Windows Vista反間諜軟件簡明手冊[圖]

　　可能是考慮到現在網絡上的間諜軟件特別猖獗，所以微軟在Windows Vista中內置了一款相當不錯的反間諜軟件——Windows Defender。

　　Windows Defender概述

　　Windows Defender的前身是Giant公司的Giant Antispyware。2004年12月微軟收購了Giant公司，並把Giant Antispyware更名為Microsoft Antisyware（Beta 1）。在今年的2月16日，又將其正式更名為Windows Defender（Beta 2）。

　　相對於Microsoft Antisyware Beta 1和其他第三方的反間諜軟件工具，Windows Defender Beta 2具備以下顯著的優點：

　　1）只需要用戶進行很少的人工乾預，Windows Defender就可以輕松工作在最佳狀態。

　　2）Windows Defender的工作界面非常簡單，平時很難找到它的“蹤影”，它並不像其他同類軟件那樣會在任務欄通知區域裡添加一個圖標。但是一旦發現Windows系統遭到間諜軟件的危害，它就會立即“現身”幫助我們解決問題。

　　3）Windows Defender的軟件更新集成到Windows Update中，無需我們額外花費精力進行管理。

　　還有最重要的一個優點，就是Windows Defender是免費的，真是便宜量又足，完全可以給家庭用戶帶來足夠的間諜軟件保護功能。

　　為什麼看不到Windows Defender的通知區域圖標

　　如果系統一切正常的話，Windows Defender就會從任務欄通知區域徹底消失。這對於熟悉前一版本Microsoft Antispyware的用戶來說，可能會很不習慣，可能感覺Windows Defender並沒有實時保護我們的計算機。

　　

　　盡管平時Windows Defender並沒有出現在任務欄的通知區域，但是實際上Windows Defender啟動了一個後臺服務，正在時時刻刻默默地替我們的計算機保駕護航。我們可以用以下步驟進行驗證：

　　1）在運行對話框裡輸入“services.msc”並回車打開“服務”管理單元窗口。

　　2）在打開窗口右側的詳細窗格裡定位到“Windows Defender Service”服務，雙擊並打開其屬性對話框，如圖1。

　　3）可以看到“Windows Defender Service”服務的啟動類型為“自動”，這表明該服務隨系統自動啟動，其服務狀態為“已啟動”， Windows Defender確實在默默地為我們服務，只是它比較“低調”而已。

　　Windows Defender的實時監護

　　Windows Defender默認啟用實時監護功能，一旦檢測到對系統有危害的動作，就會立即彈出警告消息框。

　　如果安裝某個應用程序時發現其中“夾帶”了間諜軟件（例如臭名卓著的3721），Windows Defender馬上就會彈出如圖2的警告框。

　　這時候可以直接單擊該警告框上的“全部刪除”按鈕，如果不放心的話，還可以單擊“復查”按鈕進行查看，結果如圖3。

　　

　　確認無誤後，可以單擊“全部刪除”按鈕，即可開始清除過程，由於3721涉及的文件和注冊表鍵值較多，所以清除過程需要花上一點時間，如圖4。清除結束後，系統可能會提示重新啟動，以確保防護操作生效。

　　

　　Windows Defender的手動掃描

　　除了實時監護外，系統默認每天都對系統進行一次快速掃描，以最大限度地保護我們的系統。

　　除此之外，我們還可以手動掃描：

　　1）單擊Windows Defender主窗口“掃描”按鈕右側的下拉箭頭，在展開的下拉菜單裡可以看到三個菜單項：快速掃描、完整掃描和自定義掃描，分別對系統進行快速掃描、完全掃描和定制掃描。

　　2）單擊“自定義掃描”，即可進入“選擇掃描選項”頁面，選中其上的“掃描選定的驅動器和文件夾”選項，然後單擊右側的“選擇”按鈕。

　　3）在打開的對話框上指定所需掃描的驅動器和文件夾，如圖5。單擊“確定”按鈕，回到“選擇掃描選項”頁面，單擊其上的“立即掃描”按鈕即可開始掃描。

　　

　　自定義Windows Defender的配置

　　Windows Defender的自定義配置功能非常強大，而且默認配置就已經可以提供足夠的安全防護。這裡我們也可以對其進行自定義：

　　首先單擊Windows Defender主窗口的“工具”按鈕，然後單擊“選項”，即可進入配置頁面。

　　自動掃描配置

　　在“自動掃描”部分，可以指定掃描的頻率，如圖6。默認是每天都掃描，我們可以指定每星期掃描一次，例如可以選擇星期日掃描。還可以指定掃描的時間，默認是清晨2點，可以進行調整。

　　

　　實時監護自定義

　　還可以對實時監護的功能進行自定義，在“選項”頁面的“實時保護選項”部分，可以選擇實時監護所涉及的選項，這裡推薦全部勾選，如圖7。

　　

　　Windows Defender的高級功能

　　盡管Windows Defender和它的前任Microsoft Antispyware相比，變化非常大，但是卻保留了Microsoft Antispyware最精華的部分——軟件資源管理器。該功能可以幫助我們詳細地了解並配置自啟動進程、當前運行任務和網絡連接，接下來分別進行描述。

　　首先單擊Windows Defender主窗口的工具按鈕，然後單擊“軟件資源管理器”，即可進入“軟件資源管理器”頁面。

　　

　　配置自啟動進程

　　在“類別”下拉列表框裡選擇“啟動程序”選項，即可在頁面的左側顯示當前系統的所有自啟動進程，並且按照所屬廠商進行歸類。

　　任意選中其中的某個自啟動進程，就可以在右側的詳細窗格裡查看其具體信息：例如是否具有數字簽名（並且顯示提供簽名的廠商），該應用程序所在的路徑，啟動類型、是否屬於Windows自帶的進程等。

　　例如在左側的進程列表裡選擇“Microsoft Windows Explorer”進程，就可以在右側詳細窗格裡查看該進程的具體信息，如圖8。

　　● 從“數字簽名方”一欄裡可以知道該進程是由“Microsoft Windows Verification Intermediate PCA”進行數字簽名，應該是可信的進程。

　　● 從“文件路徑”一欄裡可以了解該進程的程序文件位於“D:\WINDOWS\explorer.exe”。

　　

　　當前運行的任務

　　在“類別”下拉列表框裡選擇“當前運行的程序”選項，即可在頁面的左側顯示所有已經啟動的進程，並且按照所屬廠商進行歸類。盡管在任務管理器中也能查看當前啟動的進程，但是Windows Defender所提供的信息遠比任務管理器多。

　　這裡可以在左側的進程列表裡選中一個“Microsoft Generic Host Process for Win32 Services”（svchost.exe）進程，即可在右側詳細窗格裡看到其具體信息，如圖9。

　　其中絕大多數信息類似於查看自啟動進程所得到的信息。但是其中的一項“服務”信息非常有用，可以查看該進程所加載的系統服務，例如本例中我們可以看到該進程加載了DCOM Server Process Launcher、Plug and Play等多個服務。

　　對於某些進程，我們可以單擊右側的“結束進程”按鈕中止該進程，但是並不是所有的進程都可以通過這種方法中止（這時候“結束進程”按鈕灰色顯示），這是因為這些進程是Windows Vista的重要進程，如果強行中止的話，可能會導致系統崩潰。

　　網絡連接程序

　　在“類別”下拉列表框裡選擇“網絡連接的程序”選項，即可在頁面的左側顯示所有網絡連接進程，並且按照所屬廠商進行歸類。

　　

　　這個功能非常實用，例如我們選中左側進程列表裡的“Messenger”進程，在右側的詳細窗格裡即可看到該進程的具體信息，如圖10所示。

　　可以看到Messenger在本地打開的TCP/IP端口，以及遠程IP地址所監聽的端口。如果要中止該進程，單擊右側的“結束進程”按鈕即可。如果希望阻止Messenger的入站連接，單擊右側的“傳入阻止”按鈕即可。

　　單擊右側的“傳入阻止”按鈕，實際上是在Windows防火牆裡取消“Windows Live Messenger 8.0”的例外，我們可以按照以下步驟進行驗證：

　　

　　在運行對話框裡輸入“firewall.cpl”，按回車打開“Windows防火牆”對話框，並切換到“例外”標簽頁。

　　在該“例外”標簽頁裡，我們可以看到“Windows Live Messenger 8.0”的例外左側的復選框被清空，如圖11。