有的放矢，保衛系統服務安全

引言：本文介紹了如何使用Registry Help Pro，WinServices、WinPatrol、Ghost Security Suite、ID Folder Protector，超級巡警，Comodo Cleaning Essentials等軟件，來保衛系統服務。

為系統服務拍張“快照”

Registry Help Pro是一款注冊表實用工具，能夠對注冊表進行修復、編輯、搜索、比較等操作。這里主要介紹如何使用Registry Help Pro提供的快照功能，來發現注冊表的變動情況。因為系統服務信息實際上保存在注冊表中的，當病毒等惡意軟件侵入系統后，往往會對這些注冊表信息進行非法修改。利用Registry Help Pro的這一功能，可以很輕松地對系統服務進行監控，及時發現并恢復系統服務配置信息。下載地址：http://www.onlinedown.net/soft/45172.htm。

在Registry Help Pro主界面工具欄中點擊“注冊表瀏覽器”按鈕，在注冊表瀏覽面板中展開某一分支，點擊“創建快照”按鈕，對該分支拍攝“快照”。按照同樣的方法，可以在不同的時間點，執行同樣的操作。以后需要觀察目標分支路徑中的變動信息時，在工具欄上點擊“比較”按鈕，在窗口左側按照時間順序，列出所有的快照項目（如圖1）。選中相應快照項目，會顯示出與其相應的注冊表路徑。例如，選擇上述為系統服務拍攝的快照項目，點擊“開始比較”按 鈕，Registry Help Pro將會將其和注冊表當前相同路徑中的信息進行比較，并將發生改變的項目逐一顯示出來。這樣，那些“混跡”在系統服務中的惡意程序就充分暴露了。勾選相應的變動項，點擊“恢復”按鈕，就能其恢復到和選定快照相同的狀態。當然，這里是針對某一路徑拍攝快照，您完全可以針對各個根鍵拍攝和比較快照。

圖1 查看服務變化信息

使用WinServices監控系統服務

WinServices是一款增強型的Windows服務管理軟件，允許您啟動/停止服務，可以查看服務的當前狀態，并且能夠為當前服務拍攝快照文件，通過對不同快照文件進行比較，可以很輕松的發現服務中的異常情況。下載地址：http://www.onlinedown.net/softdown/42216_2.htm。

在WinServices主窗口（如圖2）中顯示Windows服務列表，選中對應的服務項目，利用其右鍵菜單，可以執行查看屬性、啟動服務、停止服務、暫停服務、重啟服務等操作。點擊 菜 單“File” →“Save Services”項，即可將當前服務保存為快照文件（后綴為“.rpt”）。當以后需要深入了解服務的變化情況時，點擊菜單“File”→“Restore Services”項，選之前導出的快照文件，WinServices即可將當前各項服務的參數與選定的快照文件進行比較，在警告窗口中列出服務的詳細變動情況。

這樣，對于通過修改系統服務潛入系統中的病毒來說，就很容易暴露其“行蹤”了。對于發生變動的服務項目，可以選擇該服務項，點擊警告窗口左下角的“Restore service”按鈕，可以將該服務恢復到原始狀態。如果想快速恢復所有的服務項目，點擊“Restore all”即 可。 此外WebServices還可以全面監控服務的變動情況，當發現相關服務的狀態發生變動時，就會立即彈出警告窗口提示用戶注意，WebServices還會將所有服務的變動情況完整的記錄到日志文件中。

使用WinPatrol監控系統服務

WinPatrol是一款出色的系統安全管理工具，可以對進程、瀏覽器、啟動項、服務、文件類型等對象進行全面監控，可以有效的保護你的電腦免受惡意程序的破壞。在WinPatrol主窗口的“服務”面板中顯示所有的服務項目（如圖3），點擊“信息”按鈕，可以顯示選中服務的詳細信息。勾選“只列出非微軟服務”項，可以隱藏所有經過微軟認證的正常服務項目，只顯示未經認證的系統服務項，這樣就很容易發現可疑的服務項目，選中可疑的服務項目，點擊“信息”按鈕，在彈出窗口中點擊“停止”按鈕，即可中止該服務項目。

圖2 WinServices主窗口

圖3 WinPatrol主窗口

在窗口右上角點擊“監控”按鈕，在彈出窗口中拖動滑塊，可以設置WinPatrol監控服務的間隔時間（默認為7分鐘），如果設置為0表示禁用監控功能，點擊OK按鈕保存配置信息。之后WinPatrol即可對服務的變動情況進行全面監控，當發現有程序試圖創建新的服務，或者修改存在的服務項目時，就會彈出警告窗口，在其中顯示該程序的名稱、路徑、描述信息、開發者名稱、相關服務的啟動方式和狀態等信息。對于可疑的服務項目，最好點擊“No”按鈕阻止可疑程序對服務項目的修改操作。如果是正常服務，點擊“Yes”按鈕放行。這樣就可以讓您及時的發現服務的變動情況，從而輕松維護服務的良好的運行狀態。下載地址：http://www.winpatrol.com/setupcn.exe。

使用Ghost Security Suite監控系統服務

系統服務項目實際上是保存在注冊表中的，在注冊表編輯器中打 開“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”分支，就可以看到完整的服務配置信息了。因此，對注冊表中和服務相關的數據進行保護，就可以有效的保護系統服務的安全，使用Ghost Security Suite這款強悍的注冊表監控程序，注冊表的任何變動都逃不出它的“眼睛”。 下 載 地 址 ：http://www.onlinedown.net/soft/49797.htm。

Ghost Security Suite占用系統資源非常少，而且采用雙進程守護模式，可有效抗擊對其的非法關閉。Ghost Security Suite使用了先進的注冊表內核保護技術，能搶在其它程序讀寫注冊表之前激活保護操作，Ghost Security Suite通過規則來實現對注冊表的監控，在Ghost Security Suite中不同的規則規屬于相應的組。在其主窗口頂部點擊“注冊表保護”按鈕，打開規則配置窗口（如圖4）。在其左側列表中顯示所有規則組，Ghost Security Suite內置了“全局注冊規則”和“程序規則”兩種類型的規則組。在“全局注冊規則”中預設了6個組，包含了涉及啟動項、驅動程序、系統服務、文件關聯、網絡保護、特殊注冊表項、瀏覽器保護等方面的大量規則，可以完成大多數情況下的注冊表監視任務。其中對服務項目的保護是Ghost Security Suite的重要功能之一，Ghost Security Suite已經內置了完整的服務項目保護規則，您無需進行任何設置，即可全面防御可疑程序對服務項目的破壞操作。

圖4 編輯保護規則

當可疑程序試圖修改系統服務項目時，Ghost Security Suite就搶先探測并阻止其修改動作。在彈出詢問對話框（如圖5）中的“1.這個程序”面板中顯示程序名稱，在“希望執行這個操作”面板中顯示修改動作，在“鍵”欄中顯示該程序要修改的注冊表主鍵名，在“值”欄中顯示建立的鍵值名稱，在“值數據”欄中顯示該程序所在的路徑信息。根據Ghost Security Suite提供的詳細的報告信息，用戶可以很輕松的分辨出該程序的“身份”。如果是正常的程序，點擊“允許”按鈕，允許其對注冊表進行更改。對于非法的程序，點擊“攔截”按鈕，即可使其無法對注冊表進行非法修改。如果勾選“總是執行操作”項，表示遇到相同的修改動作時，Ghost Security Suite可以自動按照當前選擇的動作決定是否允許其修改注冊表。

在本例中可以看到，木馬Ruser試圖創建服務，遭到了Ghost Security Suite攔截。所以必須點擊“攔截”按鈕，將該木馬驅逐出去。如果在詢問窗體左上角的模式列表中選擇“高級報警”項，可以彈出高級詢問窗體，在其中可以顯示更加細致的內容，除了上述描述信息外，還包括可疑程序程序的原始運行路徑、觸發的規則所監控的注冊表路徑、規則所屬組名等內容。如果確認是可疑程序，還可以點擊“終止進程”或者“終止線程”按鈕殺死其進程或線程。這樣根據Ghost Security Suite提供的非法程序的路徑信息，用戶可以輕易的將可疑程序徹底刪除，讓病毒無法在系統中繼續藏身。實際上，從Ruser木馬服務器端可以運行，就遭到Ghost Security Suite的層層攔截，我們上面談到的是只是針對木馬試圖創建服務時的攔截界面。由此可見，Ghost Security Suite的保護功能是非常強大的。

使用ID Folder Protector監控系統服務

現在很多狡猾的病毒為了達到入侵系統的目的，往往采用替換服務的方式，來冒充正常的系統服務潛入系統進行破壞。使用ID Folder Protector這款小巧的系統監視工具，可以對文件夾、文件、注冊表、服務等對象進行深入的監控操作，讓您輕松掌握系統的變動情況。下載 地 址 ：http://www.idsecuritysuite.com/files/iddirectoryshieldsetup.exe。

圖5 攔截修改服務的操作

這里主要介紹如何使用ID Folder Protector監視系統服務項目，在ID Folder Protector窗口的左 側 點 擊“Add service watch”按鈕，在彈出窗口（如圖6）中顯示所有的系統服務項目，勾選需要監視的系統服務（最好全部選中），在“Watch Type”欄中選擇“Started”項或者“Stopped”項，表示當預設的服務啟動或者停止時，觸發ID Folder Protector的監視記錄功能。不管是任何狡猾的病毒，在替換正常服務時必須執行服務的停止和啟動操作，這樣就完全處于ID Folder Protector的監視之中了。當設置好監視服務后，在IFP窗口右側顯示所有監視信息，其中就包括您設置的服務監控項目。當以后查看監視信息時，在監控列表中雙擊服務監視項目，在彈出窗口中可以顯示該監視對象的詳細日志信息，包括目標文件路徑、動作類型、文件大小、修改時間、建立時間、相關的賬戶信息等。

揪出服務中的“冒牌貨”

對于狡猾的病毒來說，為了逃避查殺，會將某個不常用的正常服務主程序破壞掉，之后搖身變成與之相同的服務，達到冒名頂替混淆視聽的目的。使用超級巡警工具箱，可以讓這些冒牌貨現出原形。下載地址：http://a1.sucop.com/SucopTools.zip。

在該工具工具欄中點擊“服務管理”按鈕，會列出所有的系統服務，對于正常的系統服務，會以綠色加以標識。對于非系統自帶的服務項目，會以棕色加以標示。如果發現有黃色外觀的服務項目，就說明該服務已經被可疑程序替換了（如圖7）。這里以清除冒牌“ClipBook”服務為例進行說明，點擊該服務，在彈出面板中顯示其名稱，狀態，類型，描述信息，開發者，MD5值等詳細信息。點擊“文件路徑”鏈接，可以直接定位到其主文件上。先點擊“停止服務”按鈕，結束其運行。之后使用Unlocker等專用刪除工具，將病毒文件清除。之后將該服務正常的主程序“clipsrv.exe”復 制 到“C:WINDOWSsystem32”中。然后在該服務的右鍵菜單上點擊“編輯服務”項，在其屬性窗口的“執行文件路徑中”欄中 輸 入“C:WINDOWSsystem32clipsrv.exe”，在“啟動類型”列表中選擇“Disabled”項，禁止其運行，點擊確定按鈕，就看以恢復該服務的原來面貌了。對于其它被替換的服務，按照同樣的方式進行修復即可。

快速識別危險的服務

在“開始”-“運行”欄中 執 行“services.msc”程序，進入服務管理界面。面對一大串服務，想從中找到可疑服務項目，并不是一件輕松的事情。除了系統自帶的服務外，很多正常的程序也會創建各自的服務項目。如果貿然將“臉生”的服務清除，可能會造成不必要的麻煩。在Comodo Cleaning Essentials（簡稱CCE）這款功能強悍的安全軟件中，提供了名為Autorun Analyzer的小工具，可以幫助您迅速識別出混跡于眾多服務中的“不速之客”。下載地址：http://wt.onlinedown.net/dow n/cce_2.5.242177.201_x32.zip。

圖6 監控服務變動情況

圖7 超級巡警工具箱主界面

圖8 識別危險的服務

打開下載的ZIP包，運行其中的“Autoruns.exe”程 序，在 啟 動 項分析窗口點擊菜單View”→“Language”→“中文”項，之后重新啟動該程序，即可得到中文界面。該程序可以對系統啟動項進行全面分析，在窗口左側的“分類”列表中分門別類列出所有的啟動項目，包括資源管理器，IE，驅動，映像劫持，Winlogon，網絡等十幾種類別。可以說，隱藏再深的啟動項也會在此顯露出來。這里主要分析系統服務，在窗口左側選擇“服務”項，在右側窗口中列出所有自動運行的服務項目（如圖8）。