系统安全，从管理工具开始.pdfVIP

维普资讯 饰 一 鲫 lc0m 系统安全从●Tex管t平淡／理工具开始 系统安全始终是一个大家关注的热门话题。在这病毒肆虐、黑客横行的时代 ，仅仅安装防火墙 和杀毒软件，并不意味着从此高枕无忧。在很多时候 ，我们还得借助其他工具来保障系统的安全。 Windows系统自带的管理工具，也能成为我们保障安全的好帮手。 使用事件查看器查找黑客入侵踪迹 使用设备管理器查找隐藏病毒 个人计算机遭到黑客的入侵，导致数据丢失、隐私泄密 为了逃脱查杀，很多病毒把自己伪装为系统驱动服务。 已经不是新鲜事了0黑客常用的一个招数便是，侵入系统后 由于驱动服务加载的优先级最高，而且硬件服务在安全模 建立一个后门用户，并将其提升为系统管理员。 式也可以加载，因此，一些驱动型病毒很难查杀。现在借助 那么，我们怎么才能知道，自己电脑有没有被建立过非 管理工具中的 “设备管理器”，就可以轻松剿杀它们了口 法用户?有没有并被恶意登录过?答案就在管理工具里。在 管理工具的事件查看器中，我们能够查看到自己电脑账户 1 ~WindowsxP中打开管理工具，依次展开 “计 变动信息。 算机管理”一 “系统工具”一 “设备管理器”，打开设备管理 器后单击 查“看”一 显“示隐藏的设备”。 Steg1~WindowsxP中启动组策略编辑器，依次展 开 “计算机配置”一 “Windows设置”一 安“全设置”一 本“ 瑟2 展开 “非即 地策 略”一 “审核 插 即用驱动程序”，这 策略”，然后双击右 里我们就可以看到所有 侧窗格 的 “审核账 驱动型软件的服务程 户管理”，勾选 “成 序。比如，笔者杀毒软 功”和 “失败”审核 件检测发现本机存在名 (如图1)。 为 S“upeCD”的病毒， 但是始终无法删除。展 2 如果现 开上述设备后，在这里 在怀疑 自己的系统 发现病毒伪装的驱动服 被黑客入侵并建立 务 “SupeCD”，打开该眼务切换到 驱“动程序”，现在将其 过非法账户，打开 启动类型设置为 “已停用”(如图3)。单击 驱“动程序详细 控制面板的管理工 信息”，我们就可以看到病毒真身是 c“：＼windows＼system32＼ 具 中的 “事件查看 SupeCD．sys”。 器 ”，选择 “安全 性 ”。在右侧窗格 Stop3 重启电脑，由于病毒服务被设置为 “已停用”， 检查 “审核成功” 重启后病毒就不会加载。现在按驱动文件路径提示删除病 事件 ，很快就可以 毒即可。 发现账户的变化。 比如，笔者就在这 Vista绝招，用防火墙阻止账户连接 些审核事件中发现创建账户hacker事件 (如图2)。通过 查看其他事件进一步发现该账户在创建2秒后被提升为 在viSta中，系统管理工具里增加了 “高级安全 administrators，并在稍后删除。由于笔者自己从来没有创