ClipBook服務,也叫剪貼板服務,它的作用主要是將複製、粘貼內容,保存到係統剪貼板中,以提高輸入效率。可是,該服務也會將類似登錄賬號與密碼這樣的信息,一起保存到係統剪貼板中,如果黑客進入資源管理器的“C:\Winnt\system32”文件夾窗口,執行clipsrv.exe程序,監控係統剪貼板時,那麼登錄賬號之類的隱私就會輕易被人發現。現在,一些病毒、木馬程序能夠直接查看係統剪貼板內容,啟動運行ClipBook服務,十分容易將本地隱私信息泄露出去。所以,為了避免ClipBook服務出賣個人隱私,我們必須及時停用該服務,禁止他人利用網絡連接來剪切和粘貼文本和圖形。
Shell Hardware Detection,也稱為硬件檢測服務,該服務的本意是為自動播放的設備或硬件提供通知功能。倘若我們認為該提示功能沒有多少實際作用,甚至還會影響工作時,幹脆禁用它,這樣日後再接入可移動設備係統就不會出現任何提示了。此外,停用了該服務後,磁盤自動播放功能也會失效,這在一定程度上能降低Windows係統感染病毒的風險,何樂而不為呢?在停用SHD服務時,Windows係統會自動彈出對話框,提示用戶需要聯動關閉Windows Image Acquisition服務,該服務是為掃描儀和照相機提供圖像采集的,倘若本地計算機沒有連接掃描儀時,不妨停用該服務。
除了上述這些服務,類似Task Scheduler、DNS Client這樣可能會帶來安全麻煩的係統服務,都可以被立即停用掉,因為Task Scheduler服務會讓黑客利用“at”命令創建病毒木馬攻擊計劃,Server服務會讓惡意用戶偷窺到用戶所瀏覽過的網站。
監控服務變化
一些惡意程序為了達到攻擊目的,往往會悄悄生成新的係統服務,並通過該服務進行傳播破壞操作,而且該攻擊方式很容易躲避安全工具的查殺。為了及時發現這類安全隱患,我們必須對係統服務的變化狀態進行跟蹤監視,日後遇到係統突然工作不正常現象時,隻要查看監視結果,就能知道不正常現象是否由新服務造成的了。下麵就是監控服務變化的具體步驟:
首先在本地係統工作正常的情況下,逐一點選“開始”|“運行”命令,打開係統運行對話框,輸入“cmd”命令並回車,彈出MS-DOS命令行工作窗口,在該窗口提示符下,執行“net start > F:\111.txt”命令,其中“F:\111.txt”文件是用來重定向保存係統服務運行狀態的,這樣Windows係統工作正常時的服務狀態會被導出到“F:\111.txt”文件中。
日後,當Windows係統由於優化或其他因素,發生莫名其妙故障時,可以重新打開DOS命令行工作窗口,執行“net start > F:\222.txt”命令,將發生故障時的所有服務狀態信息導出到“F:\222.txt”文件中。之後,輸入“fc F:\111.txt F:\222.txt”字符串命令並回車,這樣Windows係統就會自動使用內置“fc”命令,分析出上述兩個文件的不同之處,通過比較就能輕易找到哪些服務是新生成的了。再上網搜索新服務,了解其來龍去脈,就能判斷出係統故障是否由新服務引起的了。
揪出偽裝服務
很多狡猾的病毒、木馬程序,為了不暴露身份,常常會將惡意進程偽裝成一個正常的係統服務,日後以係統服務方式啟動運行,以達到長期攻擊或監控目的。為了將喬裝改扮的係統服務及時揪出來,可以請“超級巡警”專業工具來幫忙,它能很輕鬆地識別被病毒木馬程序精心偽裝的係統服務。
開啟“超級巡警”程序的運行狀態後,按下“高級”工具欄按鈕,進入對應程序的高級管理對話框,點擊界麵中的“服務管理”標簽,如果Windows係統中已經有服務選項被偽裝成功時,這些被偽裝的係統服務會以黃色記錄列寫在該標簽頁麵中,我們能夠一眼找到所有偽裝的係統服務。
找到偽裝服務選項後,用鼠標右擊該選項,從彈出的快捷菜單中執行“編輯服務”命令,將偽裝服務選項的可執行文件路徑修改過來,再將保存在係統暗處的病毒木馬原始文件清除幹淨,這樣就能徹底解除偽裝服務的安全威脅了。
標識異常服務
在頻繁安裝應用程序的過程中,Windows係統可能會生成很多陌生服務,依靠人工方式,根本無法分辨出哪些服務是安全的,哪些服務是不安全的。使用Comodo Cleaning Essentials這款安全工具,我們就能通過其內置Killswitch功能,將Windows係統中所有異常的服務和進程自動標識出來。
下載得到免費安裝文件後,借助專業工具進行解壓,並雙擊解壓目錄中的“ccc.exe”文件,開始安裝程序,當係統彈出安裝界麵時,建議使用“Full Scan”選項進行完全安裝,保證它能對所有異常服務選項進行標識。安裝操作結束後,從主界麵中逐一選擇“Tools”|“Options”命令,切換到選項設置對話框,在“select language”位置處選中“簡體中文”,將界麵語言設置成中文。
Comodo Cleaning Essentials程序在安裝成功後,會自動在線升級病毒庫,升級任務完成後按既定要求,對本地文件執行掃描查殺操作,等到掃描查殺操作完成後,單擊主程序界麵中的“打開Killswitch”按鈕,切換到任務管理器界麵,選擇“服務”標簽,在該標簽頁麵中,我們就能發現所有正常的服務會被標記為“safe”,而異常服務都沒有標誌“safe”,將相關異常服務名稱記錄下來,再借助Internet網絡了解它們的真正來曆,如果發現它們是病毒或木馬服務時,應該立即停用並刪除,以保證係統運行安全。