Windows Vista反間諜軟件簡明手冊
盡管平時Windows Defender并沒有出現(xiàn)在任務(wù)欄的通知區(qū)域,但是實(shí)際上Windows Defender啟動了一個后臺服務(wù),正在時時刻刻默默地替我們的計算機(jī)保駕護(hù)航。我們可以用以下步驟進(jìn)行驗證: 1)在運(yùn)行對話框里輸入“services.msc”并回車打開“服務(wù)”管理單元窗口。 2)在打開窗口右側(cè)的詳細(xì)窗格里定位到“Windows Defender Service”服務(wù),雙擊并打開其屬性對話框,如圖1。 3)可以看到“Windows Defender Service”服務(wù)的啟動類型為“自動”,這表明該服務(wù)隨系統(tǒng)自動啟動,其服務(wù)狀態(tài)為“已啟動”, Windows Defender確實(shí)在默默地為我們服務(wù),只是它比較“低調(diào)”而已。 Windows Defender的實(shí)時監(jiān)護(hù) Windows Defender默認(rèn)啟用實(shí)時監(jiān)護(hù)功能,一旦檢測到對系統(tǒng)有危害的動作,就會立即彈出警告消息框。
如果安裝某個應(yīng)用程序時發(fā)現(xiàn)其中“夾帶”了間諜軟件(例如臭名卓著的3721),Windows Defender馬上就會彈出如圖2的警告框。
這時候可以直接單擊該警告框上的“全部刪除”按鈕,如果不放心的話,還可以單擊“復(fù)查”按鈕進(jìn)行查看,結(jié)果如圖3。
確認(rèn)無誤后,可以單擊“全部刪除”按鈕,即可開始清除過程,由于3721涉及的文件和注冊表鍵值較多,所以清除過程需要花上一點(diǎn)時間,如圖4。清除結(jié)束后,系統(tǒng)可能會提示重新啟動,以確保防護(hù)操作生效。
Windows Defender的手動掃描 除了實(shí)時監(jiān)護(hù)外,系統(tǒng)默認(rèn)每天都對系統(tǒng)進(jìn)行一次快速掃描,以最大限度地保護(hù)我們的系統(tǒng)。 除此之外,我們還可以手動掃描: 1)單擊Windows Defender主窗口“掃描”按鈕右側(cè)的下拉箭頭,在展開的下拉菜單里可以看到三個菜單項:快速掃描、完整掃描和自定義掃描,分別對系統(tǒng)進(jìn)行快速掃描、完全掃描和定制掃描。 2)單擊“自定義掃描”,即可進(jìn)入“選擇掃描選項”頁面,選中其上的“掃描選定的驅(qū)動器和文件夾”選項,然后單擊右側(cè)的“選擇”按鈕。
3)在打開的對話框上指定所需掃描的驅(qū)動器和文件夾,如圖5。單擊“確定”按鈕,回到“選擇掃描選項”頁面,單擊其上的“立即掃描”按鈕即可開始掃描。
自定義Windows Defender的配置 Windows Defender的自定義配置功能非常強(qiáng)大,而且默認(rèn)配置就已經(jīng)可以提供足夠的安全防護(hù)。這里我們也可以對其進(jìn)行自定義: 首先單擊Windows Defender主窗口的“工具”按鈕,然后單擊“選項”,即可進(jìn)入配置頁面。 自動掃描配置 在“自動掃描”部分,可以指定掃描的頻率,如圖6。默認(rèn)是每天都掃描,我們可以指定每星期掃描一次,例如可以選擇星期日掃描。還可以指定掃描的時間,默認(rèn)是清晨2點(diǎn),可以進(jìn)行調(diào)整。
實(shí)時監(jiān)護(hù)自定義 還可以對實(shí)時監(jiān)護(hù)的功能進(jìn)行自定義,在“選項”頁面的“實(shí)時保護(hù)選項”部分,可以選擇實(shí)時監(jiān)護(hù)所涉及的選項,這里推薦全部勾選,如圖7。
Windows Defender的高級功能 盡管Windows Defender和它的前任Microsoft Antispyware相比,變化非常大,但是卻保留了Microsoft Antispyware最精華的部分——軟件資源管理器。該功能可以幫助我們詳細(xì)地了解并配置自啟動進(jìn)程、當(dāng)前運(yùn)行任務(wù)和網(wǎng)絡(luò)連接,接下來分別進(jìn)行描述。 首先單擊Windows Defender主窗口的工具按鈕,然后單擊“軟件資源管理器”,即可進(jìn)入“軟件資源管理器”頁面。
配置自啟動進(jìn)程 在“類別”下拉列表框里選擇“啟動程序”選項,即可在頁面的左側(cè)顯示當(dāng)前系統(tǒng)的所有自啟動進(jìn)程,并且按照所屬廠商進(jìn)行歸類。 任意選中其中的某個自啟動進(jìn)程,就可以在右側(cè)的詳細(xì)窗格里查看其具體信息:例如是否具有數(shù)字簽名(并且顯示提供簽名的廠商),該應(yīng)用程序所在的路徑,啟動類型、是否屬于Windows自帶的進(jìn)程等。 例如在左側(cè)的進(jìn)程列表里選擇“Microsoft Windows Explorer”進(jìn)程,就可以在右側(cè)詳細(xì)窗格里查看該進(jìn)程的具體信息,如圖8。 ● 從“數(shù)字簽名方”一欄里可以知道該進(jìn)程是由“Microsoft Windows Verification Intermediate PCA”進(jìn)行數(shù)字簽名,應(yīng)該是可信的進(jìn)程。 ● 從“文件路徑”一欄里可以了解該進(jìn)程的程序文件位于“D:WINDOWSexplorer.exe”。
當(dāng)前運(yùn)行的任務(wù) 在“類別”下拉列表框里選擇“當(dāng)前運(yùn)行的程序”選項,即可在頁面的左側(cè)顯示所有已經(jīng)啟動的進(jìn)程,并且按照所屬廠商進(jìn)行歸類。 盡管在任務(wù)管理器中也能查看當(dāng)前啟動的進(jìn)程,但是Windows Defender所提供的信息遠(yuǎn)比任務(wù)管理器多。 這里可以在左側(cè)的進(jìn)程列表里選中一個“Microsoft Generic Host Process for Win32 Services”(svchost.exe)進(jìn)程,即可在右側(cè)詳細(xì)窗格里看到其具體信息,如圖9。 其中絕大多數(shù)信息類似于查看自啟動進(jìn)程所得到的信息。但是其中的一項“服務(wù)”信息非常有用,可以查看該進(jìn)程所加載的系統(tǒng)服務(wù),例如本例中我們可以看到該進(jìn)程加載了DCOM Server Process Launcher、Plug and Play等多個服務(wù)。 對于某些進(jìn)程,我們可以單擊右側(cè)的“結(jié)束進(jìn)程”按鈕中止該進(jìn)程,但是并不是所有的進(jìn)程都可以通過這種方法中止(這時候“結(jié)束進(jìn)程”按鈕灰色顯示),這是因為這些進(jìn)程是Windows Vista的重要進(jìn)程,如果強(qiáng)行中止的話,可能會導(dǎo)致系統(tǒng)崩潰。
網(wǎng)絡(luò)連接程序 在“類別”下拉列表框里選擇“網(wǎng)絡(luò)連接的程序”選項,即可在頁面的左側(cè)顯示所有網(wǎng)絡(luò)連接進(jìn)程,并且按照所屬廠商進(jìn)行歸類。
這個功能非常實(shí)用,例如我們選中左側(cè)進(jìn)程列表里的“Messenger”進(jìn)程,在右側(cè)的詳細(xì)窗格里即可看到該進(jìn)程的具體信息,如圖10所示。 可以看到Messenger在本地打開的TCP/IP端口,以及遠(yuǎn)程IP地址所監(jiān)聽的端口。如果要中止該進(jìn)程,單擊右側(cè)的“結(jié)束進(jìn)程”按鈕即可。如果希望阻止Messenger的入站連接,單擊右側(cè)的“傳入阻止”按鈕即可。 單擊右側(cè)的“傳入阻止”按鈕,實(shí)際上是在Windows防火墻里取消“Windows Live Messenger 8.0”的例外,我們可以按照以下步驟進(jìn)行驗證:
在運(yùn)行對話框里輸入“firewall.cpl”,按回車打開“Windows防火墻”對話框,并切換到“例外”標(biāo)簽頁。 在該“例外”標(biāo)簽頁里,我們可以看到“Windows Live Messenger 8.0”的例外左側(cè)的復(fù)選框被清空。
網(wǎng)公網(wǎng)安備