为了应对网络中泛滥的木马、间谍等恶意软件对系统安全的挑战,微软也推出了反木马、间谍软件的专用程序:Windows AntiSpyware ,而近期又对其进行了升级,并且更名为“Windows defender”。虽然依旧是测试版,但其具备的某些功能却让我们惊喜不已,下面我们就来看个究竟。
安装与升级
如果你已经安装了Windows AntiSpyware,可以通过其自动更新功能进行升级。当进行安装时,一路“Next(下一步)”即可,安装完成以后会自动进行快速的系统扫描。
提示:在主界面中,通过“Scan(查看)”旁的小箭头可以进行快速、完全、自定义扫描方式的切换。
基本设置
为了发挥Windows defender的威力,建议使用之前先在主界面中的“Tools/Settings/General setting(工具/设置/常规设置)”中进行基本的设置:勾选“Automatic scanning(自动扫描)”中的全部选项,这样就可以在机器空闲时进行自动扫描,并且发现可疑文件时,软件会按照事先设定的动作进行处理;Windows defender将扫描到的可疑文件分为“高、中、低”三个等级,在“default actions(默认动作)”中可针对不同等级的威胁自动执行“提示、忽略、删除”等三种不同的操作(如图1),但安全起见,建议大家全部选择“signature dafult(默认提示)”。
另外,勾选“Real-time protection options(实时保护选项)”中的全部选项,可以让Windows defender随系统自启动,并且实时监控针对注册表、IE下载及加载项、系统配置的修改;如果不想让windows defender扫描某些文件或文件夹,在“Advanced options(高级选项)”勾选两选项后通过“Add(添加)”按钮将该文件或文件夹导入即可;如果你的机器中存在多用户,为了使每个用户都在windows defender的保护之下,可勾选“Administrator options(系统管理员选项)”中的两个选项,最后点击“Save(保存)”按钮即可。
查看“黑白”名单
经过上述设置,现在我们就来看看效果到底如何:安装网际快车最新版,在安装过程中该软件会自动在IE浏览器中创建快捷图标,此时就会发现windows defender已经将其拦截了(如图2)。
这时,我们可以在“Action(动作)”的下拉菜单中选择是否允许其写入,然后点击“Apply Actions(应用)”按钮保存该操作,以后再检测到该操作就会自动执行定制的动作。
在“Tools”选项卡中,“Quarantined items(被隔离项目)”中记录的就是在扫描过程中被隔离的重点可疑文件,当确认其属于恶意软件时可以通过“Remove(移除)”按钮将其删除,如果不是恶意软件则可通过“Restore(恢复)”按钮将其恢复;而“Allowed items(允许项目)”中记录的就是允许执行的文件记录,不再允许执行相应操作时将其删除即可,这样下次再遇到相同的操作会重新被拦截(如图3)。
详细查看进程
几乎所有的用户都很在意当前机器中到底都有哪些进程,第三方的进程查看工具也很多,现在我们使用Windows defender同样可以查看后台程序,且功能绝对会令你大吃一惊。
不少朋友对进程中出现的多个svchost.exe程序很惶恐,害怕其中藏有“假冒”进程。这时,可在“Tools”选项卡中切换到“Software Explorer(软件管理器)”,点击“Category(类型)”的下拉按钮,在下拉菜单中可按随系统自启动、当前运行的程序、当前访问网络的程序、正在使用的系统网络组件等选择分类。先选中“Currently Running Program”(当前运行程序),然后在进程列表找到并选中标有“Host Process”关键词的进程项(如图4),在右侧的窗口中就可以看到该进程所对应程序的最详尽的信息,对于svchost.exe程序还可以看到它的用途。
提示:在进程的提示信息窗口中还设置了结束、删除、刷新、调用任务管理器等按钮,方便用户随时对可疑程序采取措施。
标签: 木马