使用杀毒软件和防火墙,有时并不能发现和清除病毒木马文件。其实,使用系统自带的安全工具,往往可以出奇制胜发现和清除隐藏很深的病毒文件。例如,运行“gpedit.msc”程序,在组策略窗口中点击“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”项,在右侧窗口双击“审核账户管理”项,在弹出窗口中选择“成功”和“失败”项,启用针对账户的审核策略。
以后如果怀疑黑客侵入了本机,并创建了非法账户,可以运行“eventvwr.msc”程序,在事件查看器窗口左侧选择“安全性”项,在右侧窗口中检查“审核成功”时间,根据账户信息的变动情况,就可以发现非法账户的踪迹。例如,根据事件记录信息,在审核事件中发现建立了名为“adminuser”账户,并在很短的时间内将其提升到Administrators组中,经过一段时间后该账户被删除,但是管理员并没有建立和使用过该账户,因此该账户一定是黑客侵入本机后建立起来的,为的是使用本机开启的终端服务。当黑客渗透完成后,将该账户删除来隐藏踪迹。根据这一线索,果然在系统中发现了黑客预设的DLL木马,虽然其经过免杀处理,还是被管理员发现并清除了。
为了从底层侵入系统,很多病毒喜欢将自身伪装成驱动文件来逃避用户的监控,因为驱动加载的级别优先级最高,而且在安全模式下照样可以运行,就造成了驱动级别的病毒很难清除的局面。其实,利用系统提供的设备管理器程序,有时可以简单直接地发现驱动型病毒的踪迹。例如,在设备管理器窗口中点击菜单“查看”→“显示隐藏的设备”项,可以显示所有处于隐藏状态的设备。在设备列表中的“非即插即用驱动程序”节点下可以显示本机中所有的驱动型软件的服务程序,在其中仔细观察,不难发现不法程序的身影。例如,装载其中找到名为“supervga”的可疑驱动,双击该驱动项,在其属性窗口中的“驱动程序”面板中点击“停止”按钮,终止其运行。在“启动类型”列表中选择“已禁用”项,让其无法跟随系统启动。点击“驱动程序详细信息”按钮,可以发现与之关联的驱动文件的具体的路径信息。例如“C:Windowssystem32driversupervga.sys”,可以进入WinPE环境,将其彻底删除。
此外,如果本机开启了远程桌面服务,为了防止别人随意连接对系统造成威胁,可以使用系统自带的防火墙对其进行拦截。例如,在Windows 7中已经提供了功能强悍的防火墙,可以在防火墙设置界面左侧点击“入站规则”项,在右侧窗口中的“入站规则”栏中双击“远程桌面”项,在打开窗口中的“常规”面板中选择“只允许安全连接”项。在“用户和计算机”面板中勾选“只允许来自下列计算机的连接”项,点击“添加”按钮,添加值得信任的主机。勾选“只允许来自下列用户的连接”项的,点击“添加”按钮,将值得信任的账户添加进来。这样,不符合添加的用户无法连接本机的远程桌面,这在很大程度上避免了本机遭黑客入侵的可能性。