技術應用

作者：木本

現在不論在Internet還是局域網中，病毒、木馬都是肆虐橫行，防範病毒、木馬的攻擊，已經成為每位用戶的頭等安全大事。事實上，在局域網環境中，除了病毒、木馬會影響客戶端係統的安全，用戶的操作，甚至安裝在係統中的應用程序，都會對本地係統造成安全威脅；為此，很多時候我們需要追根溯源，弄清究竟誰在偷偷使用係統，以便找出應對之策，解除本地係統的安全威脅。

弄清誰在進行操作

在局域網工作環境中，當客戶機的主人因急事臨時離開係統，而恰好此時有其他用戶偷偷登錄自己的係統時，難保這些用戶不會在本地係統中進行一些危險性操作，例如惡意刪除重要文件，或者偷偷查看主人的隱私信息等等。為了判斷本地係統是否存在安全威脅，我們有必要弄清楚其他用戶究竟在本地係統中進行了哪些操作；要做到這一點，我們可以利用專業工具“LC電腦監控係統”，來監控其他用戶在偷用本地係統時所進行的一些操作。

首先從網上下載獲得“LC電腦監控係統”程序，按照常規方法將其安裝到自己的客戶端係統，之後啟動運行該程序，單擊對應程序界麵中的“開始監控”按鈕，此時本地係統就會自動處於受監控狀態，日後即使有用戶偷偷使用自己的係統，他在本地係統中所從事的一切操作都會被全稱記錄下來。

為了便於主人查看監控結果，“LC電腦監控係統”程序會對係統屏幕內容進行定期截圖，主人可以根據實際情況設置好截圖的間隔時間，以保證操作監控的精度；日後主人想要了解其他人究竟在本地係統中進行了哪些操作時，隻要打開“LC電腦監控係統”程序的主監控界麵，單擊其中的“查看所有記錄”或“查看當天記錄”按鈕（如圖1所示），就能看到屏幕截圖的內容了。

當然，別人在偷用本地係統時，很有可能會發現係統中安裝有類似“LC電腦監控係統”的監控程序，如果他們將這些監控程序關閉掉，那麼主人就不能監控到別人的操作痕跡了；為了不讓別人輕易發現監控程序的“身影”，我們可以在主監控界麵中單擊“係統設置”按鈕，在其後彈出的設置對話框中，將“隱藏運行”選項選中，以便讓“LC電腦監控係統”程序始終處於後台運行狀態，這樣別人偷用本地係統時，就不大容易發現本地係統安裝有監控軟件了。

弄清誰在訪問文件

自從QQ與360之間公開進行“對戰”後，大家都知道了很多應用程序無論在啟動、運行的時候，還是在關閉、退出的時候，都可能會偷偷訪問本地係統中的一些文件；但是這些應用程序究竟訪問了本地係統中的哪些文件，有沒有訪問到係統中的隱私信息，這讓不少關注安全的用戶十分不放心，一旦自己的隱私信息被它們偷偷訪問，同時將這些隱私內容悄悄發送給其他人，那對自己的安全威脅簡直也是太大了。為了弄清楚究竟誰在訪問文件，究竟訪問了哪些文件，我們隻需要借助Filemon這款工具就能達到目的了。

與係統內置的監視器功能相比，Filemon工具可以為用戶提供更加直觀、明了的監控功能；在使用該工具監控應用程序在安裝、啟動或關閉、退出時究竟訪問了哪些文件時，操作十分簡單，用戶隻要啟動該工具程序，它就能自動對當前狀態下所有正在運行的應用程序進行監控，並會將它們修改或訪問係統文件的情況全部記憶下來，監控內容會直接顯示在程序界麵中。當然，要是用戶感覺到顯示在監控界麵中的結果信息字體比較小而看不清楚時，不妨嚐試將監控結果保存為filemon.10g的文本文件；在進行這種保存操作時，隻要先單擊對應程序界麵工具欄中的“捕獲”按鈕，之後停止捕獲操作，再單擊“保存”按鈕就能完成保存操作了。

比方說，我們現在想弄清楚Chrome程序究竟在訪問或修改哪些文件時，隻要打開保存了監控結果的filemon.10g文件，在該文本編輯窗口中依次單擊菜單欄中的“編輯”、“查找”命令，在彈出的關鍵字查找對話框中，輸入關鍵字“Chrome”，就能將所有與Chrome程序有關的文件訪問或修改記錄查找出來了（如圖2所示），從這些監控內容中，我們能很直觀地發現Chrome程序在啟動、運行、關閉、退出的時候，對本地係統所執行的文件打開、關閉、寫入、訪問、查詢、鎖定、解鎖等一切操作行為，並且還能發現Chrome程序所有的操作行為僅僅限於自己的安裝目錄，而沒有訪問其他目錄的痕跡，這說明Chrome程序並沒有偷窺本地係統的隱私。