间谍软件是一种能够在用户不知情的情况下,在其计算机上安装后门、收集用户信息的软件。间谍软件以恶意后门程序的形式存在,该程序可以打开端口、启动ftp服务器或者搜集击键信息并将信息反馈给攻击者。
不管我们是不是计算机高手,都要学会自己根据Windows自带的“事件查看器”对应用程序、系统、安全和设置等进程进行分析与管理。
通过事件查看器查找间谍软件的操作步骤如下。
Step 01 右击“此电脑”图标,在弹出的快捷菜单中选择“管理”选项,如图3-15所示。
Step 02 打开“计算机管理”对话框,在其中可以看到系统工具、存储、服务和应用程序3个方面的内容,如图3-16所示。
Step 03 在左侧依次展开“计算机管理(本地)”→“系统工具”→“事件查看器”选项,可在下方显示事件查看器所包含的内容,如图3-17所示。
图3-15 “管理”选项
图3-16 “计算机管理”对话框
图3-17 事件查看器
Step 04 双击“Windows日志”选项,可在右侧显示有关Windows日志的相关内容,包括应用程序、安全、设置、系统和已转发事件等,如图3-18所示。
图3-18 Windows日志信息
Step 05 双击右侧区域中的“应用程序”选项,可在打开的界面中看到非常详细的应用程序信息,其中包括应用程序被打开、修改、权限过户、权限登记、关闭以及重要的出错或者兼容性信息等,如图3-19所示。
图3-19 应用程序信息
Step 06 右击其中任意一条信息,在弹出的快捷菜单中选择“事件属性”选项,如图3-20所示。
Step 07 打开“事件属性”对话框,在该对话框中可以查看该事件的常规属性以及详细信息等,如图3-21所示。
Step 08 右击其中任意一条应用程序信息,在弹出的快捷菜单中选择“保存选择的事件”选项,打开“另存为”对话框,在“文件名”文本框中输入事件的名称,并选择事件保存的类型,如图3-22所示。
图3-20 “事件属性”选项
图3-21 “事件属性”对话框
图3-22 “另存为”对话框
Step 09 单击“保存”按钮,保存事件,并打开“显示信息”对话框,在其中设置是否要在其他计算机中正确查看此日志,设置完毕后,单击“确定”按钮即可保存设置,如图3-23所示。
图3-23 “显示信息”对话框
Step 10 双击左侧的“安全”选项,可以将计算机记录的安全性事件信息全都显示于此,用户可以对其进行具体查看和保存、附加程序等,如图3-24所示。
图3-24 “安全”选项
Step 11 双击左侧的“设置”选项,在右侧将会展开系统设置详细内容,如图3-25所示。
图3-25 “设置”选项
Step 12 双击左侧的“系统”选项,会在右侧看到Windows操作系统运行时内核以及上层软硬件之间的运行记录,这里面会记录大量的错误信息,是黑客们分析目标计算机漏洞时最常用到的信息库,用户最好熟悉错误码,这样可以提高查找间谍软件的效率,如图3-26所示。
图3-26 “系统”选项
使用反间谍专家可以扫描系统薄弱环节以及全面扫描硬盘,智能检测和查杀超过上万种木马、蠕虫、间谍软件等,并终止它们的恶意行为。当检测到可疑文件时,该工具还可以将其隔离,从而保护系统的安全。
下面介绍使用反间谍专家软件的基本步骤。
Step 01 运行反间谍专家程序,打开“反间谍专家”主界面,从中可以看出反间谍专家有“快速查杀”和“完全查杀”两种方式,如图3-27所示。
Step 02 在“查杀”栏目中单击“快速查杀”按钮,然后右边的窗口中单击“开始查杀”按钮,打开“扫描状态”对话框,如图3-28所示。
图3-27 “反间谍专家”主界面
图3-28 “扫描状态”对话框
Step 03 在扫描结束之后,打开“扫描报告”对话框,在其中列出了扫描到的恶意代码,如图3-29所示。
图3-29 “扫描报告”对话框
Step 04 单击“选择全部”按钮,可选中全部的恶意代码,然后单击“清除”按钮,快速杀除扫描到的恶意代码,如图3-30所示。
图3-30 清除恶意代码
Step 05 如果要彻底扫描并查杀恶意代码,则需采用“完全查杀”方式。在“反间谍专家”主窗口中,单击“完全查杀”按钮,打开“完全查杀”对话框。从中可以看出完全查杀有三种快捷方式供选择,这里选中“扫描本地硬盘中的所有文件”单选项,如图3-31所示。
图3-31 “完全查杀”对话框
Step 06 单击“开始查杀”按钮,打开“扫描状态”对话框,在其中可以查看查杀进程,如图3-32所示。
图3-32 “扫描状态”对话框
Step 07 待扫描结束之后,打开“扫描报告”对话框,在其中列出所扫描到的恶意代码。勾选要清除的恶意代码前面的复选框后,单击“清除”按钮,即可删除这些恶意代码,如图3-33所示。
Step 08 在“反间谍专家”主界面中切换到“常用工具”栏目中,单击“系统免疫”按钮,打开“系统免疫”对话框,单击“启用”按钮即可确保系统不受到恶意程序的攻击,如图3-34所示。
图3-33 清除恶意代码
图3-34 “系统免疫”对话框
Step 09 单击“IE修复”按钮,打开“IE修复”对话框,在勾选需要修复的项目之后,单击“立即修复”按钮,可将IE恢复到其原始状态,如图3-35所示。
图3-35 “IE修复”对话框
Step 10 单击“隔离区”按钮,则可查看已经隔离的恶意代码,选择隔离的恶意项目可以对其进行恢复或清除操作,如图3-36所示。
图3-36 查看隔离的恶意代码
Step 11 单击“高级工具”功能栏,进入“高级工具”设置界面,如图3-37所示。
图3-37 “高级工具”设置界面
Step 12 单击“进程管理”按钮,打开“进程管理器”对话框,在其中对进程进行相应的管理,如图3-38所示。
图3-38 “进程管理器”对话框
Step 13 单击“服务管理”按钮,打开“服务管理器”对话框,在其中可对服务进行相应的管理,如图3-39所示。
图3-39 “服务管理器”对话框
Step 14 单击“网络连接管理”按钮,打开“网络连接管理器”对话框,在其中可对网络连接进行相应的管理,如图3-40所示。
图3-40 “网络连接管理器”对话框
Step 15 选择“工具”→“综合设定”菜单项,打开“综合设定”对话框,在其中可对扫描设定进行相应的设置,如图3-41所示。
图3-41 “综合设定”对话框
Step 16 选择“查杀设定”选项卡,进入“查杀设定”设置界面,在其中可设定发现恶意程序时的缺省动作,如图3-42所示。
图3-42 “查杀设定”选项卡
Step 17 选择“其他”选项卡,进入“其他”设置界面,在其中勾选“允许右键菜单选择扫描”复选框,单击“确定”按钮即可完成设置操作,如图3-43所示。
图3-43 “其他”选项卡
SpyBot-Search&Destroy是一款专门用来清理间谍程序的工具。目前,它已经可以检测1万多种间谍程序(Spyware),并对其中的1000多种进行免疫处理。这个软件是完全免费的,并有中文语言包支持,可以在Server级别的操作系统上使用。
使用SpyBot软件查杀间谍软件的基本步骤如下。
Step 01 安装Spybot-Search&Destroy并完成初始化设置之后,打开其主窗口,如图3-44所示。
图3-44 Spybot-Search&Destroy工作界面
Step 02 由于该软件支持多种语言,可以在其主窗口中执行Languages→“简体中文”命令,将程序主界面切换为中文模式,如图3-45所示。
图3-45 中文模式
Step 03 单击其中的“检测”按钮或单击左侧的“检查与修复”按钮,打开“检测与修复”窗口,单击“检测与修复”按钮,此时即可开始检查系统找到的存在的间谍软件,如图3-46所示。
图3-46 “检测与修复”窗口
Step 04 在软件检查完毕之后,检查页上将会列出在系统中查到的可能有问题的软件。选取某个检查到的问题,再点击右侧的分栏箭头即可查询到有关该问题软件的发布公司,软件功能、说明和危害种类等信息,如图3-47所示。
图3-47 显示检测到的信息
Step 05 选中需要修复的问题程序,单击“修复”按钮,打开“将要删除这些项目”提示信息框,如图3-48所示。
图3-48 确认信息框
Step 06 单击“是”按钮,可看到在下次系统启动时自动运行提示框,如图3-49所示。
图3-49 警告信息框
Step 07 单击“是”按钮,可将选取的间谍程序从系统中清除。修复后的结果如图3-50所示,其中以 标识已经成功修复的问题,以 标识修复不成功的问题。
Step 08 待修复完成后,可看到“确认”对话框。在其中会显示成功修复以及尚未修复问题的数目,并建议重启计算机。此时只需单击“确定”按钮重启计算机修复未修复的问题即可,如图3-51所示。
图3-50 清除间谍程序
图3-51 “确认”对话框
Step 09 选择“还原”选项,在打开的界面中选择需要还原的项目,单击“还原”按钮,如图3-52所示。
图3-52 选择需要还原的项目
Step 10 打开“确认”信息提示框,提示用户是否要撤销先前所做的修改,如图3-53所示。
Step 11 单击“是”按钮,可将修复的问题还原到原来的状态,还原完毕后打开“信息”提示框,如图3-54所示。
图3-53 “确认”信息提示框
图3-54 “信息”提示框
Step 12 选择“免疫”选项,进入“免疫”设置界面,免疫功能能使用户的系统具有抵御间谍软件的免疫效果,如图3-55所示。
图3-55 “免疫”设置界面