|
|
可能是考虑到现在网络上的间谍软件特别猖獗,所以微软在Windows Vista中内置了一款相当不错的反间谍软件——Windows Defender。5 T8 T1 |" `* ?, C& M
6 c6 B' F( d# x9 ~8 X Windows Defender概述
! W8 r( w( H% e z8 U) l
2 f# T+ k ?$ B' ~+ U r Windows Defender的前身是Giant公司的Giant Antispyware。2004年12月微软收购了Giant公司,并把Giant Antispyware更名为Microsoft Antisyware(Beta 1)。在今年的2月16日,又将其正式更名为Windows Defender(Beta 2)。, X( b- x. Y I: y; t
" c; c! c2 V& n6 P6 s- j
相对于Microsoft Antisyware Beta 1和其他第三方的反间谍软件工具,Windows Defender Beta 2具备以下显著的优点: _: ~' G/ W* e/ k1 K
& h% j q: p6 R& G9 Z9 a6 J' s) f 1)只需要用户进行很少的人工干预,Windows Defender就可以轻松工作在最佳状态。* Q! R: e7 ^0 d# o
8 J" _7 U; B) _+ f C# L 2)Windows Defender的工作界面非常简单,平时很难找到它的“踪影”,它并不像其他同类软件那样会在任务栏通知区域里添加一个图标。但是一旦发现Windows系统遭到间谍软件的危害,它就会立即“现身”帮助我们解决问题。( d+ b+ Q9 J: k) D$ c' e. `
0 b) e. i- f5 q7 w9 z, x* S7 {' c; M$ Q 3)Windows Defender的软件更新集成到Windows Update中,无需我们额外花费精力进行管理。+ b& X+ I: S! P3 {% z4 T- q. w, D
% U+ k: p8 L( A0 x" m) }3 f
还有最重要的一个优点,就是Windows Defender是免费的,真是便宜量又足,完全可以给家庭用户带来足够的间谍软件保护功能。
2 J2 w" F$ q# n8 x& _* h& d& q1 U Q, ~. _4 C
为什么看不到Windows Defender的通知区域图标( S4 D. P; R9 S
9 ?6 b; J' I& {% H. W4 t, r. `
如果系统一切正常的话,Windows Defender就会从任务栏通知区域彻底消失。这对于熟悉前一版本Microsoft Antispyware的用户来说,可能会很不习惯,可能感觉Windows Defender并没有实时保护我们的计算机。
5 w3 g4 {2 B" E& i/ q4 u V+ P, o& z2 r1 R
8 ?5 @- l% f# c2 a- V1 E
+ ]2 q+ D& G7 t3 G$ F- W* A 尽管平时Windows Defender并没有出现在任务栏的通知区域,但是实际上Windows Defender启动了一个后台服务,正在时时刻刻默默地替我们的计算机保驾护航。我们可以用以下步骤进行验证:
3 H3 X8 X8 j; z M- k( V: [" p( j" X
1)在运行对话框里输入“services.msc”并回车打开“服务”管理单元窗口。' O4 V4 p) R* r$ j6 Q; Z" |7 z
+ f6 T3 \# Q. ~
2)在打开窗口右侧的详细窗格里定位到“Windows Defender Service”服务,双击并打开其属性对话框,如图1。
0 ? E W# o( r1 P3 N' D$ S" g& h6 T- m7 B3 S
3)可以看到“Windows Defender Service”服务的启动类型为“自动”,这表明该服务随系统自动启动,其服务状态为“已启动”, Windows Defender确实在默默地为我们服务,只是它比较“低调”而已。
+ x9 ]$ O- |% J8 {: R$ X/ p9 v+ H, e" X, k2 r, R, g4 O0 f, r
Windows Defender的实时监护
; Y# k% M, b( C" ~/ h* m: n! m& j! E: @3 g( s& j( [3 I* T+ P
Windows Defender默认启用实时监护功能,一旦检测到对系统有危害的动作,就会立即弹出警告消息框。6 p& C# V( l% z: O; p
# ~* `( h) a) }
2 b/ G& ]0 C4 f, @4 j4 O2 }) Q
* p+ J, o( L+ C 如果安装某个应用程序时发现其中“夹带”了间谍软件(例如臭名卓著的3721),Windows Defender马上就会弹出如图2的警告框。8 y/ O. w3 |; R3 t8 O1 K* d
1 @5 M; O s: E, ^
这时候可以直接单击该警告框上的“全部删除”按钮,如果不放心的话,还可以单击“复查”按钮进行查看,结果如图3。
# ?- h6 q9 g$ x9 l1 S
& X) y" F' w. H& ^; Y/ D  ) I* o" T o# k0 b/ ]8 C
/ X8 o$ B z$ N) a
确认无误后,可以单击“全部删除”按钮,即可开始清除过程,由于3721涉及的文件和注册表键值较多,所以清除过程需要花上一点时间,如图4。清除结束后,系统可能会提示重新启动,以确保防护操作生效。
. h; g( R9 D+ R2 I. l6 Y4 P9 A& L" V8 C9 [. d( R
( A$ T& U, V" c! p' H$ E% {4 {7 a+ e) z: g& p2 C; W
Windows Defender的手动扫描5 k6 U) F& o5 f* q2 M# E9 {
: w0 c" _7 c& ?8 G) b 除了实时监护外,系统默认每天都对系统进行一次快速扫描,以最大限度地保护我们的系统。2 ?" _2 W9 B: x4 E' O- u1 R+ E
% S7 R+ y, K9 u; G! f7 r. X6 ~8 H
除此之外,我们还可以手动扫描:
: @3 w U% \) U- X5 a! r$ c7 G( P9 R8 J, t/ X
1)单击Windows Defender主窗口“扫描”按钮右侧的下拉箭头,在展开的下拉菜单里可以看到三个菜单项:快速扫描、完整扫描和自定义扫描,分别对系统进行快速扫描、完全扫描和定制扫描。3 M7 X2 a' \( C! d+ [2 j; M
& _% T% p9 K u& W: w
2)单击“自定义扫描”,即可进入“选择扫描选项”页面,选中其上的“扫描选定的驱动器和文件夹”选项,然后单击右侧的“选择”按钮。0 X+ p' ^% P! ?9 |1 N1 @0 v7 Q/ j
0 e: B1 B( {! Q2 y$ w' ]6 Z* E- h1 F 3)在打开的对话框上指定所需扫描的驱动器和文件夹,如图5。单击“确定”按钮,回到“选择扫描选项”页面,单击其上的“立即扫描”按钮即可开始扫描。
" g8 r* U2 z; m$ y8 l$ X) P& w' p" i* h' }* k( a, k2 D
/ T0 s; ]8 u! r" m+ b0 j! k+ x0 o# x$ N8 m/ ?! ]
自定义Windows Defender的配置( i2 p% l3 ?) Y5 \3 r
* L4 L3 s- Q$ X
Windows Defender的自定义配置功能非常强大,而且默认配置就已经可以提供足够的安全防护。这里我们也可以对其进行自定义:
! g' ~' {, J3 `% T5 Q* S* `. ]
1 k# R6 \+ P% }9 Y5 r 首先单击Windows Defender主窗口的“工具”按钮,然后单击“选项”,即可进入配置页面。' u+ t& i: E# v) b# O. \& g4 Y
& T' u& e* N3 |. @, v' }2 S
自动扫描配置5 Y4 U5 v( F3 Q. o7 L! x$ z
/ ~, l! l$ I/ e/ }0 W 在“自动扫描”部分,可以指定扫描的频率,如图6。默认是每天都扫描,我们可以指定每星期扫描一次,例如可以选择星期日扫描。还可以指定扫描的时间,默认是清晨2点,可以进行调整。
5 Z% Q1 n% ~. G- x$ ^! c8 S; y) N. O; p" g" L( L3 F/ o
6 x# O0 l: D# z, ~; S* x! {8 x9 A( {/ P0 J) W
实时监护自定义
9 n' @$ d* Y2 b7 u& ]2 d* W
9 o4 p! S4 N; N. g, T# k2 L 还可以对实时监护的功能进行自定义,在“选项”页面的“实时保护选项”部分,可以选择实时监护所涉及的选项,这里推荐全部勾选,如图7。
( V% j, v) o' J4 Z7 D9 Z, Y. i
' e: z# o* [/ c 
5 W1 d$ y' [7 s: X
0 M; v/ w+ T4 y6 f! E0 I3 O# Y0 a Windows Defender的高级功能
$ F3 u/ W; ^5 i3 w" \+ q& j7 t" B$ J2 c/ l, E8 B7 f
尽管Windows Defender和它的前任Microsoft Antispyware相比,变化非常大,但是却保留了Microsoft Antispyware最精华的部分——软件资源管理器。该功能可以帮助我们详细地了解并配置自启动进程、当前运行任务和网络连接,接下来分别进行描述。
% J; l. u# {; C: t( O( X9 E% _2 F' q+ l) i& d$ V' }6 F' ~
首先单击Windows Defender主窗口的工具按钮,然后单击“软件资源管理器”,即可进入“软件资源管理器”页面。) R" ]# D5 Q: `+ @7 X6 H6 P
: d; t4 k9 o) d  ) c% l8 O: |( d0 G; z8 n! Q1 M
' t9 W# \) }* A. q/ S" g% g 配置自启动进程& [# @) p. n' p3 P# l8 E
) ^6 c6 w8 L3 n: z/ I; ~4 q
在“类别”下拉列表框里选择“启动程序”选项,即可在页面的左侧显示当前系统的所有自启动进程,并且按照所属厂商进行归类。! @/ `4 r% ^# f2 d. T
* _+ n. j/ M5 x' f 任意选中其中的某个自启动进程,就可以在右侧的详细窗格里查看其具体信息:例如是否具有数字签名(并且显示提供签名的厂商),该应用程序所在的路径,启动类型、是否属于Windows自带的进程等。4 l$ Y& A7 s5 V/ K3 \
5 v$ O1 R2 l4 a7 x8 Y
例如在左侧的进程列表里选择“Microsoft Windows Explorer”进程,就可以在右侧详细窗格里查看该进程的具体信息,如图8。
" K, h$ G8 g _) l" d4 Y0 k7 ~# I; {3 @9 a9 O$ P& m, l5 E
● 从“数字签名方”一栏里可以知道该进程是由“Microsoft Windows Verification Intermediate PCA”进行数字签名,应该是可信的进程。
: X% F# B- [ h) a$ G! v9 P1 t h2 P( a8 E6 J& v
● 从“文件路径”一栏里可以了解该进程的程序文件位于“D:\WINDOWS\explorer.exe”。' [( q3 |1 w0 B, B
- I* o; |5 T8 _: l ]1 m$ N1 l: K
 % I' t) P( N( u. E3 P; [$ r2 x
4 V0 k+ [# {8 Y5 @. f! Q# J 当前运行的任务; A4 |* _+ W/ b; Z$ l! Y1 v. `# ^
3 s+ {' G* T* l9 A6 j 在“类别”下拉列表框里选择“当前运行的程序”选项,即可在页面的左侧显示所有已经启动的进程,并且按照所属厂商进行归类。尽管在任务管理器中也能查看当前启动的进程,但是Windows Defender所提供的信息远比任务管理器多。
2 O4 b# k2 R4 w0 G& i/ K6 H4 V+ }& J) ]$ W& {3 ?5 S% ?+ L
这里可以在左侧的进程列表里选中一个“Microsoft Generic Host Process for Win32 Services”(svchost.exe)进程,即可在右侧详细窗格里看到其具体信息,如图9。
: F( O$ S$ R* I% k9 w1 y T& f6 C; V5 W* X. p
$ y: M% w+ Q$ e& Y7 q& L9 \ 其中绝大多数信息类似于查看自启动进程所得到的信息。但是其中的一项“服务”信息非常有用,可以查看该进程所加载的系统服务,例如本例中我们可以看到该进程加载了DCOM Server Process Launcher、Plug and Play等多个服务。; F$ Y' i. R9 ^+ c$ d7 J0 L# K
8 z; L: e- S- T- u3 a3 c8 y
对于某些进程,我们可以单击右侧的“结束进程”按钮中止该进程,但是并不是所有的进程都可以通过这种方法中止(这时候“结束进程”按钮灰色显示),这是因为这些进程是Windows Vista的重要进程,如果强行中止的话,可能会导致系统崩溃。; e) G4 P; d, I' q
; S, E) ^2 j0 w
网络连接程序9 j0 @$ a. R, Z8 V- o1 K e6 Q0 S
$ ~: A. x, a. f; w# E- l 在“类别”下拉列表框里选择“网络连接的程序”选项,即可在页面的左侧显示所有网络连接进程,并且按照所属厂商进行归类。
0 Q, ^# j4 a2 \) Y2 {$ t. ?% w' G L8 l( z9 n) t k
+ A( L8 l7 o" W/ J+ k7 K
- n4 X& Y4 t5 p8 S/ s0 J, e8 \ 这个功能非常实用,例如我们选中左侧进程列表里的“Messenger”进程,在右侧的详细窗格里即可看到该进程的具体信息,如图10所示。8 q. @3 L% G3 v. r9 I7 p5 D" N2 L
1 M3 P# R. v9 u- q9 {# |7 \ 可以看到Messenger在本地打开的TCP/IP端口,以及远程IP地址所监听的端口。如果要中止该进程,单击右侧的“结束进程”按钮即可。如果希望阻止Messenger的入站连接,单击右侧的“传入阻止”按钮即可。' _' d$ S, {0 U3 b+ @
% W( K( S: a6 f' L4 Y* H- ]
单击右侧的“传入阻止”按钮,实际上是在Windows防火墙里取消“Windows Live Messenger 8.0”的例外,我们可以按照以下步骤进行验证:
, m& M( f2 C0 }; ^# X/ C
4 Q% r% ~1 B; n2 F6 t& f 
5 D! v2 N+ @$ o$ [3 g+ m7 [$ l" B5 W, U
在运行对话框里输入“firewall.cpl”,按回车打开“Windows防火墙”对话框,并切换到“例外”标签页。
4 B' o3 q/ {* C6 F% g: |# I0 z O9 p6 e# c. E5 ?6 N
在该“例外”标签页里,我们可以看到“Windows Live Messenger 8.0”的例外左侧的复选框被清空,如图11 |
|
IP卡
狗仔卡
发表于 2007-1-28 10:11:57
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡