3、通透系统共享状态变化

　　有的时候，Windows Server 2008系统一旦遭遇了木马或病毒程序攻击后，系统中会莫名其妙地多出许多隐藏共享文件夹，木马或病毒往往就是利用这些隐藏的共享文件夹来实现偷偷监控本地重要资源目的的。如果我们采用手工方法来查询本地服务器系统中重要资源的共享状态变化时，不但工作量很大，而且也很容易出现遗漏；事实上，巧妙地利用Windows Server 2008系统自带的“net share”命令，我们可以将对应系统中的所有隐藏共享资源记录下来；日后我们怀疑系统中重要资源的共享状态发生变化时，再使用“net share”命令记录一次系统的共享状态信息，之后利用fc命令来比较前后两次的状态变化，如此一来我们就能快速地知道哪些共享文件夹是新创建的，哪些文件夹的共享状态已经被取消了。在使用“net share”命令记录本地服务器系统的共享资源状态变化时，我们可以按照下面的操作来进行：

　　首先在Windows Server 2008系统桌面中用鼠标逐一点选“开始”/“程序”/“附件”选项，从其后出现的“附件”子菜单中选中“命令提示符”项目，并用鼠标右键单击该项目，从弹出的快捷菜单中执行“以管理员身份运行”命令，将系统状态切换到DOS命令行工作状态；

　　其次在DOS命令行工作状态中，输入字符串命令“net share > d:\111.txt”，单击回车键后，Windows Server 2008系统中所有重要资源的共享状态信息全部被保存到“d:\111.txt”文件中了，此时我们在系统资源管理器窗口中，打开“d:\111.txt”文件时，就会看到本地服务器系统中的所有共享文件夹记录了，如图3所示；

　　以后每过一段时间，我们再在Windows Server 2008系统中执行一次“net share > d:\222.txt”字符串命令，之后在MS-DOS窗口中继续执行字符串命令“fc d:\111.txt d:\222.txt”，就能快速知道本地服务器系统中的共享状态信息是否发生变化了，并且还能准确地知道究竟是哪些共享文件夹是刚刚新创建的，哪些共享文件夹的共享状态已经被取消了。