信使服务

防火墙检测到系统受到攻击时，一般会报警或记录下相应的数据。比如常用的天网防火墙，当它检测到系统遭受攻击时，系统托盘处的天网图标就会出现一个闪烁的警报信号，双击该图标，从弹出的窗口中，你可以得到攻击者的来源、试图从端口进行“突破”等信息（如图1）。

知道了攻击者的IP地址后，我们可以尝试使用信使服务给对方一个消息，可以是好言相劝哦！Windows 2000/XP默认情况下是将信使服务开着的，可以收到别人发送的消息。假设我们要给攻击者发送信使消息，可以打开“命令提示符”窗口，键入“net send 218.51.***.*** 警告消息”。如果要输入的文字消息比较多，在Windows 2000中还有另外一种法，打开[控制面板]→[管理工具]→[组件服务]，用鼠标右键单击“本地计算机上的服务”，选择弹出菜单中的[所有任务]→[发送控制台消息]，输入消息内容后，点击[添加]按钮，输入接收方的IP地址，最后点击[发送]按钮即可。

注意：如果对方没有开启信使服务，或者使用了不支持信使服务的系统（比如Windows 98），那么发送信息时你会收到出错的提示。

情报发往何处？

对于喜欢软件尝鲜的朋友，上了宽带后一定乐此不疲地下载试用各种软件，然而有些软件就像“披着羊皮的狼”，它们可能在暗中窃取你的秘密，然后发送到主人的邮箱中。对于一个自己不放心的软件，要得知它们在网络的一举一动，关键就是将它们活动的数据包记录下来，尝试找到收集“情报”的E-mail地址后，你就可以去封E-mail了解情况了！

目前能截获并记录网络数据包的软件比较多，笔者推荐采用KFW，这是一个防火墙软件，它最具特色的功能就是能截获指定应用程序的网络数据包，将发送和接收的数据一一记录下来，您可以进行保存、分析，掌握网络软件背后的一举一动。

KFW的下载地址：http://bbs.security.ccidnet.com/read.php?tid=591170，安装后重新启动就可以使用了。不同的网络防火墙一起使用时，彼此之间可能会有所冲突，笔者建议你使用KFW时关闭掉其他网络防火墙。

步骤1：添加到应用程序规则列表

运行你要监视的软件，如果该软件进行了访问网络的活动，KFW会弹出询问框或自动将其添加到应用程序规则列表中。

提示：出于安全的考虑，最好是让KFW弹出对话框进行询问，方法如下：执行主菜单[设置]→[设置向导]，在弹出的对话框点[下一步]，勾选“如果程序使用网络没有被记载则弹出询问窗口”。

步骤2：设置要监视的应用程序

打开KFW的设置窗口，切换到“应用程序规则”选项页面，找到刚才添加的那个软件，双击它，然后勾选对话框中的两个“记录数据包”选项，对发送和接收的数据都进行跟踪。返回后，勾选“开关”一列中的选项框。

步骤3：分析数据包

当被监视的软件进行网络活动时，打开KFW，切换到“数据包记录”页面，你可以查看相应的数据包信息，每条记录记载着协议名称、包大小、本机端口、对方端口、对方IP等重要信息，点击对方IP旁的按钮，你还能得到相应的地理位置信息。当你选中某条记录时，下面的窗格显示了相应数据包的内容，左边是16进制的显示方式，右边则是对应的文本显示（如图2），它就是我们要关心的信息，看一看，有没有发现可疑的E-mail地址？

截获E-mail地址信息后，你可以就该软件和其他朋友交流一下看法，集思广益，如果能确定该E-mail收集了你的情报，那就发封信件质疑一下吧，俗话说“做贼心虚”，说不准把他给吓跑了！