Vista的安全锁——深入剖析Vista的恶意软件防护能力
技术与开发
在以前的Windows系统中,由于IE和系统的漏洞频出,恶意软件的入侵可以说是如入无人之境。恶意软件不但蛮横地占据IE的工具栏,而且收集个人隐私信息、频繁弹出广告窗口,让用户不胜其烦。在Vista中,恶意软件还可以这样胡作非为吗?接下来,就让我们来看看Windows Vista是如何防范恶意软件、加强安全性能的。
在Windows Vista中,我们欣喜地发现:其“安全中心”有了极大的改进,表明了对系统安全性的前所未有的重视,主要增加了“恶意软件保护”的设置,其中除了“病毒防护”的检测功能外还嵌入了“间谍软件和其他恶意软件保护功能”,这是通过Windows Defender来完成的。
小资料:Windows Defender的族谱
Windows Defender的祖先是Microsoft AntiSpyware。Microsoft AntiSpyware可以自动升级恶意软件库,具备多种扫描方式和实时保护能力,提供了详细的IE的保护功能。随着对用户操作体验的重视,简洁高效的Windows Defender取代了略显繁琐的Microsoft AntiSpyware。然而,Windows Defender最初并不是专为Windows Vista开发的,也有适用于其他操作系统(Windows XP/2000/2003)的版本。目前支持其他操作系统的Windows Defender Beta2只有英语、德语和日语版本。在Windows Vista之前的操作系统中,Windows Defender并不能成为“安全中心”的一部分,只能单兵作战而不能和其他安全组件融为一体。另外,Windows Defender和第三方同类软件的功能类似,缺乏亮点功能。这些都影响了用户对Windows Defender的认可。
Vista将Windows Defender作为安全组件后,用户仍然对其恶意软件的防护能力顾虑重重。Windows Defender的恶意软件的防护能力能有根本性的改善吗?不安装第三方的恶意软件防护软件,Windows Defender可以独当一面吗?下面就来看看它的防护手段和原理。
透过攻击看防护
作为Vista引以为傲的安全组件,Windows Defender主要使用了哪些新的技术来对恶意攻击进行防护呢?让我们来细细分析一下吧。
1. 已经“中招”怎么办
应对措施:扫描和清除恶意软件
如果电脑已经受到恶意软件的侵害,可以在Windows Defender中直接点击“扫描”按钮进行常规的恶意软件的扫描,这是最快捷的扫描方法。其实,Windows Defender针对用户需要提供了多种灵活的恶意软件的扫描方式,包括以下三种:
快速扫描:只检测磁盘中最容易感染恶意软件的位置(常规的扫描就是这一类)。
全面扫描:检测磁盘所有文件、注册表信息、当前运行的程序及操作系统所有关键位置。
自定义扫描:让用户选择磁盘的盘符和文件夹进行扫描。
技术点评:Windows Defender使用了类似于杀毒软件的恶意软件定义库来识别和清理恶意软件。每个恶意软件定义通常称为恶意软件特征码,各不相同。每个恶意软件特征码包括了恶意软件在系统和注册表中留下的各种痕迹。恶意软件定义库可以通过Windows Update获得持续不断的更新,因此,不用担心新恶意软件的入侵。建议点击“工具”链接,进入“选项”,选择“扫描前检查更新的定义”复选框,这样就可以及时更新恶意软件定义库了。
恶意软件扫描完成后,被检测出来的恶意软件将出现在扫描结果列表中。选中每个结果都将显示恶意软件的类别、描述、建议、资源等信息。对于新手来说,最简单的操作方式是点击“全部删除”按钮清除所有的恶意软件,当然点击“应用操作”使用专家推荐的操作也是不错的选择。而高级用户也可以在操作列选择每个扫描结果的操作类型(有删除、隔离、忽略、始终允许等4种),然后点击“应用操作”就可以完成设定了(图1)。
2.恶意软件即将入侵
应对措施:9个区域的实时保护
Windows Defender不但可以清理恶意软件,而且还可以阻止新的恶意软件非法安装。这主要是通过恶意软件监控助手来实现的。那么,Windows Defender主要对哪些系统的关键区域进行了监控呢?主要有以下9个区域:
自启动项(随系统启动而运行的程序列表)、系统与安全相关的配置、IE的加载项、IE的安全配置、IE下载的控件、服务和驱动程序、可疑的应用程序活动、应用程序注册、Windows加载项。
技术点评:Windows Defender对计算机容易被恶意软件修改的区域提供了完善的监控能力。当恶意软件企图修改这些区域来自动运行或者收集用户信息时都将被Windows Defender察觉,用户可以获取相关警告信息和进行适当的操作。如:某个恶意软件希望添加到自动启动列表时,Windows Defender将弹出警告信息,用户进行屏蔽操作就可以了。Windows Defender的这项功能酷似Winpatrol(系统监控软件)。
最简化的管理技术
Windows Defender并不像其他第三方软件需要一个繁琐的配置过程,它采用了最简化的配置管理技术。Windows Defender安装后就可以很好地满足典型用户的需要了。那么,Windows Defender具有哪些最简化的配置管理技术呢?
1.预配置技术
为了简化安装过程,Windows Defender被预配置成检测和清除恶意软件的最理想的状态。主要的预配置设置如下:
每晚的自动扫描;恶意软件的实时保护;Windows Defender自动更新恶意软件定义库。
小提示:每晚的自动扫描时间默认安排在凌晨2点。
2.最少的警告中断
如果安全软件频繁弹出警告信息,那么就将极大地破坏你的工作情绪。为了减少你的工作中断,Windows Defender合并了多个警告信息,使之更加适合于反映潜在威胁的严重性。当系统被正常更改时,只在系统托盘区显示小通知图标。从一般到严重的恶意软件,Windows Defender分别显示黄色和红色的警告信息。Windows Defender还提高了处理恶意软件的效率。如:在3721中文上网的警告信息窗口,你可以立即点“全部删除”按钮,或者点“审阅”按钮进入Windows Defender再进行处理(图2)。
小提示:Windows Defender有5级警告,分别是严重、高、中、低、未分级。
3.简化的管理
Windows Defender通过自动化许多服务、最小化要求的交互操作、简化交互过程等技术简化了管理。主要有以下的简化操作:简单高效的工具栏;简单的恶意软件清除过程。
简单高效的工具栏体现在可以单击顶部的链接进入最重要的5大功能。简单的恶意软件清除过程体现在:每个检测到的高威胁性的项目都提供了专家建议的解决方案;在警告窗口直接处理恶意软件清理过程而无须进入Windows Defender;每个检测到的项目都提供了相关信息和专家的建议。
高级用户的利器——软件资源管理器
如果高级用户需要了解当前正在运行的程序信息,那么就可以使用Windows Defender的软件资源管理器。在软件资源管理器,可以通过选择类别查看或者更改启动程序、当前运行的程序、网络连接的程序、Winsock服务提供的程序(图3)。
Winsock服务提供的程序、执行Windows的低级别网络连接和通信服务的程序以及Windows上运行的程序通常具有对操作系统的重要区域的访问权限。有些恶意软件可能通过Winsock服务进行加载,因此可以通过查看相关信息来予以删除。
技术点评:软件资源管理器提高了用户对于软件资源的能见度和控制力。通过查看软件资源管理器,用户不再对当前软件的运行情况、启动程序等信息一无所知。专业化的软件资源查看使得用户对系统有了更深的认识。比起第三方软件,Windows Defender具有更加简洁明了的优势。
亲身体验恶意软件防护能力
下面,让我们来体验一下Windows Defender的恶意软件防护功能。360安全卫士是比较成熟的恶意软件防护工具,我们让Windows Defender和它进行横向对比,看看到底高下如何。我们主要进行恶意软件清理测试。测试结果如下表所示。
Windows Defender可以检测出过半数的恶意软件,成功清除3个。而360安全卫士可以检测出5个恶意软件,并可以清除。因此,Windows Defender的恶意软件清除能力比起360安全卫士还是有不小的差距,需要继续不断地完善恶意软件定义库。另一方面,Windows Defender的检测结果列表比起360安全卫士还不够详尽,需要进一步改进。
编后:有,总比没有好
从本文中,我们看出Vista的恶意软件防护功能比起以往的Windows有了质的提高。“安全中心”首次嵌入了Windows Defender,具备了恶意软件防范功能。Windows Defender的最简化的管理技术和高级用户选项让新手和系统高手都能游刃有余地分析系统的健康状况,然后就可以有的放矢地进行修复。虽然Windows Defender比起目前的主流安全软件还有不小的差距,但Windows Vista再也不是流氓软件横行的地盘了。因为,有,总比没有好!