2、监控共享状态变化
一些木马或恶意攻击程序为了达到攻击目的,往往会偷偷在重要主机系统中创建隐藏共享文件夹,并通过该隐藏共享文件夹来偷窥对应系统中的隐私信息。为了避免重要主机系统中的隐私信息被他人偷窥,我们必须想办法对本地系统中的共享文件夹状态变化情况进行监控,一旦发现有陌生的共享文件夹被偷偷创建时,必须及时将它删除;那么如何对重要主机系统中的共享文件夹状态变化情况进行监控呢?我们可以利用Windows系统内置的net share命令来实现这一监控目的,下面就是该方法的具体实现步骤:
首先打开目标重要主机系统的“开始”菜单,点选其中的“运行”命令,在弹出的系统运行框中执行“cmd”命令,将系统切换到DOS命令行工作状态;
其次在该工作状态的命令行提示符下,执行“net share > e:\old.txt”字符串命令,Windows系统会将当前状态下的所有共享文件夹状态信息自动输出存储到“e:\old.txt”文件中,此时进入对应系统的“我的电脑”窗口中,打开“e:\old.txt”文件时,我们就能清楚地看到目标主机系统中的所有共享状态信息了,如图1所示;
日后定期在目标主机系统中执行一次“net share > e:\new.txt”字符串命令,将最新的共享文件夹状态信息输出保存到“e:\new.txt”文件中;为了判断出共享状态信息是否发生变化,我们继续执行“fc e:\old.txt e:\new.txt”字符串命令,该命令执行的结果会准确告诉我们目标主机系统中的共享文件夹究竟发生了哪些变化,例如新创建的共享文件夹有哪些,被取消的共享文件夹有哪些等等。
当然,如果想对共享状态的变化情况进行自动监控时,我们可以打开记事本程序,在文本编辑窗口中输入下面的命令行代码:
@echo off
net share > e:\new.txt
fc e:\old.txt e:\new.txt
在确认上面的输入代码正确无误后,依次执行文本编辑窗口中的“文件”/“保存”命令,将上面的命令代码保存为“e:\auto.bat”批处理文件,最后将该文件快捷方式直接拖动到对应主机系统“开始”菜单下面的“启动”项中,这么一来每次登录系统成功后,目标主机系统都会自动执行“e:\auto.bat”批处理文件,来监控对应主机系统中的共享状态信息的变化情况。