别给恶意分子“出手”机会

找出恶意快捷方式

大家知道，快捷方式往往都是要指向某个应用程序、数据文件或特定网站地址的，而一些恶意程序为了达到遮人耳目的目的，常常会通过快捷方式的快速访问特性，将用户频繁访问的目标悄悄替换为自身。不过，从表面上看，普通用户根本不会看出其中的端倪。

考虑到这种情况，我们应该认真检查常用快捷方式所指向的网站地址或应用程序，以判断它们是否安全可信，如果它们指向陌生的程序或站点，那基本就能断定该快捷方式为恶意快捷方式。在进行这种检查操作时，可以用鼠标右键单击目标快捷方式，点击快捷菜单中的“属性”命令，弹出如图1所示的属性对话框，在“目标”文本框中就能直观看出当前快捷方式究竟指向哪里了。如果确认其为恶意快捷方式时，应该及时打开它的右键菜单，点击“删除”命令，将其从计算机系统中删除出去。

图1 属性对话框

图2 处于运行状态的进程名称

如果嫌手工寻找恶意快捷方式比较麻烦时，也可以借助360安全卫士等专业工具，对本地系统进行全面、彻底地扫描，这样能够快速高效地将存在问题的恶意快捷方式挖掘出来，并能够自动删除它们，避免它们威胁计算机系统安全。

找出恶意攻击程序

在没有对系统进行任何操作的情况下，Windows系统突然运行异常，这就意味着本地系统可能正遭遇恶意程序攻击。那在手头没有专业安全工具可以利用的情况下，我们该如何找出恶意攻击程序呢？

首先，依次单击“开始”、“运行”命令，弹出系统运行对话框，在其中执行“cmd”命令，切换到MS-DOS工作窗口，在该窗口命令提示符下，输入“tasklist”命令，返回所有处于运行状态的进程名称（如图2所示），记下陌生进程对应的PID号，继续输入字符串命令“netstat-ano findstr xxx”（其中的“xxx”为当前运行进程对应的PID号），将特定进程所使用的网络端口号码显示出来，看看该网络端口是否为自己所熟悉的端口，如果该端口为病毒、木马经常使用的端口，那该进程对应的应用程序为恶意程序。

然后，从官方站点下载“tlist.exe”实用工具，也可以从Windows系统安装光盘的“Support/Tools/”位置处，借助专业工具释放“support.cab”文件包来找到该文件，之后在DOS命令行窗口中，执行字符串命令“tlist.exe xxx”，将与特定PID号进程相关的程序所在的文件夹以及调用的具体文件显示出来，根据这些内容就能判断出调用陌生进程的应用程序是什么了。当看到这个程序不是我们自己运行的话，那它多半是一个恶意程序，这个时候可以使用“taskkill.exe xxx ”命令，将其对应的恶意进程关闭掉，以防止恶意程序继续威胁本地系统的安全。

找出恶意替换文件

图3 登录进入主程序界面

目前，QQ盗号现象十分严重，之所以频繁发生这种现象，主要是盗号程序想方设法劫持正常程序，以达到悄悄隐藏同时自动运行目的，具体地说就是盗号程序通过向特定文件夹添加或修改恶意文件，实现自动激活同时隐藏自身的效果。那么如何才能将存储在特定文件夹中的恶意文件寻找出来，并立即删除它们呢？在外力工具“文件异常监测器”的帮助下，我们可以十分方便地揪出潜藏在本地系统特定文件夹中的恶意文件，因为该程序能批量扫描到指定文件夹中的每个文件，所有被修改、被替换、新创建甚至被删除的数据文件，它都能探测扫描到。

启动运行“文件异常监测器”程序，通过正确注册操作获得合法的登录账号，并通过该账号成功登录进入主程序界面（如图3所示）。接着，单击“添加项目”按钮，切换到文件夹添加对话框，从中导入聊天程序对应的安装文件夹，或添加其他要扫描的特定文件夹，按“保存数据”按钮结束导入操作。这样，“文件异常监测器”程序将会保存记忆所有数据文件的状态信息。日后，当认为某个文件夹可能被恶意程序植入恶意文件时，不妨按“载入数据”按钮，再点击“开始验证”按钮，过一段时间后，各种被编辑的、新增加的甚至已删除的数据文件，都会被探测显示在主程序界面中，如此一来，恶意文件自然就“显山露水”了。当确认某个数据文件为恶意文件时，可以按照常规操作，立即将它们从计算机系统中清除出去。

找出恶意用户账号

很多人在关闭计算机时，都有可能遇到过“有其他用户登录到这台计算机”这样的系统提示，这种提示肯定会让人感到紧张，会不会是本地计算机被人恶意攻击了，或者是有人正在悄悄偷窥本地计算机中的隐私内容呢？如何才能找出这个潜藏的恶意用户呢？

正常情况下，碰到这类提示，很可能是用户在关闭计算机系统的时候，有用户正通过局域网进行共享访问操作，或其他人正远程登录连接本地系统。当然，也可能是用户自己没有及时将以前登录的用户账号注销掉。对于后面一种原因，往往可以一目了然地看出来。如果自己的计算机位于局域网环境中，那么前面的几种因素出现的可能性就比较大了。

在局域网工作环境中，最让人担心的是有不法分子悄悄访问网络中的重要共享数据，那么该如何快速找到偷窥共享数据的恶意用户呢？找到后又该怎样禁止它们继续恶意共享访问呢？要找到隐藏起来的恶意用户，不妨先右击系统桌面上的“计算机”图标，点击快捷菜单中的“管理”命令，展开计算机管理窗口。依次展开该管理窗口左侧列表中的“系统工具”、“共享文件夹”、“会话”分支（如图4所示），在指定分支下所有正访问共享数据的用户账号都会被列写出来。如果发现某个用户名称自己不熟悉，那它多半是恶意用户，为了防止它威胁系统安全，应该用鼠标右击对应账号的共享会话，单击快捷菜单中的“关闭会话”命令，切断恶意会话连接。

图4 依次展开左侧列表各分支

图5 界面功能按钮列表

此外，考虑到安全方面的原因，建议大家还要依次展开“系统工具”、“共享文件夹”、“打开文件”分支，找到指定分支下被恶意用户打开的文件，同时用鼠标右键单击该文件，单击快捷菜单中的“将打开的文件关闭”命令，关闭恶意用户正访问的数据文件。对于DOS命令十分熟悉的用户来说，也可以先进入系统运行文本框，输入“cmd”命令并回车，弹出MS-DOS工作窗口，在其中执行“net use”命令，从命令结果界面中就可以直观看到有没有恶意用户在悄悄偷窥本地共享资源了，其中恶意用户所用计算机的IP地址，会动态列写在“远程”位置处。如果想切断恶意用户所创建的共享连接时，不妨在MS-DOS工作窗口中，输入“net use ComputerIPC$/del”命令即可，这里的“Computer”就是恶意用户所用计算机IP地址。

如果有人悄悄通过远程桌面程序登录进入本地系统，这就表示本地计算机多半被恶意用户入侵了。而远程登录操作一般要用到某个用户账户，我们不妨认真查看本地计算机系统，看是否有陌生用户账号名称，如果有的话那就能确认远程入侵事实了。在查看是否有陌生用户账号时，可以先打开计算机管理窗口，将鼠标定位到该窗口左侧列表中的“系统工具”、“本地用户和组”、“用户”分支上，在指定分支下就可以直观看到本地计算机中的所有用户账号，包括各种隐藏账号，要是发现有陌生账号名称时，可以打开它的右键菜单，点击“删除”命令，将其从计算机中剔除出去。

找出恶意安装软件

一些人常常通过局域网，远程安装某些软件到特定计算机系统中，以达到特殊测试目的，这种安装操作很容易影响系统运行稳定或安全。为了避免这种现象，我们需要及时找出恶意软件的安装操作，以便对它们进行有效拦截。要达到这个目的，可以使用“Stop Installation Tool”这款工具，来自动监控各种未知软件的安装动作。

开 启“Stop Installation Tool”工具的运行状态，展开如图5所示界面功能按钮列表，点击“Program Options”按钮，按下对应设置区域中的“Password”按钮，定义好特定程序的关闭或激活密码。默认状态下，“Stop Installation Tool”要是监控到本地系统中有软件安装操作时，会及时弹出拦截提示框，只有正确输入管理密码，才能继续完成软件安装任务。要是不想让人知道存在人为监控行为时，不妨在程序选项设置框中，取消选 中“Show the password window to allow software installation”，这样当监控到软件安装操作时，软件安装操作会被强制停止，系统不会出现任何提示。

“Stop Installation Tool”工具默认能够成功拦截一些软件安装操作，主要是它事先设置了合适的安全监控规则。要让其监控拦截特殊软件安装操作时，一定要调整文件类型参数。在主界面中按下“File Masks”按钮，切换到“Disabled Files”标签设置页面，按下“Add”按钮，展开文件类型添加框，输入特定格式的文件类型名称和描述内容即可。

返回主程序界面，点击“Users Control”按钮，弹出“PC Users”列表，单击“Add”或“Remove”按钮，添加或删除特定的用户账号，选中“All PC users”选项，让上述配置操作适合本地系统中的所有用户适用。要是只选中“Only for users in the list”选项，那么上述安全规则仅对列表中的用户账号适用，要是选中“For all except in the list”选项，那安全规则仅适用于列表之外的用户账号。