善用命令 通透Windows 2008系统状态变化

同样地，我们还可以在“wmic:rootcli>”系统命令提示符下，执行字符串命令“process list brief”，来观察系统所有进程的状态信息，也可以将进程状态信息备份保存下来，以便日后系统遇到意外现象时，对比检查系统进程状态的变化情况，这种对比检查操作也有利于我们判断Windows Server 2008系统是否遭受了木马或病毒程序的攻击。

3、通透系统共享状态变化

有的时候，Windows Server 2008系统一旦遭遇了木马或病毒程序攻击后，系统中会莫名其妙地多出许多隐藏共享文件夹，木马或病毒往往就是利用这些隐藏的共享文件夹来实现偷偷监控本地重要资源目的的。如果我们采用手工方法来查询本地服务器系统中重要资源的共享状态变化时，不但工作量很大，而且也很容易出现遗漏；事实上，巧妙地利用Windows Server 2008系统自带的“net share”命令，我们可以将对应系统中的所有隐藏共享资源记录下来；日后我们怀疑系统中重要资源的共享状态发生变化时，再使用“net share”命令记录一次系统的共享状态信息，之后利用fc命令来比较前后两次的状态变化，如此一来我们就能快速地知道哪些共享文件夹是新创建的，哪些文件夹的共享状态已经被取消了。在使用“net share”命令记录本地服务器系统的共享资源状态变化时，我们可以按照下面的操作来进行：

首先在Windows Server 2008系统桌面中用鼠标逐一点选“开始”/“程序”/“附件”选项，从其后出现的“附件”子菜单中选中“命令提示符”项目，并用鼠标右键单击该项目，从弹出的快捷菜单中执行“以管理员身份运行”命令，将系统状态切换到DOS命令行工作状态；