可能是考慮到現在網絡上的間諜軟件特別猖獗,所以微軟在Windows Vista中內置了一款相當不錯的反間諜軟件——Windows Defender。
Windows Defender概述
Windows Defender的前身是Giant公司的Giant Antispyware。2004年12月微軟收購了Giant公司,並把Giant Antispyware更名為Microsoft Antisyware(Beta 1)。在今年的2月16日,又將其正式更名為Windows Defender(Beta 2)。
相對於Microsoft Antisyware Beta 1和其他第三方的反間諜軟件工具,Windows Defender Beta 2具備以下顯著的優點:
1)只需要用戶進行很少的人工干預,Windows Defender就可以輕松工作在最佳狀態。
2)Windows Defender的工作界面非常簡單,平時很難找到它的“蹤影”,它並不像其他同類軟件那樣會在任務欄通知區域裡添加一個圖標。但是一旦發現Windows系統遭到間諜軟件的危害,它就會立即“現身”幫助我們解決問題。
3)Windows Defender的軟件更新集成到Windows Update中,無需我們額外花費精力進行管理。
還有最重要的一個優點,就是Windows Defender是免費的,真是便宜量又足,完全可以給家庭用戶帶來足夠的間諜軟件保護功能。
為什麼看不到Windows Defender的通知區域圖標
如果系統一切正常的話,Windows Defender就會從任務欄通知區域徹底消失。這對於熟悉前一版本Microsoft Antispyware的用戶來說,可能會很不習慣,可能感覺Windows Defender並沒有實時保護我們的計算機。
盡管平時Windows Defender並沒有出現在任務欄的通知區域,但是實際上Windows Defender啟動了一個後台服務,正在時時刻刻默默地替我們的計算機保駕護航。我們可以用以下步驟進行驗證:
1)在運行對話框裡輸入“services.msc”並回車打開“服務”管理單元窗口。
2)在打開窗口右側的詳細窗格裡定位到“Windows Defender Service”服務,雙擊並打開其屬性對話框,如圖1。
3)可以看到“Windows Defender Service”服務的啟動類型為“自動”,這表明該服務隨系統自動啟動,其服務狀態為“已啟動”, Windows Defender確實在默默地為我們服務,只是它比較“低調”而已。
Windows Defender的實時監護
Windows Defender默認啟用實時監護功能,一旦檢測到對系統有危害的動作,就會立即彈出警告消息框。
如果安裝某個應用程序時發現其中“夾帶”了間諜軟件(例如臭名卓著的3721),Windows Defender馬上就會彈出如圖2的警告框。
這時候可以直接單擊該警告框上的“全部刪除”按鈕,如果不放心的話,還可以單擊“復查”按鈕進行查看,結果如圖3。
確認無誤後,可以單擊“全部刪除”按鈕,即可開始清除過程,由於3721涉及的文件和注冊表鍵值較多,所以清除過程需要花上一點時間,如圖4。清除結束後,系統可能會提示重新啟動,以確保防護操作生效。
Windows Defender的手動掃描
除了實時監護外,系統默認每天都對系統進行一次快速掃描,以最大限度地保護我們的系統。
除此之外,我們還可以手動掃描:
1)單擊Windows Defender主窗口“掃描”按鈕右側的下拉箭頭,在展開的下拉菜單裡可以看到三個菜單項:快速掃描、完整掃描和自定義掃描,分別對系統進行快速掃描、完全掃描和定制掃描。
2)單擊“自定義掃描”,即可進入“選擇掃描選項”頁面,選中其上的“掃描選定的驅動器和文件夾”選項,然後單擊右側的“選擇”按鈕。
3)在打開的對話框上指定所需掃描的驅動器和文件夾,如圖5。單擊“確定”按鈕,回到“選擇掃描選項”頁面,單擊其上的“立即掃描”按鈕即可開始掃描。
自定義Windows Defender的配置
Windows Defender的自定義配置功能非常強大,而且默認配置就已經可以提供足夠的安全防護。這裡我們也可以對其進行自定義:
首先單擊Windows Defender主窗口的“工具”按鈕,然後單擊“選項”,即可進入配置頁面。
自動掃描配置
在“自動掃描”部分,可以指定掃描的頻率,如圖6。默認是每天都掃描,我們可以指定每星期掃描一次,例如可以選擇星期日掃描。還可以指定掃描的時間,默認是清晨2點,可以進行調整。
實時監護自定義
還可以對實時監護的功能進行自定義,在“選項”頁面的“實時保護選項”部分,可以選擇實時監護所涉及的選項,這裡推薦全部勾選,如圖7。
Windows Defender的高級功能
盡管Windows Defender和它的前任Microsoft Antispyware相比,變化非常大,但是卻保留了Microsoft Antispyware最精華的部分——軟件資源管理器。該功能可以幫助我們詳細地了解並配置自啟動進程、當前運行任務和網絡連接,接下來分別進行描述。
首先單擊Windows Defender主窗口的工具按鈕,然後單擊“軟件資源管理器”,即可進入“軟件資源管理器”頁面。
配置自啟動進程
在“類別”下拉列表框裡選擇“啟動程序”選項,即可在頁面的左側顯示當前系統的所有自啟動進程,並且按照所屬廠商進行歸類。
任意選中其中的某個自啟動進程,就可以在右側的詳細窗格裡查看其具體信息:例如是否具有數字簽名(並且顯示提供簽名的廠商),該應用程序所在的路徑,啟動類型、是否屬於Windows自帶的進程等。
例如在左側的進程列表裡選擇“Microsoft Windows Explorer”進程,就可以在右側詳細窗格裡查看該進程的具體信息,如圖8。
● 從“數字簽名方”一欄裡可以知道該進程是由“Microsoft Windows Verification Intermediate PCA”進行數字簽名,應該是可信的進程。
● 從“文件路徑”一欄裡可以了解該進程的程序文件位於“D:WINDOWSexplorer.exe”。
當前運行的任務
在“類別”下拉列表框裡選擇“當前運行的程序”選項,即可在頁面的左側顯示所有已經啟動的進程,並且按照所屬廠商進行歸類。
盡管在任務管理器中也能查看當前啟動的進程,但是Windows Defender所提供的信息遠比任務管理器多。
這裡可以在左側的進程列表裡選中一個“Microsoft Generic Host Process for Win32 Services”(svchost.exe)進程,即可在右側詳細窗格裡看到其具體信息,如圖9。
其中絕大多數信息類似於查看自啟動進程所得到的信息。但是其中的一項“服務”信息非常有用,可以查看該進程所加載的系統服務,例如本例中我們可以看到該進程加載了DCOM Server Process Launcher、Plug and Play等多個服務。
對於某些進程,我們可以單擊右側的“結束進程”按鈕中止該進程,但是並不是所有的進程都可以通過這種方法中止(這時候“結束進程”按鈕灰色顯示),這是因為這些進程是Windows Vista的重要進程,如果強行中止的話,可能會導致系統崩潰。
網絡連接程序
在“類別”下拉列表框裡選擇“網絡連接的程序”選項,即可在頁面的左側顯示所有網絡連接進程,並且按照所屬廠商進行歸類。
這個功能非常實用,例如我們選中左側進程列表裡的“Messenger”進程,在右側的詳細窗格裡即可看到該進程的具體信息,如圖10所示。
可以看到Messenger在本地打開的TCP/IP端口,以及遠程IP地址所監聽的端口。如果要中止該進程,單擊右側的“結束進程”按鈕即可。如果希望阻止Messenger的入站連接,單擊右側的“傳入阻止”按鈕即可。
單擊右側的“傳入阻止”按鈕,實際上是在Windows防火牆裡取消“Windows Live Messenger 8.0”的例外,我們可以按照以下步驟進行驗證:
在運行對話框裡輸入“firewall.cpl”,按回車打開“Windows防火牆”對話框,並切換到“例外”標簽頁。
在該“例外”標簽頁裡,我們可以看到“Windows Live Messenger 8.0”的例外左側的復選框被清空,如圖11。
