|
|
可能是考虑到现在网络上的间谍软件特别猖獗,所以微软在Windows Vista中内置了一款相当不错的反间谍软件——Windows Defender。
& e s6 l, w: P1 V9 h* z7 b
* G' n1 {1 S$ [* f Windows Defender概述
; |4 s# F( Z% R/ d$ c; H2 v; P* S1 F% _, c3 g
Windows Defender的前身是Giant公司的Giant Antispyware。2004年12月微软收购了Giant公司,并把Giant Antispyware更名为Microsoft Antisyware(Beta 1)。在今年的2月16日,又将其正式更名为Windows Defender(Beta 2)。- D* f' a7 ~1 D' D
5 [3 r- ?0 c( k- j9 U& I
相对于Microsoft Antisyware Beta 1和其他第三方的反间谍软件工具,Windows Defender Beta 2具备以下显著的优点:
" `! D7 E0 x. h# h% J! C* I; z% j7 W) u3 A" f+ w4 Z
1)只需要用户进行很少的人工干预,Windows Defender就可以轻松工作在最佳状态。$ k9 C Y) V" G+ Z9 Y8 x6 G& }2 H+ g
# k3 P% L, ?9 _$ I! u 2)Windows Defender的工作界面非常简单,平时很难找到它的“踪影”,它并不像其他同类软件那样会在任务栏通知区域里添加一个图标。但是一旦发现Windows系统遭到间谍软件的危害,它就会立即“现身”帮助我们解决问题。
* g& G" Z7 G+ O5 F) q' d. C+ K$ z# C; S3 c
3)Windows Defender的软件更新集成到Windows Update中,无需我们额外花费精力进行管理。
P5 j3 r- o5 j c) \6 ?! W0 S0 f. n" _- H1 l: f/ e+ v
还有最重要的一个优点,就是Windows Defender是免费的,真是便宜量又足,完全可以给家庭用户带来足够的间谍软件保护功能。
h' F) O `3 B2 v: o# I. z2 }6 L' q0 S
为什么看不到Windows Defender的通知区域图标! W0 a! `. w" F! o) e8 A
* C( x# l/ F2 o+ ~* o- \ 如果系统一切正常的话,Windows Defender就会从任务栏通知区域彻底消失。这对于熟悉前一版本Microsoft Antispyware的用户来说,可能会很不习惯,可能感觉Windows Defender并没有实时保护我们的计算机。, {! J: V( G' C7 P2 i/ I
( p |5 u/ X9 N( }$ ~% X5 ?$ f) _0 f
 ( c1 c% b- w7 S
" V/ d& ]3 L9 W# v: O
尽管平时Windows Defender并没有出现在任务栏的通知区域,但是实际上Windows Defender启动了一个后台服务,正在时时刻刻默默地替我们的计算机保驾护航。我们可以用以下步骤进行验证:
2 Q0 \; s5 T& K9 G' T* \$ |- X/ r6 u. G5 m; e: X
1)在运行对话框里输入“services.msc”并回车打开“服务”管理单元窗口。
8 F0 ]1 {9 Z/ O( E, U/ v
) P5 A) Q7 M6 a, w- g$ z5 s; w. i 2)在打开窗口右侧的详细窗格里定位到“Windows Defender Service”服务,双击并打开其属性对话框,如图1。
/ l N1 R* P. I- K
0 D! ~7 V0 u2 j e% g: g% Z5 B1 i 3)可以看到“Windows Defender Service”服务的启动类型为“自动”,这表明该服务随系统自动启动,其服务状态为“已启动”, Windows Defender确实在默默地为我们服务,只是它比较“低调”而已。: N+ F7 b1 ?, u( o0 {1 V5 T
( i) K- q7 L/ L+ }$ Y7 G
Windows Defender的实时监护
7 x& d! ^/ {8 X, `
9 y g. w* E9 H! U Windows Defender默认启用实时监护功能,一旦检测到对系统有危害的动作,就会立即弹出警告消息框。3 {( \* @" Y$ y, b
' q) O" l" A) ]. [0 [  - d; Q) P/ r. Z y
* \+ C" a4 h' Q* _# b 如果安装某个应用程序时发现其中“夹带”了间谍软件(例如臭名卓著的3721),Windows Defender马上就会弹出如图2的警告框。
0 z2 p, u: ?1 C/ \$ [; Y" N2 C5 s# f* n0 D' ^0 }0 Y$ _; s! ^
这时候可以直接单击该警告框上的“全部删除”按钮,如果不放心的话,还可以单击“复查”按钮进行查看,结果如图3。2 b4 k3 ~/ L4 z0 L& V
4 V# E# f1 p) {; n# p0 X/ N: x( [0 `- `
 / Y1 C% y5 A; J' C3 }$ Q- R
6 G6 G" ^- T' B1 k1 d% Z4 |/ W9 u
确认无误后,可以单击“全部删除”按钮,即可开始清除过程,由于3721涉及的文件和注册表键值较多,所以清除过程需要花上一点时间,如图4。清除结束后,系统可能会提示重新启动,以确保防护操作生效。
+ }, n$ [+ K7 O( k
/ M% G5 n/ G7 p% J7 i% o* }9 Q# |2 G  ! H7 v9 o6 k* W5 \
8 ?9 ^5 |# c1 |# P8 c1 l
Windows Defender的手动扫描
% X4 M) }/ v. u: e) F, }* s% l/ O, x2 f" G
除了实时监护外,系统默认每天都对系统进行一次快速扫描,以最大限度地保护我们的系统。4 C' c+ C0 R: D8 G8 ~
% J7 q" ~, j# |. U0 l) v9 i3 J5 n 除此之外,我们还可以手动扫描:/ o+ @; j. M) l4 N' d/ R
: [ ^3 O3 d! E. m- C+ p- z
1)单击Windows Defender主窗口“扫描”按钮右侧的下拉箭头,在展开的下拉菜单里可以看到三个菜单项:快速扫描、完整扫描和自定义扫描,分别对系统进行快速扫描、完全扫描和定制扫描。
0 r/ J; G; W$ e( Z6 p N0 r. Q# N6 y' t! k
2)单击“自定义扫描”,即可进入“选择扫描选项”页面,选中其上的“扫描选定的驱动器和文件夹”选项,然后单击右侧的“选择”按钮。$ _* E" u! p% C! b9 w+ |9 r
1 e0 M& b) R. n2 u2 t 3)在打开的对话框上指定所需扫描的驱动器和文件夹,如图5。单击“确定”按钮,回到“选择扫描选项”页面,单击其上的“立即扫描”按钮即可开始扫描。0 N1 ]' M2 u+ c4 `8 v
9 b; \3 m9 W1 O3 t9 R
' U9 m& @0 e6 R5 G6 ~8 C
# z v3 c( t4 v: @' v 自定义Windows Defender的配置& {4 X+ b) h" H0 p8 D( L
$ {1 m& z; E! B
Windows Defender的自定义配置功能非常强大,而且默认配置就已经可以提供足够的安全防护。这里我们也可以对其进行自定义:
) e/ G" ~; Q+ X3 B' g% Y: ^; M9 P3 J& R5 y, n' a$ |- N) E
首先单击Windows Defender主窗口的“工具”按钮,然后单击“选项”,即可进入配置页面。) H4 Q0 }& c7 p! b
) [ q/ \ E. E
自动扫描配置, Z& u2 J' n+ ~ ~" v0 w
3 h- |4 Y( b, z4 X/ p; ^) _
在“自动扫描”部分,可以指定扫描的频率,如图6。默认是每天都扫描,我们可以指定每星期扫描一次,例如可以选择星期日扫描。还可以指定扫描的时间,默认是清晨2点,可以进行调整。
" F7 \- \* \4 R7 P/ ?% D8 [1 e# [: D9 `7 w0 b6 W3 }" z1 j& \. Y
: c) p" \5 |* [( W& W4 o4 j+ [! c2 l; ^: R
实时监护自定义
0 N2 t/ A- H- I' g1 Y+ d& J7 ?0 h5 I b6 T/ Z/ t v. r9 F
还可以对实时监护的功能进行自定义,在“选项”页面的“实时保护选项”部分,可以选择实时监护所涉及的选项,这里推荐全部勾选,如图7。
% f' j. F$ X" b( ~ c
& H# f* g+ @( Z 
- t1 X2 e7 D/ ]9 Z2 y# N
! `1 i6 j5 i% @2 { Windows Defender的高级功能& t z" ]8 g9 S+ E1 j) i
; c1 [4 }. S \2 u0 M! V* A 尽管Windows Defender和它的前任Microsoft Antispyware相比,变化非常大,但是却保留了Microsoft Antispyware最精华的部分——软件资源管理器。该功能可以帮助我们详细地了解并配置自启动进程、当前运行任务和网络连接,接下来分别进行描述。" A6 I6 k: z, Y
% T; `- ]! k& h* x9 w( t 首先单击Windows Defender主窗口的工具按钮,然后单击“软件资源管理器”,即可进入“软件资源管理器”页面。
/ z8 z& ~8 S3 Y' r& M1 T
2 H6 W( _/ Z# Q7 E5 b# z6 I* i 
4 }6 Q# o0 |3 l9 L
, ^! w, d. B; J8 D9 T! y 配置自启动进程
! t! r/ y# P, T1 Y& o, g. d# g" H8 @* ]3 m. e& Q
在“类别”下拉列表框里选择“启动程序”选项,即可在页面的左侧显示当前系统的所有自启动进程,并且按照所属厂商进行归类。. F# j5 }( ]" X. l
* R" S6 ]9 u" I8 u. E
任意选中其中的某个自启动进程,就可以在右侧的详细窗格里查看其具体信息:例如是否具有数字签名(并且显示提供签名的厂商),该应用程序所在的路径,启动类型、是否属于Windows自带的进程等。& U( \8 g" K5 D1 l" t: F
! j* S8 R: M, Y; n/ Y
例如在左侧的进程列表里选择“Microsoft Windows Explorer”进程,就可以在右侧详细窗格里查看该进程的具体信息,如图8。
. D( ]$ _: |3 f* u" L% A
$ F5 l1 V1 E0 @* ? ● 从“数字签名方”一栏里可以知道该进程是由“Microsoft Windows Verification Intermediate PCA”进行数字签名,应该是可信的进程。0 Q! d7 U' o( }) v% T! y6 `9 M
& N ]) M% ^! Q5 y9 N
● 从“文件路径”一栏里可以了解该进程的程序文件位于“D:\WINDOWS\explorer.exe”。
! ?8 ]4 x4 F/ P8 [6 w3 e2 w' \6 s# |0 G! j
& ?) |& g7 n8 ]3 J4 W" q) y! t! y* J0 a$ H" Z# y9 h
当前运行的任务
' n& ~5 K" w) Y; l% u( W }6 m4 u! T( X
在“类别”下拉列表框里选择“当前运行的程序”选项,即可在页面的左侧显示所有已经启动的进程,并且按照所属厂商进行归类。尽管在任务管理器中也能查看当前启动的进程,但是Windows Defender所提供的信息远比任务管理器多。0 L- j7 }0 ^4 `- y
/ |5 N9 d* k$ Z: ]1 z" Z
这里可以在左侧的进程列表里选中一个“Microsoft Generic Host Process for Win32 Services”(svchost.exe)进程,即可在右侧详细窗格里看到其具体信息,如图9。; I/ h: R' M- q# B
} p( r% b" z K) D9 _$ L 其中绝大多数信息类似于查看自启动进程所得到的信息。但是其中的一项“服务”信息非常有用,可以查看该进程所加载的系统服务,例如本例中我们可以看到该进程加载了DCOM Server Process Launcher、Plug and Play等多个服务。1 E' o" [$ n/ h* Y0 E2 J1 u
( M* O2 G; V- h 对于某些进程,我们可以单击右侧的“结束进程”按钮中止该进程,但是并不是所有的进程都可以通过这种方法中止(这时候“结束进程”按钮灰色显示),这是因为这些进程是Windows Vista的重要进程,如果强行中止的话,可能会导致系统崩溃。# j! V A6 v" h; }2 h$ `
0 m3 q4 G3 o! P% Y& k- [3 s% S 网络连接程序" d% }4 v g9 @+ f- F2 t
8 I4 w0 L" H7 P: { 在“类别”下拉列表框里选择“网络连接的程序”选项,即可在页面的左侧显示所有网络连接进程,并且按照所属厂商进行归类。
- } _7 d) m8 F% |
; l6 a% k9 j2 ~' i. e  1 q$ v7 d" N, W6 R! u( i+ V# z
8 C- T& Z4 I' l$ w/ C8 [- V
这个功能非常实用,例如我们选中左侧进程列表里的“Messenger”进程,在右侧的详细窗格里即可看到该进程的具体信息,如图10所示。7 Y1 `% B5 [" s# c+ }1 u
i' Y: p- W0 D' p" b 可以看到Messenger在本地打开的TCP/IP端口,以及远程IP地址所监听的端口。如果要中止该进程,单击右侧的“结束进程”按钮即可。如果希望阻止Messenger的入站连接,单击右侧的“传入阻止”按钮即可。; ]: ~8 h* f9 z5 @ ~/ w, g- i* K# z
, R- X8 v/ |2 d/ _; r$ O3 c8 z# j
单击右侧的“传入阻止”按钮,实际上是在Windows防火墙里取消“Windows Live Messenger 8.0”的例外,我们可以按照以下步骤进行验证:1 E- O- O" Y3 R, P1 ^) e
5 r5 ]3 D8 V o' q! Z" h4 o 
; b' i6 |2 s2 X" m' `, ~* L5 ~6 J" D
在运行对话框里输入“firewall.cpl”,按回车打开“Windows防火墙”对话框,并切换到“例外”标签页。
# H% y" ?+ [' [7 B9 j. z8 K1 _, x4 c* l' [$ h6 ]
在该“例外”标签页里,我们可以看到“Windows Live Messenger 8.0”的例外左侧的复选框被清空,如图11 |
|
IP卡
狗仔卡
发表于 2007-1-28 10:11:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡