第一章、前言 微軟要推出自己的反病毒軟件這已經不是什麼新聞了,微軟近幾年悄然地收購了好幾家反病毒軟件公司,其中名氣較大的有GeCAD和Pelican。2003年微軟還成立了名叫病毒信息聯盟(Virus Information Alliance)的俱樂部,它是由微軟公司連同軟件安全公司Trend Micro以及Network Associates共同建設的一個網絡知識倉庫,主要目的是“教育並保護微軟的客戶如何應對惡意代碼的攻擊以及不斷出現的網絡病毒的威脅”。Computer Associates、Sybari Software和賽門鐵克都是它的成員。 微軟從來就沒有放慢進軍安全軟件的腳步,其實幾年前推出的ISA Server已具有了反病毒功能。另據悉目前微軟內部正在測試的反病毒軟件的內核被臨時命名為SBTU (Security Business & Technology Unit),它是微軟安全業務及技術部的簡稱,SP2中的防火牆便出自該部門。據說微軟公司內部的域用戶,都必須安裝Computer Associates提供的eTrust AntiVirus組件,它就是微軟反病毒產品的外殼。 微軟在新產品正式推出之前,總會有一兩種標志性的產品作為先鋒,反病毒軟件也不應例外。Win XP SP2內置防火牆的成功使微軟更有理由向安全軟件進軍。2005年新年伊始一款名為“Mircrosoft AntiSpyware”的反間諜軟件的測試版悄然出現在網絡上。其實這是去年微軟收購了反間諜軟件廠商Giant之後,利用其技術重新打造的,它主要用於監測和清除系統裡間諜軟件(Spyware)以及其它不受信任軟件的專用工具,可以阻擋50多類間諜軟件“入侵”。 一波未平一波又起,當“Mircrosoft AntiSpyware”反間諜軟件給業界帶來的震動還沒消散時,事隔不到一周,1月11日微軟又推出了一款免費的惡意軟件清除工具(Malicious Software Removal Tool)。表面上看這只是微軟以前推出的一些病毒專殺工具的合集,微軟的安全業務及技術部負責人Gytis Barzdukas也一再強調,這只是對已經使用來自Symantec、McAfee、Trend Micro等反病毒軟件產品的一個補充,但是它除了可以讓用戶從微軟下載中心下載,又可以通過Windows Update自動更新,不能不讓人們把它與微軟正在蓄謀推出自己的殺毒軟件聯系起來。 在這之前,微軟安全業務及技術部門的副總裁Rich Kaplan也曾透露說:“我們將有一款單獨的反病毒產品,你可以從微軟處購買,但是現在我們不能作任何聲明。”所以我們權把這個工具,當作微軟對市場的一次投石問路的行為吧。筆者第一時間試用了這兩款軟件,下面把它們的主要功能介紹給大家: 新軟賞析 反間諜軟件“Mircrosoft AntiSpyware” 軟件小檔案: Microsoft AntiSpyware Beta 1 軟件大小:6388 KB 軟件語言:英文 運行環境:Windows 2000/XP/2003 下載地址: 一、軟件設置向導 下載後安裝,因為如果你原來安裝使用Giant公司生產的Giant AntiSpyware,最好先卸載它,以免產生軟件版本沖突。Mircrosoft AntiSpyware首次運行時,會彈出設置向導,其中分為四個步驟,分別是:自動升級(Automatic Updates)、開啟實時防護(Real-time Protection)、加入SpyNet社區、掃描你的計算機。建議除第二項以外,其他的都選擇NO或跳過。可能因為是測試版的原故,筆者感覺軟件啟動速度較慢,但運行還是很穩定的。 二、間諜軟件掃描 Mircrosoft AntiSpyware界面比較簡潔(如圖1),主要功能有掃描間諜軟件(Spyware Scanning)、即時保護(Real-time Protection)和高級工具(Advanced Tools)三部分。其中掃描又分為手動和定時掃描兩種: 圖 1 1、手動掃描 點擊界面右上角的“Spyware Scan”圖標進行掃描窗口,軟件會提供一套默認掃描方案,只掃描內存、系統文件、注冊表以及Cookies文件。你也可以根據自己的情況自定義,點擊“Scan Options”然後選中你要掃描的項目,最後勾選“Save these options”保持你的設置,按下“Run Scan Now”開始,默認情況下需要花費三分鐘左右 掃描完成後會顯示一個簡要的報告(Scan Results),這裡我們可以看到間諜軟件的數量(Spyware threats detected)、內存進程掃描數量(Momory processes scanned)、掃描文件數(Files scanned)、受感染的文件數量(Spyware files infected)、被掃描的注冊表鍵數(Registry keys scanned)等等。關閉它後會顯示詳細的掃描結果,Threat Name名稱後面會顯示一個非常直觀的危害級別評價(Threat level),點擊每項下面的加號可以看到軟件所在位置(包括文件路徑和注冊表鍵值)。選中每個間諜軟件右邊還會顯示出更詳細的說明,自學教程,包括間諜軟件的類型(Type)、作者(Author)、介紹(Description),以及對處理該間諜軟件的建議(Advice)等等。我們可以根據這些提示分別對它們進行處理,具體操作包括卸載(remove)、忽略(ignore)、隔離(Quarantine)、總是忽略(Always Ignore)四種,你可以在每個結果左邊的下拉式列表框中選擇。筆者建議對“Threat Level”級別為“High”及以上的統統進行移除。為了不誤刪正常文件,你可以勾選下面的“Create restore point”選項創建一個還原點,5自學網,然後繼續。(如圖2) 圖 2 2、自動掃描 Mircrosoft AntiSpyware還提供自動掃描功能,依次選擇“Tools/Schedule Scan Details/Manage Spyware Scan schedule”打開設置窗口,你可以設置每周什麼時候進行自動掃描(如圖3)。在右邊的“Scheduled Scan Options”區域可以設置對掃描結果的處理,例如“自動隔離所有掃描出來的間諜軟件(Automactically quarantine spyware)、自動刪除間諜軟件cookies(Automatically remove spyware cookies)等,設置完畢後點擊“Update Schedule”按鈕使其生效。
圖 3 三、實時防護功能 與反病毒軟件的實時監控類似,Mircrosoft AntiSpyware也提供了一套即時監控保護功能,可以及時的監控來自網絡和應用程序中的間諜軟件,當任何未知具有危害的程序或者服務(例如信使用服務)試圖運行時,它會立即阻止並彈出一個警告窗口提醒用戶。你可以打開“Options→Settings”設置窗口,在“Real-time Protection”中勾選“Enable the Microsoft AntiSpyware Security Agents on Startup”和“Enable real-time spyware threat protection”兩項讓它自動開啟。 在Real-time Protection窗口中,點擊網絡助理(Internet Agents)、系統助理(System Agents)、程序助理(Application Agents)分別進入,可以看到該部分都采用了哪些抵御間諜軟件的策略,哪些項目被監控並被禁止。(如圖4) 圖 4 四、實用工具 除了以上防范間諜軟件的基本功能以外,Mircrosoft AntiSpyware還提供了幾個非常實用的工具,你可以在Tools菜單中找到它們,其中包括系統浏覽器(System Explorers)、IE綁架恢復(Browser Hijack Restore)、系統記錄清除器(Tracks Eraser)、高級文件分析器(Advanced File Analyzer)。 1、System Explorers:可以查看和管理下載過的ActiveX插件(其中可以告訴用戶該插件是否安全)、正在運行的進程、Internet Explorer安裝過的插件、工具欄按鈕、Host文件等等。(如圖5)筆者感覺這是一個非常實用的工具,可以解決大多數網民平時遇到的難題。 圖 5 2、Browser Hijack Restore:訪問非常網站IE主頁經常被修改,利用這個工具每個用戶都可以輕松地恢復。 3、Tracks Eraser:可以清除包括IE歷史記錄、Cookies、自動保存的密碼、輸入過的URL,畫圖程序、記事本、資源管理器、Windows Media Player、Winrar、ICQ、Adobe Acrobat Reader、Google Toolbar等眾多軟件打開過文件的歷史記錄,彈指之間讓你的隱私得到最大的保護。(如圖6) 圖 6 4、Advanced File Analyzer:我們經常擔心從網上下載的軟件、朋友傳過來的文件中會含有木馬等惡意程序,通過這個工具可以詳細查看該文件的真實信息,包括真實擴展名、路徑、創建時間、MD5值等。(如圖7) 圖 7 經過近一周的試用,筆者感覺Mircrosoft AntiSpyware是一款功能齊全、使用方便的反間諜工具軟件,但是目前只有英文版本對於國人來說不能不是一個遺憾。而且目前Mircrosoft AntiSpyware是免費的,而且加上微軟的支持,筆者相信正式版推出後會更加完善。看來誰也無法阻止這只巨無霸進軍安全軟件的步伐。 惡意軟件清除工具(Malicious Software Removal Tool) 這是微軟推出的一款免費的惡意軟件清除工具(Malicious Software Removal Tool)。它只支持Windows 2000及以上系統,簡體中文版下載地址:。這個工具以後每個月的第二個
