移动设备的品牌内容，如图4所示。比方说，这里我们查看到所插移动存储设备是联想品牌，那么可疑设备自然就是联想移动硬盘或优盘了。

值得注意的是，在命令行窗口中查看移动设备的品牌内容，有时会比较费力，为了便于查询，可以尝试在MS-DOS工作窗口中，执行字符串命令“reg query HKLM＼SYSTEM＼CurrentControlSet＼Enum＼USBSTOR /s >E：＼aaa.txt”，将命令返回结果信息导入到“E：＼aaa.txt”文件中，日后使用记事本程序访问“E：＼aaa.txt”文件内容，就能快速地查看到可疑移动设备的品牌内容了。

当然，在相同的网络环境中，使用同一品牌设备的用户可能比较多，这时，简单通过设备品牌，就不能让可疑移动设备显身了，只有使用其他途径才能识别出谁在局域网重要主机中悄悄使用过移动存储设备。考虑到Windows系统会为所插移动设备智能分配唯一ID数值，也就是说，每只移动设备都有一个独一无二的ID，要是可以查看到所插移动设备的ID数值，就能让可疑移动设备显身了，下面就是详细的实现步骤：

打开系统运行对话框，在其中执行“cmd”命令，进入DOS命令行窗口，在该窗口命令提示符下输入“reg query HKLM＼SYSTEM＼CurrentControlSet＼Enum＼USBSTOR /s”命令，在结果信息的“Disk&Ven”位置处，查找并记录下移动设备ID数值，要是发现结果信息中有多个移动设备ID时，那就表示有多位用户在重要主机系统中悄悄使用过移动设备。

获取到可疑移动设备的ID数值后，再查看单位每位员工的移动设备ID数值，如果该数值与可疑移动设备的ID数值相同，那么拥有该设备的员工就是偷偷在局域网中违规使用移动设备的人。在查看员工的移动设备ID数值时，只要先将其正确插入到计算机中，打开计算机窗口，右击目标设备图标，点击右键菜单中的“属性”命令，弹出特定设备属性对话框，点击“详细信息”标签，在对应标签页面的“设备实例路径”或“设备范例ID”位置处，就能看到目标设备的ID数值了。

让幕后的占用程序显身

对某些文件执行删除或其他操作时，系统有时会弹出“文件正在被另一个人或程序使用”之类的提示，事实上用户自己可能没有启动任何程序，那如何让幕后的占用程序显身呢？我们可以请“OpenedFilesView”这款外力工具来帮忙，利用它可以轻松地查看到哪个进程或程序偷偷占用了文件，日后只要关闭这些幕后程序或进程，解除对文件的占用操作，就能重新对文件正常执行移动、删除或打开操作了。

从网上下载获得“OpenedFilesView”工具的压缩包后，直接用鼠标双击压缩包中的“OpenedFilesView.exe”文件，不需要经过安装操作，就能打开对应程序的主界面了，在这里我们能看到所有被打开的文件已经对应的进程信息。为了弄清楚目标文件究竟被哪一种进程偷偷占用，我们可以用鼠标右键单击目标文件名称，从弹出的快捷菜单上执行“属性”命令，在其后出现的设置对话框中，就可以准确查看到占用文件的具体进程名称和进程路径信息了。揪出占用文件的黑手进程后，那么现在就要对它“立即行刑”，将其解锁了。在执行文件解锁操作时，先在目标文件名称上单击鼠标右键，执行快捷菜单中的“结束选定文件占用的进程”命令，就能切断幕后进程的黑手，此后就能对目标文件进行正常操作了。当然，要提醒大家的是，强行中断一些特殊进程时，容易造成系统崩溃现象。

在Windows 7系统环境下，利用系统内置的“资源监视器”程序，也能让占用文件的幕后黑手显身，具体操作步骤为：首先打开Windows 7系统的“开始”菜单，在搜索文本框中输入“资源监视器”，并启动运行该程序，切换到资源管理器界面，点选“CPU”标签，打开如图5所示的标签设置页面，展开其中的“关联的句柄”列表区域，之后在搜索文本框中输入被占用的文件名称，此时很快就能发现目标文件究竟是被哪些程序或进程所占用了，最后关闭这些偷偷占用文件的幕后程序，就能对目标文件执行各种操作了。

让神秘的共享连接显身

在局域网工作环境中，最讨厌有些人偷偷访问重要主机中的共享文件夹，这就像贸然闯入别人家中一样不让人欢迎，那么该怎样才能让悄悄访问重要共享内容的神秘连接显身呢，找到神秘访问者以后又该如何将它踢掉呢？

很简单！在重要主机系统中，依次单击“开始”、“运行”命令，弹出系统运行对话框，在其中执行“cmd”命令，切换到DOS命令行提示符状态，输入字符串命令“net use”，单击回车键后，从返回的结果信息中，就能发现究竟是谁在偷偷访问特定的共享资源了，其中“远程”这一列信息显示的就是神秘用户的计算机IP地址，假设该地址为“10.176.3.12”。要想切断这个神秘共享连接时，只要在DOS命令行窗口中，执行字符串命令“net use ＼＼10.176.3.12＼IPC$ /del”即可。要是同时访问特定共享资源的神秘连接很多时，我们可以简单地执行字符串命令“net use * /del”，将所有共享访问连接统统踢走。

要是我们对命令提示符状态下的操作不熟悉，也可以依次单击“开始”、“控制面板”命令，弹出系统控制面板窗口，逐一双击其中的“管理工具”、“计算机管理”图标，进入到计算机管理窗口。在该窗口的左侧列表中，将鼠标定位到“系统工具”、“共享文件夹”节点上（如图6所示），此时，只需要选中“会话”选项，在右侧列表中就能查看到连接到本机的所有共享用户。要是我们想切断某个神秘用户的共享连接时，只需要用鼠标右击该会话连接，点击右键菜单中的“关闭会话”命令即可。除此之外，我们还能直接关闭正在访问的共享文件，选择“共享文件夹”节点下的“打开文件”选项，在右侧列表中选中要关闭的共享文件，打开它的右键菜单，点击“将打开的文件关闭”命令即可。