微軟的木馬、間諜防范器 Defender測試版

　　為了應對網絡中泛濫的木馬、間諜等惡意軟件對系統安全的挑戰，微軟也推出了反木馬、間諜軟件的專用程序：Windows AntiSpyware ，而近期又對其進行了升級，並且更名為“Windows defender”。雖然依舊是測試版，但其具備的某些功能卻讓我們驚喜不已，下面我們就來看個究竟。

　　安裝與升級

　　如果你已經安裝了Windows AntiSpyware，可以通過其自動更新功能進行升級。當進行安裝時，一路“Next（下一步）”即可，安裝完成以後會自動進行快速的系統掃描。

　　提示：在主界面中，通過“Scan（查看）”旁的小箭頭可以進行快速、完全、自定義掃描方式的切換。

　　基本設置

　　為了發揮Windows defender的威力，建議使用之前先在主界面中的“Tools／Settings／General setting（工具/設置/常規設置）”中進行基本的設置：勾選“Automatic scanning（自動掃描）”中的全部選項，這樣就可以在機器空閒時進行自動掃描，並且發現可疑文件時,軟件會按照事先設定的動作進行處理；Windows defender將掃描到的可疑文件分為“高、中、低”三個等級，在“default actions（默認動作）”中可針對不同等級的威脅自動執行“提示、忽略、刪除”等三種不同的操作（如圖1），但安全起見，建議大家全部選擇“signature dafult（默認提示）”。

　　另外，勾選“Real-time protection options（實時保護選項）”中的全部選項，可以讓Windows defender隨系統自啟動，並且實時監控針對注冊表、IE下載及加載項、系統配置的修改；如果不想讓windows defender掃描某些文件或文件夾，在“Advanced options（高級選項）”勾選兩選項後通過“Add（添加）”按鈕將該文件或文件夾導入即可；如果你的機器中存在多用戶，為了使每個用戶都在windows defender的保護之下，可勾選“Administrator options（系統管理員選項）”中的兩個選項，最後點擊“Save（保存）”按鈕即可。

　　查看“黑白”名單

　　經過上述設置，現在我們就來看看效果到底如何：安裝網際快車最新版，在安裝過程中該軟件會自動在IE浏覽器中創建快捷圖標，此時就會發現windows defender已經將其攔截了（如圖2）。

　　這時，我們可以在“Action（動作）”的下拉菜單中選擇是否允許其寫入，然後點擊“Apply Actions（應用）”按鈕保存該操作，以後再檢測到該操作就會自動執行定制的動作。

　　在“Tools”選項卡中，“Quarantined items（被隔離項目）”中記錄的就是在掃描過程中被隔離的重點可疑文件，當確認其屬於惡意軟件時可以通過“Remove（移除）”按鈕將其刪除，如果不是惡意軟件則可通過“Restore（恢復）”按鈕將其恢復；而“Allowed items（允許項目）”中記錄的就是允許執行的文件記錄，不再允許執行相應操作時將其刪除即可，這樣下次再遇到相同的操作會重新被攔截（如圖3）。

　　詳細查看進程

　　幾乎所有的用戶都很在意當前機器中到底都有哪些進程，第三方的進程查看工具也很多，現在我們使用Windows defender同樣可以查看後台程序，且功能絕對會令你大吃一驚。

　　不少朋友對進程中出現的多個svchost.exe程序很惶恐，害怕其中藏有“假冒”進程。這時，可在“Tools”選項卡中切換到“Software Explorer（軟件管理器）”，點擊“Category（類型）”的下拉按鈕，在下拉菜單中可按隨系統自啟動、當前運行的程序、當前訪問網絡的程序、正在使用的系統網絡組件等選擇分類。先選中“Currently Running Program”（當前運行程序），然後在進程列表找到並選中標有“Host Process”關鍵詞的進程項（如圖4），在右側的窗口中就可以看到該進程所對應程序的最詳盡的信息，對於svchost.exe程序還可以看到它的用途。

　　提示：在進程的提示信息窗口中還設置了結束、刪除、刷新、調用任務管理器等按鈕，方便用戶隨時對可疑程序采取措施。