引言：本文介紹了如何使用Registry Help Pro，WinServices、WinPatrol、Ghost Security Suite、ID Folder Protector，超級(jí)巡警，Comodo Cleaning Essentials等軟件，來保衛(wèi)系統(tǒng)服務(wù)。

為系統(tǒng)服務(wù)拍張“快照”

Registry Help Pro是一款注冊表實(shí)用工具，能夠?qū)ψ员磉M(jìn)行修復(fù)、編輯、搜索、比較等操作。這里主要介紹如何使用Registry Help Pro提供的快照功能，來發(fā)現(xiàn)注冊表的變動(dòng)情況。因?yàn)橄到y(tǒng)服務(wù)信息實(shí)際上保存在注冊表中的，當(dāng)病毒等惡意軟件侵入系統(tǒng)后，往往會(huì)對這些注冊表信息進(jìn)行非法修改。利用Registry Help Pro的這一功能，可以很輕松地對系統(tǒng)服務(wù)進(jìn)行監(jiān)控，及時(shí)發(fā)現(xiàn)并恢復(fù)系統(tǒng)服務(wù)配置信息。下載地址：http://www.onlinedown.net/soft/45172.htm。

在Registry Help Pro主界面工具欄中點(diǎn)擊“注冊表瀏覽器”按鈕，在注冊表瀏覽面板中展開某一分支，點(diǎn)擊“創(chuàng)建快照”按鈕，對該分支拍攝“快照”。按照同樣的方法，可以在不同的時(shí)間點(diǎn)，執(zhí)行同樣的操作。以后需要觀察目標(biāo)分支路徑中的變動(dòng)信息時(shí)，在工具欄上點(diǎn)擊“比較”按鈕，在窗口左側(cè)按照時(shí)間順序，列出所有的快照項(xiàng)目（如圖1）。選中相應(yīng)快照項(xiàng)目，會(huì)顯示出與其相應(yīng)的注冊表路徑。例如，選擇上述為系統(tǒng)服務(wù)拍攝的快照項(xiàng)目，點(diǎn)擊“開始比較”按 鈕，Registry Help Pro將會(huì)將其和注冊表當(dāng)前相同路徑中的信息進(jìn)行比較，并將發(fā)生改變的項(xiàng)目逐一顯示出來。這樣，那些“混跡”在系統(tǒng)服務(wù)中的惡意程序就充分暴露了。勾選相應(yīng)的變動(dòng)項(xiàng)，點(diǎn)擊“恢復(fù)”按鈕，就能其恢復(fù)到和選定快照相同的狀態(tài)。當(dāng)然，這里是針對某一路徑拍攝快照，您完全可以針對各個(gè)根鍵拍攝和比較快照。

圖1 查看服務(wù)變化信息

使用WinServices監(jiān)控系統(tǒng)服務(wù)

WinServices是一款增強(qiáng)型的Windows服務(wù)管理軟件，允許您啟動(dòng)/停止服務(wù)，可以查看服務(wù)的當(dāng)前狀態(tài)，并且能夠?yàn)楫?dāng)前服務(wù)拍攝快照文件，通過對不同快照文件進(jìn)行比較，可以很輕松的發(fā)現(xiàn)服務(wù)中的異常情況。下載地址：http://www.onlinedown.net/softdown/42216_2.htm。

在WinServices主窗口（如圖2）中顯示W(wǎng)indows服務(wù)列表，選中對應(yīng)的服務(wù)項(xiàng)目，利用其右鍵菜單，可以執(zhí)行查看屬性、啟動(dòng)服務(wù)、停止服務(wù)、暫停服務(wù)、重啟服務(wù)等操作。點(diǎn)擊 菜 單“File” →“Save Services”項(xiàng)，即可將當(dāng)前服務(wù)保存為快照文件（后綴為“.rpt”）。當(dāng)以后需要深入了解服務(wù)的變化情況時(shí)，點(diǎn)擊菜單“File”→“Restore Services”項(xiàng)，選之前導(dǎo)出的快照文件，WinServices即可將當(dāng)前各項(xiàng)服務(wù)的參數(shù)與選定的快照文件進(jìn)行比較，在警告窗口中列出服務(wù)的詳細(xì)變動(dòng)情況。

這樣，對于通過修改系統(tǒng)服務(wù)潛入系統(tǒng)中的病毒來說，就很容易暴露其“行蹤”了。對于發(fā)生變動(dòng)的服務(wù)項(xiàng)目，可以選擇該服務(wù)項(xiàng)，點(diǎn)擊警告窗口左下角的“Restore service”按鈕，可以將該服務(wù)恢復(fù)到原始狀態(tài)。如果想快速恢復(fù)所有的服務(wù)項(xiàng)目，點(diǎn)擊“Restore all”即 可。 此外WebServices還可以全面監(jiān)控服務(wù)的變動(dòng)情況，當(dāng)發(fā)現(xiàn)相關(guān)服務(wù)的狀態(tài)發(fā)生變動(dòng)時(shí)，就會(huì)立即彈出警告窗口提示用戶注意，WebServices還會(huì)將所有服務(wù)的變動(dòng)情況完整的記錄到日志文件中。

使用WinPatrol監(jiān)控系統(tǒng)服務(wù)

WinPatrol是一款出色的系統(tǒng)安全管理工具，可以對進(jìn)程、瀏覽器、啟動(dòng)項(xiàng)、服務(wù)、文件類型等對象進(jìn)行全面監(jiān)控，可以有效的保護(hù)你的電腦免受惡意程序的破壞。在WinPatrol主窗口的“服務(wù)”面板中顯示所有的服務(wù)項(xiàng)目（如圖3），點(diǎn)擊“信息”按鈕，可以顯示選中服務(wù)的詳細(xì)信息。勾選“只列出非微軟服務(wù)”項(xiàng)，可以隱藏所有經(jīng)過微軟認(rèn)證的正常服務(wù)項(xiàng)目，只顯示未經(jīng)認(rèn)證的系統(tǒng)服務(wù)項(xiàng)，這樣就很容易發(fā)現(xiàn)可疑的服務(wù)項(xiàng)目，選中可疑的服務(wù)項(xiàng)目，點(diǎn)擊“信息”按鈕，在彈出窗口中點(diǎn)擊“停止”按鈕，即可中止該服務(wù)項(xiàng)目。

圖2 WinServices主窗口

圖3 WinPatrol主窗口

在窗口右上角點(diǎn)擊“監(jiān)控”按鈕，在彈出窗口中拖動(dòng)滑塊，可以設(shè)置WinPatrol監(jiān)控服務(wù)的間隔時(shí)間（默認(rèn)為7分鐘），如果設(shè)置為0表示禁用監(jiān)控功能，點(diǎn)擊OK按鈕保存配置信息。之后WinPatrol即可對服務(wù)的變動(dòng)情況進(jìn)行全面監(jiān)控，當(dāng)發(fā)現(xiàn)有程序試圖創(chuàng)建新的服務(wù)，或者修改存在的服務(wù)項(xiàng)目時(shí)，就會(huì)彈出警告窗口，在其中顯示該程序的名稱、路徑、描述信息、開發(fā)者名稱、相關(guān)服務(wù)的啟動(dòng)方式和狀態(tài)等信息。對于可疑的服務(wù)項(xiàng)目，最好點(diǎn)擊“No”按鈕阻止可疑程序?qū)Ψ?wù)項(xiàng)目的修改操作。如果是正常服務(wù)，點(diǎn)擊“Yes”按鈕放行。這樣就可以讓您及時(shí)的發(fā)現(xiàn)服務(wù)的變動(dòng)情況，從而輕松維護(hù)服務(wù)的良好的運(yùn)行狀態(tài)。下載地址：http://www.winpatrol.com/setupcn.exe。

使用Ghost Security Suite監(jiān)控系統(tǒng)服務(wù)

系統(tǒng)服務(wù)項(xiàng)目實(shí)際上是保存在注冊表中的，在注冊表編輯器中打 開“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”分支，就可以看到完整的服務(wù)配置信息了。因此，對注冊表中和服務(wù)相關(guān)的數(shù)據(jù)進(jìn)行保護(hù)，就可以有效的保護(hù)系統(tǒng)服務(wù)的安全，使用Ghost Security Suite這款強(qiáng)悍的注冊表監(jiān)控程序，注冊表的任何變動(dòng)都逃不出它的“眼睛”。 下 載 地 址 ：http://www.onlinedown.net/soft/49797.htm。

Ghost Security Suite占用系統(tǒng)資源非常少，而且采用雙進(jìn)程守護(hù)模式，可有效抗擊對其的非法關(guān)閉。Ghost Security Suite使用了先進(jìn)的注冊表內(nèi)核保護(hù)技術(shù)，能搶在其它程序讀寫注冊表之前激活保護(hù)操作，Ghost Security Suite通過規(guī)則來實(shí)現(xiàn)對注冊表的監(jiān)控，在Ghost Security Suite中不同的規(guī)則規(guī)屬于相應(yīng)的組。在其主窗口頂部點(diǎn)擊“注冊表保護(hù)”按鈕，打開規(guī)則配置窗口（如圖4）。在其左側(cè)列表中顯示所有規(guī)則組，Ghost Security Suite內(nèi)置了“全局注冊規(guī)則”和“程序規(guī)則”兩種類型的規(guī)則組。在“全局注冊規(guī)則”中預(yù)設(shè)了6個(gè)組，包含了涉及啟動(dòng)項(xiàng)、驅(qū)動(dòng)程序、系統(tǒng)服務(wù)、文件關(guān)聯(lián)、網(wǎng)絡(luò)保護(hù)、特殊注冊表項(xiàng)、瀏覽器保護(hù)等方面的大量規(guī)則，可以完成大多數(shù)情況下的注冊表監(jiān)視任務(wù)。其中對服務(wù)項(xiàng)目的保護(hù)是Ghost Security Suite的重要功能之一，Ghost Security Suite已經(jīng)內(nèi)置了完整的服務(wù)項(xiàng)目保護(hù)規(guī)則，您無需進(jìn)行任何設(shè)置，即可全面防御可疑程序?qū)Ψ?wù)項(xiàng)目的破壞操作。

圖4 編輯保護(hù)規(guī)則

當(dāng)可疑程序試圖修改系統(tǒng)服務(wù)項(xiàng)目時(shí)，Ghost Security Suite就搶先探測并阻止其修改動(dòng)作。在彈出詢問對話框（如圖5）中的“1.這個(gè)程序”面板中顯示程序名稱，在“希望執(zhí)行這個(gè)操作”面板中顯示修改動(dòng)作，在“鍵”欄中顯示該程序要修改的注冊表主鍵名，在“值”欄中顯示建立的鍵值名稱，在“值數(shù)據(jù)”欄中顯示該程序所在的路徑信息。根據(jù)Ghost Security Suite提供的詳細(xì)的報(bào)告信息，用戶可以很輕松的分辨出該程序的“身份”。如果是正常的程序，點(diǎn)擊“允許”按鈕，允許其對注冊表進(jìn)行更改。對于非法的程序，點(diǎn)擊“攔截”按鈕，即可使其無法對注冊表進(jìn)行非法修改。如果勾選“總是執(zhí)行操作”項(xiàng)，表示遇到相同的修改動(dòng)作時(shí)，Ghost Security Suite可以自動(dòng)按照當(dāng)前選擇的動(dòng)作決定是否允許其修改注冊表。

在本例中可以看到，木馬Ruser試圖創(chuàng)建服務(wù)，遭到了Ghost Security Suite攔截。所以必須點(diǎn)擊“攔截”按鈕，將該木馬驅(qū)逐出去。如果在詢問窗體左上角的模式列表中選擇“高級(jí)報(bào)警”項(xiàng)，可以彈出高級(jí)詢問窗體，在其中可以顯示更加細(xì)致的內(nèi)容，除了上述描述信息外，還包括可疑程序程序的原始運(yùn)行路徑、觸發(fā)的規(guī)則所監(jiān)控的注冊表路徑、規(guī)則所屬組名等內(nèi)容。如果確認(rèn)是可疑程序，還可以點(diǎn)擊“終止進(jìn)程”或者“終止線程”按鈕殺死其進(jìn)程或線程。這樣根據(jù)Ghost Security Suite提供的非法程序的路徑信息，用戶可以輕易的將可疑程序徹底刪除，讓病毒無法在系統(tǒng)中繼續(xù)藏身。實(shí)際上，從Ruser木馬服務(wù)器端可以運(yùn)行，就遭到Ghost Security Suite的層層攔截，我們上面談到的是只是針對木馬試圖創(chuàng)建服務(wù)時(shí)的攔截界面。由此可見，Ghost Security Suite的保護(hù)功能是非常強(qiáng)大的。

使用ID Folder Protector監(jiān)控系統(tǒng)服務(wù)

現(xiàn)在很多狡猾的病毒為了達(dá)到入侵系統(tǒng)的目的，往往采用替換服務(wù)的方式，來冒充正常的系統(tǒng)服務(wù)潛入系統(tǒng)進(jìn)行破壞。使用ID Folder Protector這款小巧的系統(tǒng)監(jiān)視工具，可以對文件夾、文件、注冊表、服務(wù)等對象進(jìn)行深入的監(jiān)控操作，讓您輕松掌握系統(tǒng)的變動(dòng)情況。下載 地 址 ：http://www.idsecuritysuite.com/files/iddirectoryshieldsetup.exe。

圖5 攔截修改服務(wù)的操作

這里主要介紹如何使用ID Folder Protector監(jiān)視系統(tǒng)服務(wù)項(xiàng)目，在ID Folder Protector窗口的左 側(cè) 點(diǎn) 擊“Add service watch”按鈕，在彈出窗口（如圖6）中顯示所有的系統(tǒng)服務(wù)項(xiàng)目，勾選需要監(jiān)視的系統(tǒng)服務(wù)（最好全部選中），在“Watch Type”欄中選擇“Started”項(xiàng)或者“Stopped”項(xiàng)，表示當(dāng)預(yù)設(shè)的服務(wù)啟動(dòng)或者停止時(shí)，觸發(fā)ID Folder Protector的監(jiān)視記錄功能。不管是任何狡猾的病毒，在替換正常服務(wù)時(shí)必須執(zhí)行服務(wù)的停止和啟動(dòng)操作，這樣就完全處于ID Folder Protector的監(jiān)視之中了。當(dāng)設(shè)置好監(jiān)視服務(wù)后，在IFP窗口右側(cè)顯示所有監(jiān)視信息，其中就包括您設(shè)置的服務(wù)監(jiān)控項(xiàng)目。當(dāng)以后查看監(jiān)視信息時(shí)，在監(jiān)控列表中雙擊服務(wù)監(jiān)視項(xiàng)目，在彈出窗口中可以顯示該監(jiān)視對象的詳細(xì)日志信息，包括目標(biāo)文件路徑、動(dòng)作類型、文件大小、修改時(shí)間、建立時(shí)間、相關(guān)的賬戶信息等。

揪出服務(wù)中的“冒牌貨”

對于狡猾的病毒來說，為了逃避查殺，會(huì)將某個(gè)不常用的正常服務(wù)主程序破壞掉，之后搖身變成與之相同的服務(wù)，達(dá)到冒名頂替混淆視聽的目的。使用超級(jí)巡警工具箱，可以讓這些冒牌貨現(xiàn)出原形。下載地址：http://a1.sucop.com/SucopTools.zip。

在該工具工具欄中點(diǎn)擊“服務(wù)管理”按鈕，會(huì)列出所有的系統(tǒng)服務(wù)，對于正常的系統(tǒng)服務(wù)，會(huì)以綠色加以標(biāo)識(shí)。對于非系統(tǒng)自帶的服務(wù)項(xiàng)目，會(huì)以棕色加以標(biāo)示。如果發(fā)現(xiàn)有黃色外觀的服務(wù)項(xiàng)目，就說明該服務(wù)已經(jīng)被可疑程序替換了（如圖7）。這里以清除冒牌“ClipBook”服務(wù)為例進(jìn)行說明，點(diǎn)擊該服務(wù)，在彈出面板中顯示其名稱，狀態(tài)，類型，描述信息，開發(fā)者，MD5值等詳細(xì)信息。點(diǎn)擊“文件路徑”鏈接，可以直接定位到其主文件上。先點(diǎn)擊“停止服務(wù)”按鈕，結(jié)束其運(yùn)行。之后使用Unlocker等專用刪除工具，將病毒文件清除。之后將該服務(wù)正常的主程序“clipsrv.exe”復(fù) 制 到“C:WINDOWSsystem32”中。然后在該服務(wù)的右鍵菜單上點(diǎn)擊“編輯服務(wù)”項(xiàng)，在其屬性窗口的“執(zhí)行文件路徑中”欄中 輸 入“C:WINDOWSsystem32clipsrv.exe”，在“啟動(dòng)類型”列表中選擇“Disabled”項(xiàng)，禁止其運(yùn)行，點(diǎn)擊確定按鈕，就看以恢復(fù)該服務(wù)的原來面貌了。對于其它被替換的服務(wù)，按照同樣的方式進(jìn)行修復(fù)即可。

快速識(shí)別危險(xiǎn)的服務(wù)

在“開始”-“運(yùn)行”欄中 執(zhí) 行“services.msc”程序，進(jìn)入服務(wù)管理界面。面對一大串服務(wù)，想從中找到可疑服務(wù)項(xiàng)目，并不是一件輕松的事情。除了系統(tǒng)自帶的服務(wù)外，很多正常的程序也會(huì)創(chuàng)建各自的服務(wù)項(xiàng)目。如果貿(mào)然將“臉生”的服務(wù)清除，可能會(huì)造成不必要的麻煩。在Comodo Cleaning Essentials（簡稱CCE）這款功能強(qiáng)悍的安全軟件中，提供了名為Autorun Analyzer的小工具，可以幫助您迅速識(shí)別出混跡于眾多服務(wù)中的“不速之客”。下載地址：http://wt.onlinedown.net/dow n/cce_2.5.242177.201_x32.zip。

圖6 監(jiān)控服務(wù)變動(dòng)情況

圖7 超級(jí)巡警工具箱主界面

圖8 識(shí)別危險(xiǎn)的服務(wù)

打開下載的ZIP包，運(yùn)行其中的“Autoruns.exe”程 序，在 啟 動(dòng) 項(xiàng)分析窗口點(diǎn)擊菜單View”→“Language”→“中文”項(xiàng)，之后重新啟動(dòng)該程序，即可得到中文界面。該程序可以對系統(tǒng)啟動(dòng)項(xiàng)進(jìn)行全面分析，在窗口左側(cè)的“分類”列表中分門別類列出所有的啟動(dòng)項(xiàng)目，包括資源管理器，IE，驅(qū)動(dòng)，映像劫持，Winlogon，網(wǎng)絡(luò)等十幾種類別?？梢哉f，隱藏再深的啟動(dòng)項(xiàng)也會(huì)在此顯露出來。這里主要分析系統(tǒng)服務(wù)，在窗口左側(cè)選擇“服務(wù)”項(xiàng)，在右側(cè)窗口中列出所有自動(dòng)運(yùn)行的服務(wù)項(xiàng)目（如圖8）。