②可以使用“mt –chkuser”查看用户是否被克隆

    mt.exe是一款非常强大的网络工具，它主要在命令行方式执行，可以开启系统服务，检查用户以及直接显示用户登陆密码等。其中一个比较实用的命令就是“mt -chkuser”用来查看系统是否存在被克隆用户。

    （2）查看网络连接情况。使用“netstat –an->netlog-1.txt”命令将目前端口开放情况以及网络连接情况生成netlog-1文本文件，便于查看网络开放的端口和连接的IP地址等，可以用来追踪入侵者。

    （3）查看远程终端服务。Windows2000/XP/2003默认的远程终端服务都是手动的。查看远程终端开放情况可以采取以下一些方法：

    ①查看“Terminal Services”服务启动情况。

    打开管理工具中的“服务”控制面板，查找名称为“Terminal Services”的服务，然后直接双击该服务名称就可以查看远程终端开放情况（图1）。“Terminal Services”启动类型有自动、手动和禁用。如果发现其启动类型为自动，则说明极有可能被人入侵。

图1 查看远程终端服务

    ②使用dos命令“query/quser”

    使用“query user /quser”命令可以直接查看目前远程终端服务连接情况，不过该命令只能在Windows 2000/2003 Server中使用，在Windows XP中需要到系统目录下的dllcache目录下执行。在WindowsXp中默认连接就是控制台连接，即sessionname为“console”。

    说明：在进行检查前，需要先行确定是否存在query.exe和quser.exe这两个文件以及其相应的文件大小，入侵者在入侵成功后，既有可能将query.exe和quser.exe这两个文件删除或者进行替换，query.exe和quser.exe文件大小分别为10,752和18,432字节。