■

如何識別暗中偷窺

無論Windows系統(tǒng)是否接入網絡，都存在被偷窺的可能。在單機環(huán)境下的偷窺，都屬于本地偷窺，這種偷窺往往是事先在Windows系統(tǒng)中安裝好特定程序，該程序能在系統(tǒng)后臺悄悄記憶用戶的各種操作，并將記錄結果以系統(tǒng)日志、監(jiān)控視頻或屏幕截圖形式存儲起來，日后惡意用戶只要想辦法調閱這些記錄結果，就能達到偷窺用戶各種操作的效果。要識別本地偷窺，其實不難，只要定期查看最近生成的系統(tǒng)日志，搜索查找近幾天創(chuàng)建的屏幕截圖、屏幕視頻文件等內容，就能大概了解到本地偷窺是否存在了。如果認為這種搜索操作不準確時，也可以進入本地系統(tǒng)控制面板窗口，點擊“添加/刪除程序”圖標，看看“當前的安裝程序”列表中，是否存在自己不熟悉的應用程序或軟件名稱，如果發(fā)現(xiàn)有陌生的程序名稱，可以通過百度搜索等方式，確認它們是否具有暗中偷窺功能。

而在網絡隨處可見的今天，通過網絡進行暗中偷窺，往往更具有隱蔽性，惡意用戶常常會通過這種方式，來遠程查看局域網重要主機系統(tǒng)的運行情況。既然網絡中的重要主機系統(tǒng)存在被非法偷窺的可能，那么，怎樣才能識別對應主機系統(tǒng)可能正在被暗中偷窺呢？最簡單的方法就是利用Windows系統(tǒng)內置的“net user”命令來判斷。例如，在Windows 7重要主機系統(tǒng)中，依次單擊“開始”、“所有程序”、“附件”、“命令提示符”選項，展開DOS命令行工作窗口，在其中執(zhí)行“net user”命令，在其后界面中就能直觀地看到計算機主人的用戶帳號，要是計算機主人只創(chuàng)建過一個登錄帳號，但結果界面中返回了多個帳號名稱，那就意味著有其他用戶在偷偷連接這臺計算機，或許會對該系統(tǒng)進行遠程偷窺。繼續(xù)在命令提示符狀態(tài)，執(zhí)行字符串命令“netstat-a”，如果系統(tǒng)返回“TCP<本地地址>：xxxx<外部地址>LISTENING”之類的結果信息時，將這里“xxxx”位置處的端口號碼記錄下來，通過網絡搜索引擎查找黑客或木馬經常使用的端口號碼有哪些。要是“xxxx”端口號碼對應著某個黑客或木馬程序的常用端口，那就說明本地主機系統(tǒng)已經被黑客或木馬程序偷窺。這個時候，可以設置系統(tǒng)防火墻或專業(yè)防火墻，來過濾特定網絡端口的通信連接。

要想識別重要主機系統(tǒng)有沒有可能被內網用戶非法偷窺時，可以在DOS命令行工作窗口中，執(zhí)行字符串命令“netstat -a-b”，從返回的結果界面中，檢查有沒有10.176.34.12等非自身IP地址的計算機在頻繁地與本地主機系統(tǒng)建立連接，要是存在這樣的結果記錄時，那就說明本地系統(tǒng)有可能正被非法偷窺。

這里之所以要用“可能”字眼，主要是內網環(huán)境下其他計算機系統(tǒng)感染病毒時，也可能會不停地與重要主機系統(tǒng)建立連接，這自然不代表其他計算機正在偷窺重要主機系統(tǒng)，但可以肯定的是重要主機系統(tǒng)正在遭受網絡病毒的攻擊。

如果對上述命令使用情況不熟悉，也可以使用更為簡單的方法，來識別暗中偷窺現(xiàn)象是否存在。只要先關閉本地系統(tǒng)中的所有網絡訪問程序，之后使用“Ctrl+Alt+Del”組合鍵調用系統(tǒng)任務管理器窗口，進入聯(lián)網標簽頁面，在其中檢查網絡流量的使用情況，要是發(fā)現(xiàn)網絡流量沒有明顯下降時，那基本就能斷定非法偷窺現(xiàn)象存在了。相反，在網絡訪問程序全部關閉的情況下，網絡流量有明顯下降或顯示為0字節(jié)時，那就表示當前狀態(tài)沒有傳輸數(shù)據(jù)信號，這至少能夠證明當前狀態(tài)不存在非法偷窺現(xiàn)象。

如何應付非法偷窺

無論是哪種形式的非法偷窺，總需要通過無線網絡或有線介質來傳輸偷窺信號，所以，在初步判斷非法偷窺現(xiàn)象存在時，最簡單、最有效的應付措施就是進行斷開網絡連接操作。當然，這種應付措施有點極端，只能在重要主機系統(tǒng)不需要接入網絡工作時才能進行，如果重要主機系統(tǒng)的工作狀態(tài)離不開網絡連接時，這種措施就不能拿來使用。而且，斷開網絡連接只能解救一時之急，在隨后恢復網絡連接狀態(tài)時，非法偷窺現(xiàn)象仍然有可能卷土重來，如此一來保存在重要主機系統(tǒng)中的隱私數(shù)據(jù)，還有被非法偷窺的風險。

因此，要想徹底有效地應付非法偷窺現(xiàn)象，必須要弄清楚非法偷窺現(xiàn)象產生的原因。正常情況下，被非法偷窺的重要主機系統(tǒng)，都會被悄悄植入黑客或木馬程序，之后才會被遠程偷窺的。例如，有的時候，Windows系統(tǒng)會突然反應遲鈍或鼠標指針亂移，這多半是惡意用戶在該系統(tǒng)中偷偷地安裝了非法偷窺程序，以方便進行偷窺操作。這個時候，不妨使用專業(yè)的木馬查殺工具，對本地系統(tǒng)進行徹底地掃描查殺操作，將潛藏起來的所有黑客或木馬程序刪除干凈，同時開啟木馬防火墻運行狀態(tài)，加強對陌生網絡連接的監(jiān)控。要是掃描不到木馬程序或有關服務，但Windows系統(tǒng)反應狀態(tài)仍然不能正常，可以先對重要數(shù)據(jù)進行備份轉移，之后采用重新安裝操作系統(tǒng)的方法，徹底消除非法偷窺的隱患。

當然，在手頭沒有專業(yè)工具可以利用的情況下，也可以通過Windows系統(tǒng)的“net session”命令，查看當前狀態(tài)下是否存在陌生的會話連接。進入MS-DOS工作窗口，輸入“net session”命令，從所示的結果信息中，能夠非常直觀地看到本地系統(tǒng)的所有會話連接狀態(tài)。當看到有異常會話連接時，不妨通過“net session”命令的“/delete”參數(shù)，強行斷開異常會話連接，以避免非法偷窺現(xiàn)象的繼續(xù)發(fā)生。

如何預防非法偷窺

在多用戶賬號環(huán)境下，非法偷窺現(xiàn)象更容易頻繁發(fā)生。為了避免這種現(xiàn)象帶來安全麻煩，我們可以未雨綢繆，采取合適措施提前防范，不讓非法偷窺輕易得逞！下面，本文就以Windows 7系統(tǒng)為例，總結幾則讓Windows系統(tǒng)遠離非法偷窺的技巧，希望這些內容能給大家?guī)韼椭?/p>

1.禁止遠程連接

由于非法偷窺大多以遠程連接形式出現(xiàn)，如果我們事先對網絡中的重要主機系統(tǒng)進行合適設置，禁止任何用戶與本地系統(tǒng)建立遠程連接，那么各種遠程非法偷窺現(xiàn)象就能有效避免了。

禁止遠程連接操作很簡單，可以先用鼠標右鍵單擊系統(tǒng)桌面上的“計算機”圖標，執(zhí)行快捷菜單中的“屬性”命令，進入系統(tǒng)屬性對話框，按下“遠程設置”按鈕，在對應標簽頁面中，將“不允許遠程連接到此計算機”選項選中，同時將“允許遠程協(xié)助連接這臺計算機”取消選中，單擊“確定”按鈕保存設置即可。

當然，冒然切斷遠程連接，可能會影響用戶本人的遠程訪問操作。所以，如果用戶不想關閉遠程連接時，也可以通過修改遠程連接端口方法，來提高遠程桌面連接的安全性，惡意用戶不知道新端口的情況下，是不能通過遠程桌面連接進行非法偷窺的。

例如，要將遠程桌面連接端口號碼修改為“9162”時，不妨逐一單擊“開始”、“運行”選項，彈出系統(tǒng)運行對話框，在其中執(zhí)行“regedit”命令，開啟系統(tǒng)注冊表編輯器運行狀態(tài)。在該編輯界面左側列表中，將鼠標定 位 到“HKEY_LOCAL_MACHINESYSTEMC u r r e n t C o n t r o l S e tC o n t r o lT e r m i n a l ServerWds dpwdTds cp”節(jié)點上，找到該節(jié)點下的“PortNumber”的鍵值，該鍵值就是用來指定遠程桌面連接端口的，將其數(shù)值修改為“9162”，確認后返回。再將鼠標定位到“HKEY_LOCAL_MACHINESYSTEMC u r r e n t C o n t r o l S e tC o n t r o lT e r m i n a l ServerWinStationsRDPTcp”節(jié)點下，雙擊該節(jié)點下的“PortNumber”鍵值，輸入“9162”并執(zhí)行保存操作。

2.加強異常報警

在Windows 7系統(tǒng)中，巧妙利用事件查看器自帶的附加任務功能，就能輕松做到這一點，具體實現(xiàn)步驟為：首先逐一選擇“開始”、“控制面板”、“管理工具”、“本地安全策略”命令，進入系統(tǒng)安全策略控制臺，依次展開“本地策略”、“審核策略”節(jié)點，用鼠標雙擊該節(jié)點下的“審核賬戶管理”選項，選中其后界面中的“成功”、“失敗”等選項，單擊“確定”按鈕保存設置操作。這樣，日后Windows 7系統(tǒng)就可以智能審核系統(tǒng)賬戶管理方面的事情了，一旦系統(tǒng)中真的發(fā)生異常賬號創(chuàng)建事件時，該事件記錄會被系統(tǒng)日志文件自動捕捉到。

為了實現(xiàn)對異常操作行為的報警，我們可以將報警任務附加到賬號創(chuàng)建事件上。只要用鼠標右擊系統(tǒng)桌面上的“計算機”圖標，從右鍵菜單中選擇“管理”命令，切換到本地系統(tǒng)計算機管理窗口，將鼠標定位到“本地用戶和組”、“用戶”分支上，在目標分支下任意創(chuàng)建一個用戶賬號。再依次點選“開始”、“控制面板”、“管理工具”、“事件查看器”選項，打開事件查看器窗口，從“Windows日志”、“安全”選項下面找到之前生成的用戶賬號事件，打開該事件的右鍵菜單，執(zhí)行“將任務附加到此事件”命令，彈出基本任務向導對話框，依照屏幕提示不停按“下一步”按鈕，當系統(tǒng)出現(xiàn)有“顯示消息”對話框時，選中“顯示消息”選項，定義好報警標題和內容，單擊“完成”按鈕退出任務附加操作向導框。

日后，當黑客、木馬程序嘗試在Windows 7系統(tǒng)中偷偷創(chuàng)建陌生賬號，來實現(xiàn)非法偷窺目的時，Windows系統(tǒng)就會自動發(fā)出報警提示消息，將這一異常操作行為反饋給用戶，用戶發(fā)現(xiàn)這樣的報警內容，就能識別出本地系統(tǒng)在當前狀態(tài)下存在異常帳號創(chuàng)建行為，這時只要立即采取合適措施來找出那個異常的隱藏賬號，同時將它刪除或停用掉，就能避免異常偷窺現(xiàn)象的發(fā)生。

3.強制身份認證

在內網環(huán)境中，有些用戶只要簡單地打開網上鄰居窗口，就能輕松通過網絡偷窺到別人的共享數(shù)據(jù)。之所以發(fā)生這種現(xiàn)象，主要是共享主機啟用了簡單的共享訪問模式，這種模式不需要訪問者輸入共享賬號與密碼，就能保證共享訪問成功。為了避免這種偷窺現(xiàn)象的發(fā)生，我們應該設置Windows系統(tǒng)，使用經典共享模式狀態(tài)，強制對共享訪問進行身份認證，下面就是詳細的操作步驟：首先依次單擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，輸入“gpedit.msc”命令，進入系統(tǒng)組策略編輯窗口。在該窗口左側列表中，將鼠標定位到“本地計算機策略”、“計算機配置”、“Windows 設置”、“安全設置”、“本地策略”、“安全選項”分支上。雙擊該分支下的“網絡訪問： 本地帳戶的共享和安全模型”組策略，打開選項設置對話框，選中“經典—對本地用戶進行身份驗證，不改變其本來身份”選項，單擊“確定”按鈕保存設置操作。

此外，建議大家一并設置好合適訪問權限，不讓無關用戶偷窺到重要共享內容。

在進行該操作時，首先打開特定共享文件夾的右鍵菜單，選擇“屬性”命令，進入共享文件夾屬性對話框。選擇“安全”選項卡，在對應選項設置頁面中，導入合法可信的賬戶名稱。選中新添加的合法用戶賬號，在權限列表框中，按需定義好用戶的訪問權限，確認后退出設置對話框。這樣，通過網絡共享形式發(fā)生的非法偷窺現(xiàn)象就不會輕易發(fā)生了。

4.禁用不明控件

有些非法偷窺軟件常常以不明控件的形式，通過Windows系統(tǒng)自帶IE瀏覽器的漏洞，自動下載安裝運行，這往往讓用戶防不勝防。為了避免這種現(xiàn)象發(fā)生，我們可以按照如下步驟，設置IE瀏覽器參數(shù)，禁用所有不明ActiveX控件和插件：

首先啟動IE瀏覽器程序，依次點擊瀏覽窗口中的“工具”、“Internet選項”命令，切換到Internet選項設置對話框，選擇“安全”選項卡，在自定義級別設置頁面的“ActiveX控件自動提示”位置處，選擇“禁用”選項。

其次在“ActiveX控件和插件”設置項處，將“對標記為可安全執(zhí)行腳本的ActiveX控件”選項設置為“啟用”，將“對未標記為可安全執(zhí)行腳本的ActiveX控件”設置為“禁用”，確認后退出設置對話框。這樣，任何以不明控件形式存在的非法偷窺軟件，都將無法通過IE瀏覽器下載安裝到本地系統(tǒng)了。

為穩(wěn)妥起見，建議大家同時關閉瀏覽器的自動下載功能，不讓非法偷窺程序以其他形式偷偷下載到本地系統(tǒng)。打開系統(tǒng)運行對話框，輸入“gpedit.msc”命令，將鼠標定位到組策略編輯窗口左側的“本地計算機策略”、“計算機配置”、“管 理 模 板”、“Windows組 件”、“Internet Explorer”、“安全功能”、“限制文件下載”節(jié)點上，找到“所有進程”組策略，用鼠標雙擊之，選中“已啟用”選項，單擊“確定”按鈕保存設置即可。