严防死守 别人“黑”我及时知

江苏 周勇生

捕捉连接“黑”手

在局域网环境中，有些黑客会想方设法偷偷与网络中的重要平台系统建立连接，日后借助连接通道达到随时“黑”人目的。其实，在Windows 平台系统中，利用系统自带的命令，进行下面的操作，就能很轻松捕捉到各种可疑网络连接：

首先CMD 窗口提示符状态下输入“netstat -a”命令，打开后能够检查到各个网络连接的所有状态信息，包括连接的协议名称、外部地址、本地连接以及开启的端口号码等。依照这些内容，大家只需要逐一排查本地平台或用户程序实际创建或使用的网络连接，就能很轻松捕捉到那些潜藏的可疑网络连接。

如果无法判断特定网络连接是否属于“黑”连接，大家可以进入浏览器窗口，输入局域网路由器的管理地址（默认地址大多为http://192.168.0.1 或http://192.168.1.1），进入路由器后台系统管理页面。找到“附加设备”或相关的管理页面，获取到连接局域网的计算机名称、IP 地址、MAC 地址以及设备硬件地址，将这些内容与之前从DOS 命令窗口中获取到的信息进行认真对比，倘若看到了一些陌生的设备或网络连接，那么基本就能认定本地网络或系统正在遭受人“黑”。

知晓登录“黑”手

在某些环境下，黑客可能会趁四周无人的时候，偷偷用超级用户权限登录重要平台系统，以窃取一些机密信息。如何防范这种“黑”手行为呢？

很简单！在Vista 以上版本系统中，只要系统启用了“在用户登录期间显示有关以前登录的信息”组策略，那么操作系统的登录过程就能被监控到。下面就是详细的设置过程：

首先在运行框执行“gpedit.msc”命令，在打开的系统组策略编辑窗口中，将鼠标定位到“计算机配置”→“管理模板”→“Windows 组件”→“Windows 登录选项”分支。

图1 设置显示登录的信息

其次双击目标分支下的“在用户登录期间显示有关以前登录的信息”组策略选项，弹出如图1 所示的选项设置框，选择“已启用”，再单击“确定”按钮，这样一来任何用户的登录过程都被系统自动监控到了。下一次，我们只要重新启动操作系统平台，在登录窗口就能知道上次是哪位用户曾经登录过本地系统了。

揪出插拔“黑”手

不少网络病毒都能利用移动设备进行传播扩散，哪一天突然觉得本地计算机系统感染了网络病毒，那就很有必要弄清楚是否有“黑”手在本地计算机系统中偷偷插拔过带毒的移动设备。

要达到这个控制目的，我们不需要借助外力工具帮忙，就能查看到插入到本地系统中的所有移动设备品牌以及它的ID 信息，下面就是详细的查看操作步骤：

首先，打开运行对话框，然后输入“reg query HKLMSYSTEMCurrentControlSetEnumUSBSTOR/s”字符串命令，Windows 系统就会自动将插入到本地计算机中的所有移动设备品牌信息列写出来。从如图2 所示界面中，找到关键字“FriendlyName”，在该关键字后能查看到究竟有哪些品牌的移动设备在本地计算机中插拔过。

图2 查找本地系统中的所有移动设备信息

当然，执行“reg query HKLMSYSTEMCurrent ControlSetEnumUSBSTOR/s”命令后，Windows 系统有时会返回大量的结果信息，这些信息不能在一屏界面中显示完，为准确地查看到监控结果，不妨在MS-DOS工作窗口中输入字符串命令“reg query HKLMSYSTEMCurrentControlSetEnumUSBSTOR/s >H:123.txt”，将命令返回结果输出到“H:123.txt”文本文件中。日后，启动运行记事本程序，打开“H:123.txt”文本文件，在该文件编辑界面中依次单击菜单栏中的“编辑”、“查找”命令，将“FriendlyName”关键字全部查找出来，同时将每个关键字后的品牌信息逐一记录下来，这样就能将所有可疑的移动硬盘全部搜索出来。

有时，局域网中很多员工使用的移动设备都是同一个品牌，此时想通过上面的方法来判断是否有用户悄悄在本地计算机中插拔过移动设备，显然是行不通的，我们只有使用其他办法才能查看到是谁在偷插移动设备。因为Windows 系统默认会为插入的每一只移动硬盘分配一个设备ID，同时该设备ID 是唯一的。很明显，我们现在能通过设备ID 来判断是否有用户在本地计算机中使用过移动硬盘。

先将自己使用的移动硬盘插入到本地计算机中，进入计算机窗口，用鼠标右击自己的移动硬盘图标，点击快捷菜单中的“属性”命令，切换到特定移动硬盘属性对话框，选择“详细信息”选项卡，在对应选项设置页面的“设备范例ID”或“设备实例路径”设置项处，手工记忆下自己移动硬盘的设备ID。

接着在CMD 窗口输入“reg query HKLMSYSTEMCurrentControlSetEnumUSBSTOR/s”字符串命令，从返回的结果信息中，手工记忆下“Disk&Ven”关键字后面的设备ID，一旦看到结果信息中存在多个不同移动硬盘的设备ID 时，那就表示肯定有其他用户悄悄在本地计算机中使用过移动硬盘。

发现输入“黑”手

在公共场合下，有些人会对重要系统中的内容，进行非法输入篡改。这时，我们需要加强对键盘鼠标输入操作进行监控，以及时发现输入“黑”手。

要做到这一点，可以请“键盘记录截图”工具帮忙，它能自动追踪鼠标活动和键盘使用情况，同时以截取当前屏幕图片的方式存储监控结果，而且它在运行时，会悄悄退回到系统后台，不容易被“黑”手发现。

第一次运行“键盘记录截图”程序时，它会弹出一个提示窗口，确认后它会悄悄隐藏在系统后台工作，无论是在系统任务栏中，还是在系统托盘位置处，都找不到目标程序的“身影”，这种隐藏工作特性，能很好地防止别人任意停止该程序的工作状态，从而能增强系统工作安全性。日后，如果想进入“键盘记录截图”的主操作窗口时，只要通过“Ctrl+Alt+右光标键”快捷键，就能调出主操作窗口了，在这里可以直观看到正在操作的鼠标、键盘输入内容。

一旦鼠标、键盘有输入内容时，“键盘记录截图”工具会在第一时间将其捕获，并会将监控内容智能保存到一个纯文本文件中，该文本文件默认位于“C:Record”文件夹中，以后进入该文件夹窗口，打开其中的文本文件，就能查看到监控结果了。

要是安装的“键盘记录截图”程序是注册版，那么它还可以监控屏幕内容，并将监控到的屏幕内容，自动存储为jpg 图像文件，该文件默认也位于“C:Record”文件夹窗口中。

倘若希望抓图操作自动进行，建议大家打开目标工具的设置对话框，按需设置好抓图间隔时间，有效时间数值范围为1-999 分钟。

此外，考虑到将监控结果保存到C 盘分区不安全，因此，建议大家调整一下监控结果的保存路径，让其指向系统分区以外的位置。在进行该操作时，可以先切换到目标工具主操作界面，点击右上角处的“更改目录”按钮，弹出文件夹选择对话框，选择并导入合适的文件夹即可。

请走蹭网“黑”手

成功组建好无线局域网后，不少用户会不请自来，即使频繁调整上网访问密码，也存在被蹭网“黑”手暴力破解的风险。为了及时请走蹭网“黑”手，确保无线上网安全，我们不妨借助“WiFi Guard”这款专业程序，对那些尝试蹭网的“黑”手加强监控，让他们在蹭网之前显露原形。

图3 自动显示在程序的监控列表中

进入“WiFi Guard”程序的主界面，点击“Settings”按钮，打开Basic 控制面板，在其中选择正在使用的无线网卡设备，接着定义好自动扫描周期、同步扫描的网络设备数量等信息，再切换到Advanced 控制面板，在这里设置好自动扫描的地址范围。这样，“WiFi Guard”程序就能按照配置要求，进入监控状态了。第一次运行时，它可以将无线网络中的所有主机监控到，同时自动显示在程序的监控列表中（如图3 所示），不过在默认状态下，该程序仅会将本地主机和无线路由器显示为绿色图标，将其他主机全部显示为可疑的红色图标。

用鼠标双击自己认为合法、可信的主机名称，同时输入对应主机的说明信息，再勾选“I know this computer or device”选项，将目标主机设置为合法主机。按照相同的操作步骤，将其他主机逐一定义为合法主机。日后，当怀疑无线网络被人攻击或运行不正常时，只要点击该程序界面中的“Scan Now”按钮，它会立即对本地无线网络进行扫描监控，通过分析、比对预存的主机数据库，就能发现蹭网用户的主机设备。将对应设备的MAC 地址手工添加到无线路由器MAC 过滤列表中，就能及时请走蹭网“黑”手了。

清除病毒“黑”手

长时间在线的计算机，总会不可避免地遭遇病毒“黑”手的攻击。这些“黑”手往往会悄悄潜藏在系统的启动项中，以便日后跟随系统自动运行发作，从而给重要系统正常运行带来极大的安全威胁。为了降低系统安全威胁，我们必须想方设法，及时清除潜藏在系统暗处的病毒“黑”手！

首先，打开系统资源管理器窗口，定位到“C:Documents and Settings用户名开始菜单程序 启动”路径，检查其中是否有可疑的自启动项目，揪出潜藏在启动文件夹中的病毒“黑”手。

其次，进入系统注册表编辑界面，定位到如图4 所示等分支，检查各个注册表启动项中是否存在陌生键值，如果存在的话，必须及时将陌生键值和对应病毒文件删除掉，这样才能将潜藏在系统注册表中的自启动病毒“黑”手清除掉。

图4 检查各个注册表启动项中是否存在陌生键值

第三，执行“gpedit.msc”命令，打开系统组策略控制台窗口，将鼠标定位到“用户配置”→“管理模板”→“系统”→“登录”分支上，双击“在用户登录时运行这些程序”选项，弹出选项设置对话框，检查“已启用”选项是否已被选中，当看到该选项已处于选中状态时，单击“显示”按钮，切换到应用程序默认启动列表对话框。检查这里是否有应用程序出现，缺省状态下，应该不会看到任何应用程序，要是发现有陌生应用程序存在时，那多半就是病毒“黑”手化身，立即选中并清空调用路径，再根据源路径找到并删除具体的病毒“黑”手的可执行文件，将潜藏在组策略中的病毒“黑”手清除干净。

还有一些病毒“黑”手隐蔽性十分强，它们有时会将自身“化身”成系统服务，让普通用户不能准确找到它们的“身影”。

此时，可以打开系统服务列表界面，单击“启动类型”标签，让系统服务按启动类型进行排序，确保自启动类型服务排列显示在最顶端，从中找出陌生的自启动服务。

进入该服务属性对话框中，单击“停止”按钮，暂停其继续运行。同时，在“常规”标签页面中，找到陌生服务的可执行文件路径，进入系统资源管理器窗口，删除干净它的可执行文件。此外，还可以将鼠标定位到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”分支中，找到该分支下的陌生键值，删除陌生键值和对应病毒文件，请走“乔装”成系统服务躲藏到注册表中的病毒“黑”手。