如果身边卧底总是环伺四周，形影相随，那么无论我们多么小心谨慎，安全麻烦总是很难避免。同样地，Windows系统中有时也会有这样的“卧底”不请自来，为了给系统一个更强的安全能力，我们需要及时干掉潜藏的“卧底”！

干掉“卧底”程序

有意无意之中会发现Windows系统中存在一些陌生文件，当尝试删除时，系统却提示其处于锁定状态而不能被删除。实际上，大多数陌生文件都是由系统中的“卧底”恶意程序锁定的，我们要想找到“卧底”程序，可以请“LockHunter”这款工具帮忙。

安装好“LockHunter”工具后，会看到系统的右键菜单中，自动多出了“What is locking this file”命令 选项。当在平时操作中，发现某个可疑文件无法被拷贝、重命名或删除时，不妨打开目标文件的右键菜单中，执行“What is locking this file”命令选项，在其后出现的设置界面中，就能找到锁定当前文件的恶意“卧底”程序了。

发现“卧底”程序后，我们就能对症下药了。如想立即对当前锁定文件执行解锁操作时，只要在对应设置界面中，按下“Unlock it”按钮即可。工作中，文件锁定操作常会出现在不同环境下，每种环境对被锁文件处理方法也不同。点击“Other”项，“LockHunter”工具提供了五种应对方法：若执行文件重命名操作时发现锁定了状 态，选“Unlock&Rename”命令，就能对目标文件进行解锁并重命名了；倘若是恶意“卧底”程序锁定了目标文件，只要单击“Delete Locking Processes From Disk”命令，可将“卧底”恶意程序清除了。若在拷贝文件时发现文件被锁不能复制，可点 选“Unlock&Copy”命令，取消目标文件的锁定状态并自动进行文件复制操作。还有些特殊文件可能会被若干系统进程同时锁定，这时可考虑选用“Terminate Locking Processes”命令，强制终止所有锁定目标文件的系统进程，同时取消目标文件的锁定状态。

干掉“卧底”帐号

一些恶意程序为达到偷偷攻击目的，经常会在被攻击主机系统中生成“卧底”账号，并将其访问权限提升为超级用户权限，以便日后进行攻击活动。

“卧底”恶意帐号具有系统管理员级别的权限，一般都属“administrators”用户组，不妨展开MS-DOS命令行窗口，输入“net localgroup administrators”命令，可看到所有系统管理员权限的用户账号。

当然，有些狡猾的用户账号，既不能显示在DOS命令行窗口中，又不能显示在计算机管理窗口中，有时只能从系统安全日志中发现它们的“身影”。对于这类相当狡猾的“卧底”帐号，只能在DOS命令行提示符下执行“net user xxxx yyyy”命令，调整“卧底”账号的密码，让其不能继续生效。

此外，为能在第一时间发现“卧底”帐号，可按如下步骤加强对系统账号的创建情况进行全程监控。首先要对账号创建操作启用审核机制，默认状态下，Windows系统没有启用审核机制，逐一点选“开始”、“运行”命令，在弹出的系统运行框中输入“secpol.msc”命令，依次跳转到安全策略编辑对话框中的“安全设置”、“本地策略”、“审核策略”节点上，双击“审核账户管理”选项，展开选项设置框，勾选“成功”、“失败”项，确认后保存设置。

接着手工生成用户账号创建事件，单击“开始”、“设置”、“控制面板”命令，双击系统控制面板窗口中的“用户账户”图标，弹出用户账户列表，右击该界面的空白区域，右击“新用户”项，随意生成一个用户账号名称。切换到系统桌面中，右击“计算机”图标，选“管理”项，依次跳转到“系统工具”、“事件查看器”、“Windows 日志”、“系统”节点上，从指定节点下就可以快速找到之前的账号生成记录了。

下面为用户账号创建事件添加报警任务，达到全程监控报警目的。选中之前生成的用户账号创建记录选项，打开其右键菜单，单击“附加任务到事件”命令，展开添加报警任务设置框，依照向导对话框的提示，先设置好报警任务名称，同时定义好合适的报警提示方式，系统在默认状态下提供了三种报警方式，一是开启某个应用程序运行状态，二是向某个用户发送电子邮件，三是直接提示报警内容。为了让监控效果更理想，我们不妨勾选弹出消息方式来达到全程监控报警目的。在勾选了“显示消息”报警选项后，再按照提示定义好报警消息，如可将报警提示消息设置为“全程监控账号创建状态，为安全起见，请及时审查”，最后按下“完成”按钮，退出报警任务添加设置框。

干掉“卧底”进程

在对局域网重要主机中特定资源执行删除、打开或移动操作时，有时会遇到“文件正在被另一个人或程序使用”这样的提示信息，多半是当前正在访问的资源被其他一些“卧底”占用。要是资源悄悄被病毒木马之类的“卧底”进程非法访问占用的话，就会十分危险了。

因为与病毒木马有关的“卧底”进程常常处于自动隐藏状态，通过Windows系统内置的任务管理器程序，有时无法直接发现。所以可通过“OpenedFilesView”外力工具，来快速了解到哪个“卧底”进程悄悄占用了特定资源，弄清楚这些“卧底”进程究竟有没有安全威胁。

将“OpenedFilesView”工具下载安装到本地系统，同时启动运行它，展开主操作窗口，在这里我们能很详细地看到与所有被访问资源相关联的进程名称。为搞清楚特定资源内容究竟被哪一个“卧底”进程占用，我们可以用鼠标右击特定资源名称，从弹出右键菜单中点选“属性”命令，在其后出现的设置对话框中，就可以很直观地看到占用资源的详细进程名称和路径内容了。

找到“卧底”进程后，在关闭“卧底”进程时，先在特定资源文件名称上，点选右键菜单中的“结束选定文件占用的进程”命令即可。不过，要提醒的是，强制关闭一些特殊的系统进程时，或许会造成计算机运行不稳定。

如不想通过外力工具干掉“卧底”恶意进程时，也能通过Windows 7系统“资源监视器”程序，来找到“卧底”进程，具体步骤为：首先打开Windows 7系统的“开始”菜单，在弹出的搜索对话框中输入“资源监视器”，同时开启该程序运行状态，进入资源管理器窗口，点选“CPU”标签，在选项设置页面中展开“关联的句柄”列表区域，接着在搜索对话框中输入被占用的资源名称，此时就能快速看到特定资源内容究竟是被哪些“卧底”进程所占用了，最后强行关闭这些“卧底”进程即可。

干掉“卧底”连接

为了偷窥局域网重要共享资源，一些非法用户有时会与共享主机悄悄建立“卧底”连接。为切断“卧底”共享连接，我们只要单击“开始”、“运行”命令，打开DOS命令行窗口，执行“net use”命令，从返回的结果信息中，可以从“远程”栏中详细了解到究竟是哪一台计算机，在与本地系统建立“卧底”共享连接，记忆下它的IP地址，以便将其连接关闭掉。

例如，某终端计算机IP地 址 为“10.176.160.120”，在关闭来自该计算机的特定“卧底”共享连接时，只要在命令行状态下输入字符串命令“net use\10.176.160.120Share /del”即可，这里的“Share”表示具体的共享名称。要是创建的“卧底”共享连接数量很多，也可以集中关闭它们，只要执行字符串命令“net use * /del”即可。

当然，若我们认为通过“net use”命令操作效率不高时，也能打开计算机管理窗口，来快速查看“卧底”连接。只要用鼠标右击系统桌面中的“计算机”图标，右击“管理”命令，展开计算机管理窗口，依次跳转到左侧列表区域中的“系统工具”、“共享文件夹”、“会话”分支上。这时，在指定分支下就可以看到所有正在连接到本地系统的共享会话连接。选择某个“卧底”共享连接，打开其右键菜单，点选“关闭会话”命令，就能干掉“卧底”连接。

此外，在无线连接网络时也会受“卧底”连接干扰，此时不妨通过无线路由器内置的访问记录表功能快速找到偷用无线网络的“卧底”连接。首先以超级用户登录无线路由器后台系统页面，依次跳转到“高级设置”、“网络”、“局域网状态”节点上，在目标节点下分辨每个用户账号，如有陌生账号存在，说明有“卧底”连接使用过无线网络。之后逐一跳转到“高级设置”、“无线”、“无线状态”节点上，在目标节点下根据MAC地址和对应数据访问流量，找到蹭用无线网络的“卧底”连接。再跳转到“基础设置”、“无线”、“MAC 地址认证”节点下，导入“卧底”连接的网卡MAC地址，同时勾选“拒绝已注册的MAC地址”选项，确认后保存设置。

干掉“卧底”病毒

一些狡猾的病毒木马，为了达到“卧底”目的，常常会将自身悄悄潜藏到Windows系统服务中，直接创建新的系统服务，或替换、修改不常用的系统服务。正常来说，“卧底”病毒有一个明显特性，就是其启动类型往往都是“自动”，以便实现开机自动运行。要判断本地系统是否有“卧底”病毒服务时，可以在系统运行框中输入“services.msc” 命令，从弹出的系统服务列表中手动查看识别。很明显，这种方法准确性较差，而且操作效率也很低下。

而巧妙通过Windows系统自带的“wmic”命令，可以快速地让“卧底”病毒显身。只要依次点击“开 始”、“运 行”命令，进入DOS命令行窗口。在其中输入“wmic service where creationclassname="win32_service" get caption,description,pathname >123.txt”字符串命令，将所有自启动类型的系统服务导出保存到“123.txt”文本文件中，用记事本程序打开该文件时，能查明所有自启动服务的描述内容和调用程序路径内容。

当感觉本地系统突然运行不正常时，继续在DOS命令行窗口中执行“wmic service where creationclassname="win32_service" get caption,description,pathname >456.txt”字符串命令，将系统在不正常状态下的所有自启动服务信息导出到“456.txt”文件中，再使用“fc 456.txt 123.txt”命令，比较分析系统服务变化情况，根据变化结果往往就能判断病毒服务是否为“卧底”了。确认“卧底”病毒存在后，进入调用程序路径，删除原始的“卧底”病毒文件即可。