编者按：往往，我们受到木马攻击后，都想到用杀毒软件去解决，但事实上，有时我们手头并没有这样的工具时，该将如何？我们就用命令，自己动手吧!

    【IT168 报道】在Internet网络中尽情冲浪时，一次不经意间的鼠标点击操作，可能会将网络木马引狼入室；一旦计算机系统遭受到木马攻击后，轻则导致系统运行不正常，严重的话自己的隐私操作会受到木马的密切监控，甚至可能会给自己带来重大的经济损失。

    为了让计算机系统远离木马攻击，我们有必要想办法及时找到隐藏在系统暗角处的木马程序，并采取有效措施将它们从系统中清除出去。提到寻找潜藏的木马攻击痕迹，相信多数人会说只要请专业的木马清除程序就能顺利地解决问题了；事实上，在很多场合下我们手头并没有什么专业的木马清除程序，面对这种情形，我们只要发挥出自己的聪明才智，巧妙地利用计算机系统自带的一些命令，就能将隐藏在系统暗处的木马程序“揪”出来了。现在本文就从系统自带的网络命令出发，来为各位贡献几则寻找木马攻击痕迹的技巧！

    善用net user，寻找木马帐号

    许多木马程序在对计算机系统尝试攻击操作时，往往喜欢通过帐号克隆的方法来远程控制和监视本地计算机系统，这种类型的木马程序一般会尝试将系统中的一个缺省登录帐号激活，并且这个被激活的缺省登录帐号往往很少被人使用到，之后木马会通过专业程序将该缺省帐号的操作权限提高到系统管理员权限级别。如果我们不仔细观察的话，还认为该缺省帐号和以前一样呢，事实上木马就是使用这个具有超级管理权限的克隆帐号来对本地计算机系统实施攻击的，因此这个经过伪装过的缺省登录帐号才是计算机系统最大的安全隐患，木马能够通过该帐号对本地计算机进行任意的恶意操作。为了及时从计算机系统中“揪”出这种类型的木马，我们可以巧妙地使用Windows系统自带的net user命令，来对本地的系统帐号进行快速检测，下面就是具体的检测步骤：

    首先以系统管理员身份登录进本地计算机系统，并在该系统桌面中依次单击“开始”/“运行”命令，从弹出的系统运行对话框中输入字符串命令“cmd”，单击回车键后，将系统工作状态切换到MS-DOS命令行模式；

图1

    其次在DOS命令行中输入字符串命令“net user”，单击回车键后，我们就能从如图1所示的界面中看到本地计算机中所有的用户登录帐号。之后在DOS命令行中再执行字符串命令“net user xxx”（其中“xxx”为具体的用户帐号名称），来依次查看每一个用户帐号究竟隶属于哪一个权限组，例如要查看“111”帐号是否属于administrator组时，只需要在DOS命令行中执行“net user 111”命令，在随后弹出的结果界面中我们从“本地组成员”中就能看到“111”帐号是否属于administrator组了。

    正常情况下，administrator组成员往往只包含Administrator用户帐号，其他用户帐号一般都不属于administrator组。倘若我们看到其中一个用户帐号属于administrator组成员的话，那么这个用户帐号多半已经被木马克隆过了，此时我们不妨在DOS命令行中执行字符串命令“net user xxx /del”，来将这个伪装的木马帐号删除掉，那样一来木马就无法通过那个克隆帐号继续对本地计算机进行恶意监视或控制了。