文/杨浩

　　MIB总部接受了一项全新的任务，跟踪和调查破坏网络安全的黑客的行踪。为此，我们特开辟了黑衣人信箱(ns＠cce.com.cn)，收集线索。请您提供您遭遇黑客的详细报告，我们将根据您提供的资料，进行分析、研究，并提供有效地保护。

　　We are the Men in Black.

　　Our mission?is to monitor Hacker on Earth.

　　网友小C：某天当我正在网上闲逛的时候，突然出现一个信息栏，“某某大侠已经成功登录你的电脑，并且安装了后门……”，此后我就不得宁日，机器出现以下症状：每次重新启动，系统自动将所有驱动器设置为共享，同时还有C:Windows；我的Office的文档启动之后进入锁死状态，无法编辑，查看属性一切正常……请各位大侠出手，看看是什么马跑到我的电脑中，应该如何处置？

　　黑衣人：这位兄弟真是不幸！在喜迎新年之际，竟遭此噩运，黑衣人对此深表同情。OK，就来看看这件令人头疼的“新年礼物”。

　　从症状来看，现象比较普及，且带有综合性感染病毒或者遭受黑客木马攻击两方面的可能性都存在。所以这里分别列举说明：

　　1、感染病毒

　　病毒大家不陌生了吧？在你浏览网页的时候黑客代码可能已经通过Javascript或者其他的脚本语言注入系统。出现“某某大侠……”的对话框可以轻松实现，然后代码将注册表修改，最终导致后面的奇异现象发生。

　　这种病毒危害力虽不如CIH但清除起来颇为麻烦。首先你需要一款好的杀毒软件(如新版的《金山毒霸2003》)，将杀毒软件的病毒库升级为最新的，然后在Windows下全面杀毒。完成以后再进入纯DOS模式下再一次杀毒(病毒感染系统文件后，杀毒软件不能在Windows下清除)。待确保整个硬盘已经没有病毒的情况下再来面对那“支离破碎”的注册表。建议首先采用恢复注册表的方法，进入纯DOS模式，输入Scanreg指令，调出在症状未出现以前的注册表文件(切记一定要使用未感染病毒时候的注册表文件)，恢复注册表！也可以在Windows下使用注册表工具软件来完成，常用的如“超级兔子”、“Windows优化大师”，只要对症下药，把工具软件里的相关选项重新设置一下就可以了。

　　2、受到黑客攻击

　　如果是受到黑客攻击，那么最大的可能性就是通过木马的形式破坏系统的(再浏览网络的时候木马可能已经通过Cookies植入系统)，黑客通过木马实现远程控制，显示对话框。并取得系统的最高使用权限，将驱动器共享，文件属性一一修改，这是很容易的(还好不是鼠标自动移动到盘符下进行Format哟！)。

　　解决方法也并不困难，首先安装网络防火墙，进行进一步的诊断和症状确认，从网络防火墙的日志文件中，可以轻松得到系统的网络信息；接下来你要断开网络了，再“黑”的客也要通过网络不是！如果是使用的Windows 2000或者Windows XP系统的用户，应该将系统的所有用户一并删除，特别是Guest用户。现在使用杀毒软件清除木马程序，好一点的杀毒软件寻找和清除木马程序是“易如反掌”的。如果是使用固定IP接入网络的用户，最好再做一下后面的工作，因为是固定IP，黑客可以对此IP继续发起攻击，可能上述的症状消失，进而产生新的问题，建议留意一下防火墙的日志文件，看是否有一个地址向本机发送来历不明的数据包。

　　从笔者的经验看来，第一种病毒的可能性最大，不妨先采用第一种形式。好了！祝这位朋友早日解决问题，过一个安稳的新年，再希望我这个黑衣人可以早日“下岗”，大家不再为各式各样的安全问题烦恼，让我们拥有一个舒适的网络环境。最后祝所有的网络中人——新年快乐！