|
|
可能是考虑到现在网络上的间谍软件特别猖獗,所以微软在Windows Vista中内置了一款相当不错的反间谍软件——Windows Defender。
0 x; ]4 ] I1 h; Y" [' K1 v
, b& D& A8 Z: n# G# n Windows Defender概述
$ G) U# T0 o/ r' T6 d; o q
, [. W& G0 }/ |, _# D Windows Defender的前身是Giant公司的Giant Antispyware。2004年12月微软收购了Giant公司,并把Giant Antispyware更名为Microsoft Antisyware(Beta 1)。在今年的2月16日,又将其正式更名为Windows Defender(Beta 2)。: J" y, R* R: R% R6 X' H
( `5 s! ]1 P4 Z7 A3 J5 \& O% D 相对于Microsoft Antisyware Beta 1和其他第三方的反间谍软件工具,Windows Defender Beta 2具备以下显著的优点:
# q' {% G' ~9 s0 t+ R5 {+ t) p3 W( g
1)只需要用户进行很少的人工干预,Windows Defender就可以轻松工作在最佳状态。1 ?/ P" l$ y$ `# O5 t
/ f1 L' P9 J- S# X$ G8 I9 i
2)Windows Defender的工作界面非常简单,平时很难找到它的“踪影”,它并不像其他同类软件那样会在任务栏通知区域里添加一个图标。但是一旦发现Windows系统遭到间谍软件的危害,它就会立即“现身”帮助我们解决问题。
- s% v% b7 h0 Y- S% Z6 A0 D/ ^% F* p) k
3)Windows Defender的软件更新集成到Windows Update中,无需我们额外花费精力进行管理。
8 V. H. n" l' Y0 `
6 ]9 r& U9 A7 h/ c/ m; H. _ 还有最重要的一个优点,就是Windows Defender是免费的,真是便宜量又足,完全可以给家庭用户带来足够的间谍软件保护功能。. j. t* f: m1 S( r
2 P- A. E1 s( m9 i1 B1 W6 A U7 m8 E& d 为什么看不到Windows Defender的通知区域图标+ E7 ~) T0 R/ C$ p
. ~: A; U' ^+ F' {8 C1 a
如果系统一切正常的话,Windows Defender就会从任务栏通知区域彻底消失。这对于熟悉前一版本Microsoft Antispyware的用户来说,可能会很不习惯,可能感觉Windows Defender并没有实时保护我们的计算机。
" U& e5 R! b* r j" O# q6 G/ R) }) d
 : F/ t, d4 f8 d5 u, J; [, Q
' i* [; H T8 P. {1 ]
尽管平时Windows Defender并没有出现在任务栏的通知区域,但是实际上Windows Defender启动了一个后台服务,正在时时刻刻默默地替我们的计算机保驾护航。我们可以用以下步骤进行验证:& ]9 L( ]: a8 D: j2 U' d- t
$ S+ J5 s/ H2 m% X' D" _
1)在运行对话框里输入“services.msc”并回车打开“服务”管理单元窗口。* |6 B8 Q1 r. |( \7 t
. k8 h i; s2 Q7 |: t5 y* O
2)在打开窗口右侧的详细窗格里定位到“Windows Defender Service”服务,双击并打开其属性对话框,如图1。
2 y% z3 ~$ E; J) g! H& ], s8 S
: `9 {: I$ l, V, ~" K 3)可以看到“Windows Defender Service”服务的启动类型为“自动”,这表明该服务随系统自动启动,其服务状态为“已启动”, Windows Defender确实在默默地为我们服务,只是它比较“低调”而已。2 ^! w6 L. a5 ~" @! X8 b* X4 }
& U0 h/ |% G! w; W+ p ?2 b
Windows Defender的实时监护
& n4 M9 X6 z: M+ v, u! O, \' \) }' G, G% P, R% N2 }' |
Windows Defender默认启用实时监护功能,一旦检测到对系统有危害的动作,就会立即弹出警告消息框。
3 x" @- J; s& I- ^
T: C) B1 p# h: a' F% H  - Z! s9 f) @2 t( P( k/ x* C9 s* `
# L3 z2 D8 g8 J( P8 u$ d
如果安装某个应用程序时发现其中“夹带”了间谍软件(例如臭名卓著的3721),Windows Defender马上就会弹出如图2的警告框。
1 |: |0 o3 j; E5 O R- @. z3 T# B* q h2 P8 l( j
这时候可以直接单击该警告框上的“全部删除”按钮,如果不放心的话,还可以单击“复查”按钮进行查看,结果如图3。; N6 n. S$ G8 R/ N2 ?
% s& \$ X- p) w7 q1 }1 v3 Z  / V0 M+ `9 L& S- C. Z
8 g; l7 q. Y: Q# @% M. } 确认无误后,可以单击“全部删除”按钮,即可开始清除过程,由于3721涉及的文件和注册表键值较多,所以清除过程需要花上一点时间,如图4。清除结束后,系统可能会提示重新启动,以确保防护操作生效。: R9 N; `: j5 d* \
" S ~! o, i: q9 l) S  - k8 @3 i) x' ]$ p1 p( Q% [
8 ^- \( W& O Y# {9 H8 \* U* D
Windows Defender的手动扫描
, L+ o' f3 Y* A" H5 U. a8 A6 q$ R/ |$ }4 F" j
除了实时监护外,系统默认每天都对系统进行一次快速扫描,以最大限度地保护我们的系统。
4 V$ |3 v# b4 J* Q- I2 F- q4 ~6 m D5 B8 h* x4 }8 ?' c
除此之外,我们还可以手动扫描:# g% }: D" S+ ^8 {- E: g
! N( L* ~- O" a2 m% p3 `' U 1)单击Windows Defender主窗口“扫描”按钮右侧的下拉箭头,在展开的下拉菜单里可以看到三个菜单项:快速扫描、完整扫描和自定义扫描,分别对系统进行快速扫描、完全扫描和定制扫描。
% A; p6 i, L' n H8 J. S7 Q; U) C. R) d; y( e1 O D+ v9 A
2)单击“自定义扫描”,即可进入“选择扫描选项”页面,选中其上的“扫描选定的驱动器和文件夹”选项,然后单击右侧的“选择”按钮。
# m4 `( w0 [" X$ P
( c f7 D* `% V( X7 K7 o" Q 3)在打开的对话框上指定所需扫描的驱动器和文件夹,如图5。单击“确定”按钮,回到“选择扫描选项”页面,单击其上的“立即扫描”按钮即可开始扫描。
0 P5 t# j( |4 X( p/ k7 H
' a7 v( @& f7 u1 g; z- A1 z! b 
. V; C; H* S- K/ I! }
. y8 m; y. v# a9 ?7 F1 D8 M5 z* R7 h6 d- T; b 自定义Windows Defender的配置
: s2 R( y! b8 J1 [; t( M) ]* `' p$ a; A0 @. e+ V9 `5 f/ ^/ O/ N9 ]7 d* I
Windows Defender的自定义配置功能非常强大,而且默认配置就已经可以提供足够的安全防护。这里我们也可以对其进行自定义:
3 _9 E+ n4 v$ K/ |! H6 s
. w0 U9 B# M# t8 X+ } f/ { 首先单击Windows Defender主窗口的“工具”按钮,然后单击“选项”,即可进入配置页面。% _$ d5 \$ U! u; x$ O# k, p- i/ p$ M$ }
+ o3 d, F4 H* h/ T 自动扫描配置8 R0 n9 y7 r' {
/ q, h7 F8 Q* j D! N/ E! [" m
在“自动扫描”部分,可以指定扫描的频率,如图6。默认是每天都扫描,我们可以指定每星期扫描一次,例如可以选择星期日扫描。还可以指定扫描的时间,默认是清晨2点,可以进行调整。4 g# X, K, ]$ |6 h5 J1 Q! |0 Z
2 T! U, V, z% o4 j! k5 D 
' y% J1 A t% E* D
7 B6 ~. u1 w2 J" L' V 实时监护自定义, ]' \7 F% A# x# Q9 |$ N
0 ]8 [6 {9 u' M: A& S& Z
还可以对实时监护的功能进行自定义,在“选项”页面的“实时保护选项”部分,可以选择实时监护所涉及的选项,这里推荐全部勾选,如图7。
" Q) s- Q& l- p" _9 e: N' n( F; n. k$ y# R* L9 X) ]
5 b2 ?9 t0 q1 q* `3 R1 X; T- ~$ f- n: L6 H) F3 U2 @0 f# ?
Windows Defender的高级功能
, H+ c4 I, `+ U* S. n& Q1 {: C9 s. b# z5 v
尽管Windows Defender和它的前任Microsoft Antispyware相比,变化非常大,但是却保留了Microsoft Antispyware最精华的部分——软件资源管理器。该功能可以帮助我们详细地了解并配置自启动进程、当前运行任务和网络连接,接下来分别进行描述。
& r4 `1 C- b' v5 U8 U4 P7 k% o9 k& S
首先单击Windows Defender主窗口的工具按钮,然后单击“软件资源管理器”,即可进入“软件资源管理器”页面。5 S v" K0 i, Y# D4 c
% @/ m: R" W2 j4 y. u. q
 1 r1 X3 m% \, y+ ]0 n x& r" P
! q. l0 a$ e2 w9 x 配置自启动进程
4 K% K+ l1 y3 C
3 \: p+ O# }. X8 \3 p 在“类别”下拉列表框里选择“启动程序”选项,即可在页面的左侧显示当前系统的所有自启动进程,并且按照所属厂商进行归类。
* {7 a* p# c' P0 G
0 I" g. x+ k3 V; @7 ^ a5 k 任意选中其中的某个自启动进程,就可以在右侧的详细窗格里查看其具体信息:例如是否具有数字签名(并且显示提供签名的厂商),该应用程序所在的路径,启动类型、是否属于Windows自带的进程等。8 `! H! z* A# c8 i& x' E
- q$ K$ ~$ o, L' `5 ]* N+ ]2 m 例如在左侧的进程列表里选择“Microsoft Windows Explorer”进程,就可以在右侧详细窗格里查看该进程的具体信息,如图8。
& V: ?. [# y& k6 n) H1 E' v* q5 v8 ~- D* j: W2 R7 R
● 从“数字签名方”一栏里可以知道该进程是由“Microsoft Windows Verification Intermediate PCA”进行数字签名,应该是可信的进程。
5 h2 j4 F8 q0 X' l$ V$ \, S; [$ p7 Q' f& G/ I
● 从“文件路径”一栏里可以了解该进程的程序文件位于“D:\WINDOWS\explorer.exe”。
# H; ?, Z- U; d+ r' W2 K! m- G: o% @4 Q! y
5 e0 r+ g E C3 D, P
8 y3 K/ ^2 C w* m% D 当前运行的任务
% X0 V1 k7 D% {! q. N7 H/ Q, @
1 d" a7 {2 _* i1 t3 A( Q: N' T4 @+ ?$ ] 在“类别”下拉列表框里选择“当前运行的程序”选项,即可在页面的左侧显示所有已经启动的进程,并且按照所属厂商进行归类。尽管在任务管理器中也能查看当前启动的进程,但是Windows Defender所提供的信息远比任务管理器多。
( e8 x5 L+ A; ]: C1 Z6 c$ ~( F3 q& e" j- O0 |& {* H
这里可以在左侧的进程列表里选中一个“Microsoft Generic Host Process for Win32 Services”(svchost.exe)进程,即可在右侧详细窗格里看到其具体信息,如图9。
+ x& K7 E# q# V) U; M/ d! i9 I6 C$ R
( E# l4 `) R) ^# l% d& n7 j1 f4 \ 其中绝大多数信息类似于查看自启动进程所得到的信息。但是其中的一项“服务”信息非常有用,可以查看该进程所加载的系统服务,例如本例中我们可以看到该进程加载了DCOM Server Process Launcher、Plug and Play等多个服务。
7 E/ S& H5 z4 J) [2 O: n$ k( ]9 l0 `3 j9 D
0 ~/ y. [( l9 q* a 对于某些进程,我们可以单击右侧的“结束进程”按钮中止该进程,但是并不是所有的进程都可以通过这种方法中止(这时候“结束进程”按钮灰色显示),这是因为这些进程是Windows Vista的重要进程,如果强行中止的话,可能会导致系统崩溃。" L* a$ z0 A. ^6 e
7 h1 N# y2 w# E$ }9 ? W 网络连接程序
. A8 @% t c. D# {1 J1 w1 F% v; g' M. F" B6 b& T: P+ h
在“类别”下拉列表框里选择“网络连接的程序”选项,即可在页面的左侧显示所有网络连接进程,并且按照所属厂商进行归类。
9 `$ X& [: i' _. g
+ t' d! K+ k1 ]" T9 }! ~/ t( S0 y7 [ 
0 ]7 f' c1 h+ v& F& J* T! W! J8 `6 _9 h; X0 w7 A: U% x- f( n
这个功能非常实用,例如我们选中左侧进程列表里的“Messenger”进程,在右侧的详细窗格里即可看到该进程的具体信息,如图10所示。
! A$ K# m( h" q: l( n/ w( \# |* _ |% v9 V8 ?9 M3 B
可以看到Messenger在本地打开的TCP/IP端口,以及远程IP地址所监听的端口。如果要中止该进程,单击右侧的“结束进程”按钮即可。如果希望阻止Messenger的入站连接,单击右侧的“传入阻止”按钮即可。2 l* r- }7 P7 {* o8 D! g
, ~& T/ E# O6 N! q% C$ F" }
单击右侧的“传入阻止”按钮,实际上是在Windows防火墙里取消“Windows Live Messenger 8.0”的例外,我们可以按照以下步骤进行验证:
# w3 v3 z! M3 D+ I4 Y+ K0 i6 _3 C. ?. k
0 n8 A+ q& N- M3 F& F
! l6 M8 f8 D$ K" K) R- ? |+ Q 在运行对话框里输入“firewall.cpl”,按回车打开“Windows防火墙”对话框,并切换到“例外”标签页。
; C( X$ [% Q3 G& [3 g V, o8 r4 g* D! M
在该“例外”标签页里,我们可以看到“Windows Live Messenger 8.0”的例外左侧的复选框被清空,如图11 |
|
IP卡
狗仔卡
发表于 2007-1-28 10:11:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡