Windows Vista反間諜軟件簡明手冊

可能是考慮到現在網絡上的間諜軟件特別猖獗，所以微軟在Windows Vista中內置了一款相當不錯的反間諜軟件——Windows Defender。 Windows Defender概述 Windows Defender的前身是Giant公司的Giant Antispyware。2004年12月微軟收購了Giant公司，并把Giant Antispyware更名為Microsoft Antisyware（Beta 1）。在今年的2月16日，又將其正式更名為Windows Defender（Beta 2）。 相對于Microsoft Antisyware Beta 1和其他第三方的反間諜軟件工具，Windows Defender Beta 2具備以下顯著的優點： 1）只需要用戶進行很少的人工干預，Windows Defender就可以輕松工作在最佳狀態。 　 2）Windows Defender的工作界面非常簡單，平時很難找到它的“蹤影”，它并不像其他同類軟件那樣會在任務欄通知區域里添加一個圖標。但是一旦發現Windows系統遭到間諜軟件的危害，它就會立即“現身”幫助我們解決問題。 3）Windows Defender的軟件更新集成到Windows Update中，無需我們額外花費精力進行管理。 還有最重要的一個優點，就是Windows Defender是免費的，真是便宜量又足，完全可以給家庭用戶帶來足夠的間諜軟件保護功能。 為什么看不到Windows Defender的通知區域圖標 如果系統一切正常的話，Windows Defender就會從任務欄通知區域徹底消失。這對于熟悉前一版本Microsoft Antispyware的用戶來說，可能會很不習慣，可能感覺Windows Defender并沒有實時保護我們的計算機。

盡管平時Windows Defender并沒有出現在任務欄的通知區域，但是實際上Windows Defender啟動了一個后臺服務，正在時時刻刻默默地替我們的計算機保駕護航。我們可以用以下步驟進行驗證： 1）在運行對話框里輸入“services.msc”并回車打開“服務”管理單元窗口。 2）在打開窗口右側的詳細窗格里定位到“Windows Defender Service”服務，雙擊并打開其屬性對話框，如圖1。 3）可以看到“Windows Defender Service”服務的啟動類型為“自動”，這表明該服務隨系統自動啟動，其服務狀態為“已啟動”， Windows Defender確實在默默地為我們服務，只是它比較“低調”而已。 Windows Defender的實時監護 Windows Defender默認啟用實時監護功能，一旦檢測到對系統有危害的動作，就會立即彈出警告消息框。

如果安裝某個應用程序時發現其中“夾帶”了間諜軟件（例如臭名卓著的3721），Windows Defender馬上就會彈出如圖2的警告框。

這時候可以直接單擊該警告框上的“全部刪除”按鈕，如果不放心的話，還可以單擊“復查”按鈕進行查看，結果如圖3。

　 確認無誤后，可以單擊“全部刪除”按鈕，即可開始清除過程，由于3721涉及的文件和注冊表鍵值較多，所以清除過程需要花上一點時間，如圖4。清除結束后，系統可能會提示重新啟動，以確保防護操作生效。

Windows Defender的手動掃描 除了實時監護外，系統默認每天都對系統進行一次快速掃描，以最大限度地保護我們的系統。 除此之外，我們還可以手動掃描： 　 1）單擊Windows Defender主窗口“掃描”按鈕右側的下拉箭頭，在展開的下拉菜單里可以看到三個菜單項：快速掃描、完整掃描和自定義掃描，分別對系統進行快速掃描、完全掃描和定制掃描。 2）單擊“自定義掃描”，即可進入“選擇掃描選項”頁面，選中其上的“掃描選定的驅動器和文件夾”選項，然后單擊右側的“選擇”按鈕。

3）在打開的對話框上指定所需掃描的驅動器和文件夾，如圖5。單擊“確定”按鈕，回到“選擇掃描選項”頁面，單擊其上的“立即掃描”按鈕即可開始掃描。

自定義Windows Defender的配置 Windows Defender的自定義配置功能非常強大，而且默認配置就已經可以提供足夠的安全防護。這里我們也可以對其進行自定義： 首先單擊Windows Defender主窗口的“工具”按鈕，然后單擊“選項”，即可進入配置頁面。 自動掃描配置 在“自動掃描”部分，可以指定掃描的頻率，如圖6。默認是每天都掃描，我們可以指定每星期掃描一次，例如可以選擇星期日掃描。還可以指定掃描的時間，默認是清晨2點，可以進行調整。

實時監護自定義 還可以對實時監護的功能進行自定義，在“選項”頁面的“實時保護選項”部分，可以選擇實時監護所涉及的選項，這里推薦全部勾選，如圖7。

Windows Defender的高級功能 盡管Windows Defender和它的前任Microsoft Antispyware相比，變化非常大，但是卻保留了Microsoft Antispyware最精華的部分——軟件資源管理器。該功能可以幫助我們詳細地了解并配置自啟動進程、當前運行任務和網絡連接，接下來分別進行描述。 首先單擊Windows Defender主窗口的工具按鈕，然后單擊“軟件資源管理器”，即可進入“軟件資源管理器”頁面。　

配置自啟動進程 在“類別”下拉列表框里選擇“啟動程序”選項，即可在頁面的左側顯示當前系統的所有自啟動進程，并且按照所屬廠商進行歸類。 任意選中其中的某個自啟動進程，就可以在右側的詳細窗格里查看其具體信息：例如是否具有數字簽名（并且顯示提供簽名的廠商），該應用程序所在的路徑，啟動類型、是否屬于Windows自帶的進程等。 例如在左側的進程列表里選擇“Microsoft Windows Explorer”進程，就可以在右側詳細窗格里查看該進程的具體信息，如圖8。 ● 從“數字簽名方”一欄里可以知道該進程是由“Microsoft Windows Verification Intermediate PCA”進行數字簽名，應該是可信的進程。 ● 從“文件路徑”一欄里可以了解該進程的程序文件位于“D:WINDOWSexplorer.exe”。

當前運行的任務 在“類別”下拉列表框里選擇“當前運行的程序”選項，即可在頁面的左側顯示所有已經啟動的進程，并且按照所屬廠商進行歸類。 盡管在任務管理器中也能查看當前啟動的進程，但是Windows Defender所提供的信息遠比任務管理器多。 這里可以在左側的進程列表里選中一個“Microsoft Generic Host Process for Win32 Services”（svchost.exe）進程，即可在右側詳細窗格里看到其具體信息，如圖9。 其中絕大多數信息類似于查看自啟動進程所得到的信息。但是其中的一項“服務”信息非常有用，可以查看該進程所加載的系統服務，例如本例中我們可以看到該進程加載了DCOM Server Process Launcher、Plug and Play等多個服務。 對于某些進程，我們可以單擊右側的“結束進程”按鈕中止該進程，但是并不是所有的進程都可以通過這種方法中止（這時候“結束進程”按鈕灰色顯示），這是因為這些進程是Windows Vista的重要進程，如果強行中止的話，可能會導致系統崩潰。

網絡連接程序 在“類別”下拉列表框里選擇“網絡連接的程序”選項，即可在頁面的左側顯示所有網絡連接進程，并且按照所屬廠商進行歸類。

這個功能非常實用，例如我們選中左側進程列表里的“Messenger”進程，在右側的詳細窗格里即可看到該進程的具體信息，如圖10所示。 　 可以看到Messenger在本地打開的TCP/IP端口，以及遠程IP地址所監聽的端口。如果要中止該進程，單擊右側的“結束進程”按鈕即可。如果希望阻止Messenger的入站連接，單擊右側的“傳入阻止”按鈕即可。 單擊右側的“傳入阻止”按鈕，實際上是在Windows防火墻里取消“Windows Live Messenger 8.0”的例外，我們可以按照以下步驟進行驗證：

在運行對話框里輸入“firewall.cpl”，按回車打開“Windows防火墻”對話框，并切換到“例外”標簽頁。 在該“例外”標簽頁里，我們可以看到“Windows Live Messenger 8.0”的例外左側的復選框被清空。