诚毅小家|集美大学生活【集美大学,诚毅学院,水产学院,师范学院,美术学院,财经学院,体育学院,航海学院,集美学村,石鼓路,龙舟池】

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
查看: 539|回复: 0

Windows Vista反间谍软件手册

[复制链接]
发表于 2007-1-28 10:11:57 | 显示全部楼层 |阅读模式
可能是考虑到现在网络上的间谍软件特别猖獗,所以微软在Windows Vista中内置了一款相当不错的反间谍软件——Windows Defender。: N) i. p. u: H* a" L7 L% u6 o0 S. I
( V6 u0 s9 n" @2 J5 B& ]
  Windows Defender概述3 u# b1 e0 s9 T. }, r; n2 A* U
: S9 T0 M6 Z; D$ t2 P6 C/ X
  Windows Defender的前身是Giant公司的Giant Antispyware。2004年12月微软收购了Giant公司,并把Giant Antispyware更名为Microsoft Antisyware(Beta 1)。在今年的2月16日,又将其正式更名为Windows Defender(Beta 2)。5 m) L; f9 U- c+ W' |- Y# ?
" w# c- E: e" H; {+ }; u
  相对于Microsoft Antisyware Beta 1和其他第三方的反间谍软件工具,Windows Defender Beta 2具备以下显著的优点:
  t7 z& h+ ~* A$ K* Q. _% j5 _4 E! o, M
  1)只需要用户进行很少的人工干预,Windows Defender就可以轻松工作在最佳状态。/ U1 s+ Q0 m# D8 o* Q2 A' }! R
: }& A0 f7 ?1 B: c* M+ p% \7 T
  2)Windows Defender的工作界面非常简单,平时很难找到它的“踪影”,它并不像其他同类软件那样会在任务栏通知区域里添加一个图标。但是一旦发现Windows系统遭到间谍软件的危害,它就会立即“现身”帮助我们解决问题。0 Q, O+ d+ A$ u: ?8 M0 p" L3 M

' N9 y- @) f. i# p% u- f) R  3)Windows Defender的软件更新集成到Windows Update中,无需我们额外花费精力进行管理。: G. O9 K5 n; z/ `
' L( L* @5 P3 i
  还有最重要的一个优点,就是Windows Defender是免费的,真是便宜量又足,完全可以给家庭用户带来足够的间谍软件保护功能。
1 v, @! P' n5 }6 E# z1 t3 g2 m' `& l4 N- N* n3 L: t, s
  为什么看不到Windows Defender的通知区域图标
; a, k' V6 W; Y- i1 U1 q/ C* g  [. ~9 c9 S; q, C9 P
  如果系统一切正常的话,Windows Defender就会从任务栏通知区域彻底消失。这对于熟悉前一版本Microsoft Antispyware的用户来说,可能会很不习惯,可能感觉Windows Defender并没有实时保护我们的计算机。
  r# X' T3 b0 w; {' {+ N. }: _, S. }* x4 l( r5 a1 A4 @
  
" T* Y3 r7 G/ s
8 u# E% P* ?" D  尽管平时Windows Defender并没有出现在任务栏的通知区域,但是实际上Windows Defender启动了一个后台服务,正在时时刻刻默默地替我们的计算机保驾护航。我们可以用以下步骤进行验证:
( U) @1 S! M6 h) }
. I6 P9 i! l% u* S/ ~3 J( t5 A  1)在运行对话框里输入“services.msc”并回车打开“服务”管理单元窗口。
: ^6 i+ z7 f; ^6 f, v. s, e
  \& e0 A( A% z! M3 i5 W" P/ n+ z  2)在打开窗口右侧的详细窗格里定位到“Windows Defender Service”服务,双击并打开其属性对话框,如图1。' g0 V4 ^0 g7 K8 @: B! C6 j" f

$ \5 i, D; l8 ^6 t% v: P# p. l$ p  3)可以看到“Windows Defender Service”服务的启动类型为“自动”,这表明该服务随系统自动启动,其服务状态为“已启动”, Windows Defender确实在默默地为我们服务,只是它比较“低调”而已。
% P3 z: Q. Y% F8 g- l( n! V1 X; @. N) o$ [1 F# }4 U
  Windows Defender的实时监护
0 F. a4 K+ c8 W' p" X/ k) ?% J# J! c8 o8 P; A% E" z9 \( R7 x
  Windows Defender默认启用实时监护功能,一旦检测到对系统有危害的动作,就会立即弹出警告消息框。
/ q7 D0 E- R) u- s# W" A0 S  }- C7 K% e) Y# k
  
- ]0 C! u: h3 i0 L- X
6 L, {! Y3 l) z" N  如果安装某个应用程序时发现其中“夹带”了间谍软件(例如臭名卓著的3721),Windows Defender马上就会弹出如图2的警告框。
! Q/ @+ R: A, v: U1 m  M  Y2 T( \& U& H. F& ~
  这时候可以直接单击该警告框上的“全部删除”按钮,如果不放心的话,还可以单击“复查”按钮进行查看,结果如图3。
' e8 }( b; s2 D9 O' O6 e9 y0 u2 x  I) `" f
   2 n0 J( }; R: a: ?, X

2 J" a( T* ^; F) d+ a, y  确认无误后,可以单击“全部删除”按钮,即可开始清除过程,由于3721涉及的文件和注册表键值较多,所以清除过程需要花上一点时间,如图4。清除结束后,系统可能会提示重新启动,以确保防护操作生效。+ `6 u( ]5 j2 g6 [: n
, B( ^( m1 _, x9 c8 t8 k
  
. e- g1 X$ E) r# P4 h/ P; P
' x: i/ B% D# b5 [9 O  Windows Defender的手动扫描
/ J  l% ]1 z* e! k5 N# W1 ?5 C
; j3 @0 s* C( h  除了实时监护外,系统默认每天都对系统进行一次快速扫描,以最大限度地保护我们的系统。
8 V% t$ T. B6 `- |  E  R! c3 i  C. _2 J# m
  除此之外,我们还可以手动扫描:
# @  c- C' u6 G/ v# v
8 v- h5 k7 K7 p" [3 f1 n  1)单击Windows Defender主窗口“扫描”按钮右侧的下拉箭头,在展开的下拉菜单里可以看到三个菜单项:快速扫描、完整扫描和自定义扫描,分别对系统进行快速扫描、完全扫描和定制扫描。. [9 p( @# B; k

, v9 e! z8 d" B! F  2)单击“自定义扫描”,即可进入“选择扫描选项”页面,选中其上的“扫描选定的驱动器和文件夹”选项,然后单击右侧的“选择”按钮。
2 E/ ?. q) u* Z, @0 S, s
7 {8 F" q; S) K# ^0 d5 k1 r  3)在打开的对话框上指定所需扫描的驱动器和文件夹,如图5。单击“确定”按钮,回到“选择扫描选项”页面,单击其上的“立即扫描”按钮即可开始扫描。
- Z' n% Q5 G. O0 s9 B# `! A
8 O* ^: }9 C- y, y, C3 R4 i3 ^& O  
$ d( }) t% l5 g& Q3 H. Z) E5 }% S- }9 W+ J& P
  自定义Windows Defender的配置/ a2 v- ~; M7 w2 d" b) n" I: A; {

( z5 o6 E5 `  U; F  Windows Defender的自定义配置功能非常强大,而且默认配置就已经可以提供足够的安全防护。这里我们也可以对其进行自定义:3 T  Q. Q/ t+ P9 D3 x% T" X1 n

2 _3 T0 X5 q# t2 a5 L9 a  首先单击Windows Defender主窗口的“工具”按钮,然后单击“选项”,即可进入配置页面。) t+ ^( c& |+ b7 g% [0 M; u

9 ~3 Z5 s( t, ^7 U  自动扫描配置
) K' `& I; g* I- ^& J; I' z7 e: h* K+ \
  在“自动扫描”部分,可以指定扫描的频率,如图6。默认是每天都扫描,我们可以指定每星期扫描一次,例如可以选择星期日扫描。还可以指定扫描的时间,默认是清晨2点,可以进行调整。. x1 L: ~- w2 B' ]
5 U; s, i4 k9 s+ z0 E7 g
   ! f- B" k: T1 I# h, Q, i

* N) R4 }! ^- Q  实时监护自定义7 @+ o& D! p, V

: g  p5 T8 k7 W3 R/ I  还可以对实时监护的功能进行自定义,在“选项”页面的“实时保护选项”部分,可以选择实时监护所涉及的选项,这里推荐全部勾选,如图7。
; s  X& c5 U% j$ a# X! `8 v
, u: T( o) V9 R   ' k* a) t; R" L$ b" N
! ?1 q# {2 R% f/ c  }, M
  Windows Defender的高级功能
0 i- A1 K9 u1 N6 _( D: Z( ^; M
4 I- @2 K' e9 T) X* z7 T( ?2 V  尽管Windows Defender和它的前任Microsoft Antispyware相比,变化非常大,但是却保留了Microsoft Antispyware最精华的部分——软件资源管理器。该功能可以帮助我们详细地了解并配置自启动进程、当前运行任务和网络连接,接下来分别进行描述。8 m3 u9 G4 H! M# k7 N
+ o, ^. V$ G/ e# X1 o) j. v
  首先单击Windows Defender主窗口的工具按钮,然后单击“软件资源管理器”,即可进入“软件资源管理器”页面。( g, h8 R% X: c. @- b( y
" T! L. D# m2 A2 ?
  
+ y- j1 J7 F3 z
' p/ H3 @& U& `3 z! P3 J% ^  配置自启动进程
- {7 s' w4 F% W  z: L$ Q9 x+ L
0 b0 l9 d0 J* Y2 A' N' O0 O' u% j  在“类别”下拉列表框里选择“启动程序”选项,即可在页面的左侧显示当前系统的所有自启动进程,并且按照所属厂商进行归类。
# ?/ C' Y( x! X8 p2 Z) ]8 R& }2 V9 V1 V& a3 K0 Y
  任意选中其中的某个自启动进程,就可以在右侧的详细窗格里查看其具体信息:例如是否具有数字签名(并且显示提供签名的厂商),该应用程序所在的路径,启动类型、是否属于Windows自带的进程等。" O1 R* r3 k4 c% O
0 x! ]! ~7 V7 S" G' \& I7 n# D
  例如在左侧的进程列表里选择“Microsoft Windows Explorer”进程,就可以在右侧详细窗格里查看该进程的具体信息,如图8。
( V9 p3 Y' }9 a1 {+ m# f) I& \: I7 ^; Y1 t: Y0 }  A
  ● 从“数字签名方”一栏里可以知道该进程是由“Microsoft Windows Verification Intermediate PCA”进行数字签名,应该是可信的进程。3 h/ w1 I' K' d

* \' V: b# A% q7 Y  ● 从“文件路径”一栏里可以了解该进程的程序文件位于“D:\WINDOWS\explorer.exe”。- V4 D6 l1 m! M. ~: n$ ^

& `; I! M% Y$ {5 b7 w+ `( c  
3 B6 M% L1 S+ t7 R" |& p5 s
. k' c2 i7 n- l  当前运行的任务  y" L5 r4 C1 ^8 d6 j

; _5 k. p( a* \  在“类别”下拉列表框里选择“当前运行的程序”选项,即可在页面的左侧显示所有已经启动的进程,并且按照所属厂商进行归类。尽管在任务管理器中也能查看当前启动的进程,但是Windows Defender所提供的信息远比任务管理器多。
5 k- Q) s. _1 v! B8 U- P+ C# d; [" ~
  这里可以在左侧的进程列表里选中一个“Microsoft Generic Host Process for Win32 Services”(svchost.exe)进程,即可在右侧详细窗格里看到其具体信息,如图9。) J! j" A1 |: ]8 }

3 R$ u  b1 @: g/ }/ a& F  其中绝大多数信息类似于查看自启动进程所得到的信息。但是其中的一项“服务”信息非常有用,可以查看该进程所加载的系统服务,例如本例中我们可以看到该进程加载了DCOM Server Process Launcher、Plug and Play等多个服务。9 d2 Y% z% f, n) F) T6 c

+ ]4 e& G  M/ R; m0 }  对于某些进程,我们可以单击右侧的“结束进程”按钮中止该进程,但是并不是所有的进程都可以通过这种方法中止(这时候“结束进程”按钮灰色显示),这是因为这些进程是Windows Vista的重要进程,如果强行中止的话,可能会导致系统崩溃。
( D2 r+ `3 A) z! r5 z9 N; G* H  A1 @# y+ U% g5 N: e
  网络连接程序8 _. k5 B6 r3 o5 e
1 R6 w5 \% x& I# G6 V: y
  在“类别”下拉列表框里选择“网络连接的程序”选项,即可在页面的左侧显示所有网络连接进程,并且按照所属厂商进行归类。, V, G% }1 I4 d
: J4 h  r8 k+ ~$ h3 H  {$ `5 l& N
   $ {1 J8 q- G8 ^9 I

. D" R; }! S$ Z  U  这个功能非常实用,例如我们选中左侧进程列表里的“Messenger”进程,在右侧的详细窗格里即可看到该进程的具体信息,如图10所示。: i' }1 ?4 K+ g
: x  d: @( T; u7 g* N0 {
  可以看到Messenger在本地打开的TCP/IP端口,以及远程IP地址所监听的端口。如果要中止该进程,单击右侧的“结束进程”按钮即可。如果希望阻止Messenger的入站连接,单击右侧的“传入阻止”按钮即可。" M& U+ C/ t4 v; Q7 k
7 y: F9 _3 y9 q
  单击右侧的“传入阻止”按钮,实际上是在Windows防火墙里取消“Windows Live Messenger 8.0”的例外,我们可以按照以下步骤进行验证:
/ \1 D, S: T) B' q! D/ C& N
4 R' K1 S% P  ?$ E( D4 Y4 P  
' J, G7 e/ ]. ?% @
0 D" U. f. v- ~0 M! q3 M  在运行对话框里输入“firewall.cpl”,按回车打开“Windows防火墙”对话框,并切换到“例外”标签页。( K3 k# h1 p) O% s7 V  Q
' V7 u9 Q4 M/ S6 ~+ _( Q  t2 G+ p
  在该“例外”标签页里,我们可以看到“Windows Live Messenger 8.0”的例外左侧的复选框被清空,如图11
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|诚毅小家 ( 小家社区工作室 闽ICP备05007965号 )

GMT+8, 2024-11-1 09:22 , Processed in 0.050153 second(s), 24 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表