|
可能是考虑到现在网络上的间谍软件特别猖獗,所以微软在Windows Vista中内置了一款相当不错的反间谍软件——Windows Defender。! R6 l E) F$ n: I6 f
! y- n- K& ]; g( h6 S' n0 l
Windows Defender概述
5 i6 O& X5 w! o9 `; V
4 g" G) {) B$ \, X, I Windows Defender的前身是Giant公司的Giant Antispyware。2004年12月微软收购了Giant公司,并把Giant Antispyware更名为Microsoft Antisyware(Beta 1)。在今年的2月16日,又将其正式更名为Windows Defender(Beta 2)。- @$ Z% v1 U! n/ @2 b5 Q
& t1 I) u2 M( V5 N' |- c 相对于Microsoft Antisyware Beta 1和其他第三方的反间谍软件工具,Windows Defender Beta 2具备以下显著的优点:( P; s/ i8 h3 @
; [0 Z, T* i, X1 `/ N
1)只需要用户进行很少的人工干预,Windows Defender就可以轻松工作在最佳状态。8 q4 z/ i) S0 w" Z! T& ?" M
' V6 S7 J; r8 w1 c. q 2)Windows Defender的工作界面非常简单,平时很难找到它的“踪影”,它并不像其他同类软件那样会在任务栏通知区域里添加一个图标。但是一旦发现Windows系统遭到间谍软件的危害,它就会立即“现身”帮助我们解决问题。
0 L8 q6 N1 b; v0 i9 H# I$ K- @' j& K) L* z2 K; {: ]
3)Windows Defender的软件更新集成到Windows Update中,无需我们额外花费精力进行管理。& V! h2 b, P9 \ l5 ^+ ^) M
' J7 O5 R- K! m: M) m 还有最重要的一个优点,就是Windows Defender是免费的,真是便宜量又足,完全可以给家庭用户带来足够的间谍软件保护功能。( `5 P# `4 y/ O
$ j2 [( g* p/ ?) \7 v0 ]% x 为什么看不到Windows Defender的通知区域图标' m/ g8 l/ U/ i; D8 E1 f0 L* h
6 h) {4 _( s) S( W( z3 ` 如果系统一切正常的话,Windows Defender就会从任务栏通知区域彻底消失。这对于熟悉前一版本Microsoft Antispyware的用户来说,可能会很不习惯,可能感觉Windows Defender并没有实时保护我们的计算机。
: S$ `- P, T. R5 a) e
/ i( u+ W0 F1 ~
) i5 b5 b# B; [6 A6 O3 A* B+ S" g, ~8 F+ Z3 g/ j& A; \
尽管平时Windows Defender并没有出现在任务栏的通知区域,但是实际上Windows Defender启动了一个后台服务,正在时时刻刻默默地替我们的计算机保驾护航。我们可以用以下步骤进行验证:6 T5 ~+ Y9 P7 n
- t& P( t" X2 ^7 v8 Y9 B! D+ H! A( c. Z 1)在运行对话框里输入“services.msc”并回车打开“服务”管理单元窗口。7 i1 X3 y9 E( X4 Y' T
( } L. z$ `: L4 [9 x, R
2)在打开窗口右侧的详细窗格里定位到“Windows Defender Service”服务,双击并打开其属性对话框,如图1。
- ~& C8 u! F0 x6 l2 I, T% r) s! h8 S. U& I8 d( t: S# M( b4 J
3)可以看到“Windows Defender Service”服务的启动类型为“自动”,这表明该服务随系统自动启动,其服务状态为“已启动”, Windows Defender确实在默默地为我们服务,只是它比较“低调”而已。
% E, o$ I8 D) m V3 Z; R/ `+ k/ U8 C) l
Windows Defender的实时监护/ v7 c' H6 c5 J: ]; Y3 t
# K& p* s9 ?; K( c6 Y
Windows Defender默认启用实时监护功能,一旦检测到对系统有危害的动作,就会立即弹出警告消息框。. e- G1 ?* g9 y/ S
. f% |5 D4 M+ M+ j- [8 a" ]
& p1 X Y! x& y3 z+ h
) j1 \. Z7 O1 E8 }2 i% z- e& ` 如果安装某个应用程序时发现其中“夹带”了间谍软件(例如臭名卓著的3721),Windows Defender马上就会弹出如图2的警告框。
& j+ I( \. j6 t2 U3 t( ~+ N" q/ M# W, x, l, V0 c; H5 d
这时候可以直接单击该警告框上的“全部删除”按钮,如果不放心的话,还可以单击“复查”按钮进行查看,结果如图3。* R' d* D4 ~, |+ X# H) e4 {: A7 }
" j k! T' I( v
5 O- O% `- d& q$ h# A+ ?
9 b6 c1 }! P3 U5 |( | 确认无误后,可以单击“全部删除”按钮,即可开始清除过程,由于3721涉及的文件和注册表键值较多,所以清除过程需要花上一点时间,如图4。清除结束后,系统可能会提示重新启动,以确保防护操作生效。$ i$ i1 |6 }6 l) V- |8 o8 D
, \# w0 W* f) A7 o5 ^
" o( x) `: A8 w7 {1 C
4 ~2 F V6 x; m# R8 x Windows Defender的手动扫描
7 T+ J# p7 z: P/ }* k
$ T- y2 W' u! z* K7 ]4 f' D: L 除了实时监护外,系统默认每天都对系统进行一次快速扫描,以最大限度地保护我们的系统。7 ]$ x- `& u) g- B# p
0 o2 N/ K: |# V) L ^ 除此之外,我们还可以手动扫描:
" ^: o3 n8 ~& H6 T, @9 D
3 _% V5 Z# E& |. r1 l 1)单击Windows Defender主窗口“扫描”按钮右侧的下拉箭头,在展开的下拉菜单里可以看到三个菜单项:快速扫描、完整扫描和自定义扫描,分别对系统进行快速扫描、完全扫描和定制扫描。+ C& w+ v) Q7 _* W- B8 n1 L
+ I( _( S$ I# w
2)单击“自定义扫描”,即可进入“选择扫描选项”页面,选中其上的“扫描选定的驱动器和文件夹”选项,然后单击右侧的“选择”按钮。6 [5 t. F3 O/ L
5 R3 S$ w7 ~7 X$ n, h+ }
3)在打开的对话框上指定所需扫描的驱动器和文件夹,如图5。单击“确定”按钮,回到“选择扫描选项”页面,单击其上的“立即扫描”按钮即可开始扫描。7 m! C: O9 o+ r, l; b9 \
9 f, M5 ^ h' S* A% |: \" ^7 w; I
- u$ _. C4 p T ?' G+ i
6 j: c d* M8 g" X6 W7 |' o 自定义Windows Defender的配置
! C- J0 u2 s: m. ^4 G% e
) h0 I4 ^! q% U Windows Defender的自定义配置功能非常强大,而且默认配置就已经可以提供足够的安全防护。这里我们也可以对其进行自定义:8 _, B% u0 G% l' L. q3 Q; x
7 K$ o" y# d `5 g2 I. F8 C) ~! M$ T& u 首先单击Windows Defender主窗口的“工具”按钮,然后单击“选项”,即可进入配置页面。1 O5 h& e. S- m4 T5 V* Y) P7 ?
: X- Y; i0 O9 N k8 b! k! F7 C 自动扫描配置* o7 F! P" {0 P9 h( B) ~( \
, C4 n6 f) i! q( b0 I2 e- f' U" V# @ 在“自动扫描”部分,可以指定扫描的频率,如图6。默认是每天都扫描,我们可以指定每星期扫描一次,例如可以选择星期日扫描。还可以指定扫描的时间,默认是清晨2点,可以进行调整。& p A9 f9 z+ C3 f2 R) S
- N; s0 |2 ` `- x8 e7 C, g
! X4 u+ a0 I1 j5 S9 y7 @2 F8 U8 `
6 l5 A0 u" X- {; o* F8 x @ 实时监护自定义
& @; I0 D4 ~2 C9 i/ h" G& I
5 @6 q6 k1 j5 f3 H- g, ~ 还可以对实时监护的功能进行自定义,在“选项”页面的“实时保护选项”部分,可以选择实时监护所涉及的选项,这里推荐全部勾选,如图7。' w, ^4 ^5 t ?* d" D4 ]9 s
1 P4 O% }) W+ b- E( v/ V5 s
) c1 r+ A. x; }6 \6 D- C8 V$ S9 Z4 C; @5 o# l% l
Windows Defender的高级功能* x$ g/ s5 a) B3 I! D
i9 L, j" u1 r! h# w8 u# O 尽管Windows Defender和它的前任Microsoft Antispyware相比,变化非常大,但是却保留了Microsoft Antispyware最精华的部分——软件资源管理器。该功能可以帮助我们详细地了解并配置自启动进程、当前运行任务和网络连接,接下来分别进行描述。
; `- Z3 t9 B. v8 K
6 f& ^/ a" B5 C1 }. G 首先单击Windows Defender主窗口的工具按钮,然后单击“软件资源管理器”,即可进入“软件资源管理器”页面。+ C' L: _' ]$ o& K- q$ H* B9 } ]! u
$ E x# c( }! ^
# {# a) j, H M5 t# N; I! F1 \
2 D; H+ {+ Z2 T3 N8 w 配置自启动进程8 Z* h# A* Z" B8 A" m$ t3 l$ \
9 I& C# O. f7 `
在“类别”下拉列表框里选择“启动程序”选项,即可在页面的左侧显示当前系统的所有自启动进程,并且按照所属厂商进行归类。
8 ], V4 R0 C6 H/ `- u0 [
6 f( Q1 T! ~( a- ~ 任意选中其中的某个自启动进程,就可以在右侧的详细窗格里查看其具体信息:例如是否具有数字签名(并且显示提供签名的厂商),该应用程序所在的路径,启动类型、是否属于Windows自带的进程等。- b; o# U; y$ {3 v6 B
$ A) {& u+ F. A3 e
例如在左侧的进程列表里选择“Microsoft Windows Explorer”进程,就可以在右侧详细窗格里查看该进程的具体信息,如图8。) u# t( g: Q( [0 m5 _9 W: d
2 [) N* b3 U3 M8 Y( C7 I' t. B1 }& S- g
● 从“数字签名方”一栏里可以知道该进程是由“Microsoft Windows Verification Intermediate PCA”进行数字签名,应该是可信的进程。
' q8 q$ ~; o5 ~1 O2 X7 }: F2 b/ _ K* M4 W
● 从“文件路径”一栏里可以了解该进程的程序文件位于“D:\WINDOWS\explorer.exe”。% V! y7 j" N. ~) _
) c- V# v/ Q* f( j1 k. ]$ ^0 }
0 S# l3 E: _! a4 A9 W: U, {- i% x2 T( H! G
当前运行的任务) z: ?7 J4 B+ L
! ~: {& Q$ K$ y/ v
在“类别”下拉列表框里选择“当前运行的程序”选项,即可在页面的左侧显示所有已经启动的进程,并且按照所属厂商进行归类。尽管在任务管理器中也能查看当前启动的进程,但是Windows Defender所提供的信息远比任务管理器多。* V8 J; Y; Z8 k- N- X B
& [" b9 x$ {) V$ G+ r 这里可以在左侧的进程列表里选中一个“Microsoft Generic Host Process for Win32 Services”(svchost.exe)进程,即可在右侧详细窗格里看到其具体信息,如图9。, Z7 g$ z' r8 _. T9 q! p/ ~& J
3 p0 i! K J! I7 t' Q6 U: q# D
其中绝大多数信息类似于查看自启动进程所得到的信息。但是其中的一项“服务”信息非常有用,可以查看该进程所加载的系统服务,例如本例中我们可以看到该进程加载了DCOM Server Process Launcher、Plug and Play等多个服务。* q6 _, g8 |' C. a, y- f
5 X4 I. B, T0 ]1 y. s
对于某些进程,我们可以单击右侧的“结束进程”按钮中止该进程,但是并不是所有的进程都可以通过这种方法中止(这时候“结束进程”按钮灰色显示),这是因为这些进程是Windows Vista的重要进程,如果强行中止的话,可能会导致系统崩溃。
2 W) x! h+ M* a" c* X& ?6 D; `
/ a' \, v) s& _9 Z- Z. L 网络连接程序
" N! m' V2 i( W2 z0 \$ u; N6 \9 ~9 W9 ?% W# ~5 O: x
在“类别”下拉列表框里选择“网络连接的程序”选项,即可在页面的左侧显示所有网络连接进程,并且按照所属厂商进行归类。
% F. E; B* a, X$ S9 I+ l6 C. N3 H! x+ o& A0 a C
; z4 P2 v9 M7 d6 l- r9 O: {3 A# y% d/ B
这个功能非常实用,例如我们选中左侧进程列表里的“Messenger”进程,在右侧的详细窗格里即可看到该进程的具体信息,如图10所示。. v9 @) `1 @4 l* u+ o" j5 s
: P; _2 }( p* p% {. F
可以看到Messenger在本地打开的TCP/IP端口,以及远程IP地址所监听的端口。如果要中止该进程,单击右侧的“结束进程”按钮即可。如果希望阻止Messenger的入站连接,单击右侧的“传入阻止”按钮即可。
, i6 ^8 B- H" V' V T2 q: p- z$ L5 m+ E
单击右侧的“传入阻止”按钮,实际上是在Windows防火墙里取消“Windows Live Messenger 8.0”的例外,我们可以按照以下步骤进行验证:
5 }5 W. Y) v1 ?) v
; W5 f$ [2 p% g0 }
5 L+ N! N% q- t/ v
! U' n! N, ]0 C- m! n 在运行对话框里输入“firewall.cpl”,按回车打开“Windows防火墙”对话框,并切换到“例外”标签页。
" u1 E3 _9 K! s/ O6 L. f* u( F9 Z! k( N" Y% s. |! B
在该“例外”标签页里,我们可以看到“Windows Live Messenger 8.0”的例外左侧的复选框被清空,如图11 |
|