系统服务在Windows中的地位可谓举足轻重,不仅它的运行级别很高,而且和系统的稳定运行也关系密切,因此也就成了病毒木马等恶意程序攻击的目标和藏身之地。恶意程序往往通过新建、修改、替换系统服务的方法来达到侵入系统的目的,因此对系统服务进行全面的监控和保护,对Windows的安全和正常运行无疑是极为重要的,使用NetWrix Services Monitor(简称NSM)、ID Folder Protector(简称IDFP)、WinPatrol、WinServices、Ghost Security Suite(简称GSS)等软件就可以让我们对系统服务进行全面的监控,让其任何细微的变动都逃不过我们的“火眼金睛”。
一、使用NSM监控系统服务
运行NSM,在主窗口中勾选“Enable Services Monitor”项,激活其服务监控功能,点击“Add”按钮,在编辑栏中输入服务的名称(注意不是服务的显示名称),按照上述方法,我们可以添加所有需要监控的服务。在“What to do if a service is not running“选项中勾选“Send alert to”,表示当监控的服务没有运行或者意外中止运行时,可以向预设的邮箱发送警报信息,在它后面可以设置目标邮箱。勾选“Reboot computer”项,表示发生上述情况后,可以重启电脑。勾选“Start service”项,表示在发生以上情况时,可以自动重启预设的服务。在“SMTP setting”中的“Server”栏中输入SMTP服务器的地址,在“Poart”栏中输入其端口号,在“From address”栏中输入发信人邮箱,然后点击“Verify”按钮,可以检测SMTP服务器是否可用,最后点击“Apply”按钮,保存配置即可。
二、使用IDFP监控系统服务
IDFP是一款小巧精悍的系统监视工具,可以对文件夹、文件、注册表、服务等进行全面的监控。本文我简单介绍一下如何监控系统服务,在IDFP的主界面中点击左侧的“Add service watch”,在弹出的窗口中列出了所有的系统服务,勾选需要监视的系统服务,然后在“Watch Type”中选择“Started”,表示当预设的服务启动时,就可以触发IDFP的监控记录功能。而选择“Stopped”,则表示当预设的服务意外停止时,可以触发IDFP的监视记录功能。
点击“Next”按钮,在窗口中的“Select Trigger”栏中选择目标程序,这样当预设服务启动或者停止时,就可以运行该程序。按照上述方法,我们可以添加任何需要监控的服务项目。在IDFP服务管理窗口中显示所有的服务监控项,包括服务的名称、监控方式、上次运行状态改变时间、日志等。当预设服务启动或者意外中止后,IDFP就可以将相关信息完整的记录下来。当查看监控信息时,在列表中双击目标服务项目,在弹出窗口中可以显示该监视对象的详细日志信息,包括目标文件路径、动作类型、文件太小、修改时间、建立时间、相关的帐户信息等。
三、使用WinPatrol监控服务
WiuPatrol是一款功能强大的系统安全工具,可以对进程、浏览器、启动项、服务、文件等几乎所有的系统对象进行全面监控。在WinPatrol的主窗口中打开“服务”选项,在其中就显示出了所有的服务项目。选中对应的服务项目,点击“信息”按钮,就可以了解其详细信息。勾选“只列出非微软服务”项,可以隐藏经过微软认证的正常服务,只显示未经认证的服务项,这样有助于迅速发现可疑服务项。
在窗口的右上角点击“监控”按钮,在弹出的窗口中拖动滑块,设置WinPatrol监控服务的间隔时间(默认为7分钟),如果设置为0,表示禁用其监控功能,点击“OK”按钮保存设置。接下来WinPatrol就可以全面监控服务运行情况了,当发现创建、重启、停止、修改服务项目时,就会弹出报警窗口,在其中显示出了该程序的名称、路径、描述信息、开发者名称、相关服务的启动方式和状态等信息。对于可疑的动作,可以点击“No”按钮阻止其运行,对于确认正常的动作,点击“Yes”按钮放行即可。
四、使用WinServices监控服务
WinServices是为系统服务量身订制的安全软件,不仅可以执行服务的启动/停止操作,查看服务的运行状态,还可以为系统服务拍摄快照,通过对比快照文件就可以迅速发现混迹在系统服务中的“可疑分子”。在WinServices的主界面中显示出了全部的系统服务项目,在对应的服务项目上点击右键,通过右键菜单中的命令,就可以执行查看属性、启动服务、停止服务、暂停服务、重启服务等操作。
如何为系统服务拍摄快照呢?点击菜单中的“File”→“Save Services”项,输入快照文件的名称,就可以完成快照文件的创建操作(后缀为rpt)。当以后需要检测服务的变动情况时,再点击菜单“File”→“Restore Services”项,导人之前创建的快照文件,WinServices就可以按照快照文件来分析系统服务的变动情况。如果存在差异的话,就会在警告窗口中列出发生变动的服务的详细情况。如果我们希望恢复对应服务的状态,在警告窗口中选择该服务项,点击“Restore service”按钮即可,点击“Restore all”按钮,还可以恢复所有的系统服务项目。
五、使用Ghost Security Suite监控系统服务
系统服务看起来比较复杂,但其实它是藏身在系统注册表中的,因此对注册表中和系统服务密切相关的键值进行监控,同样可以达到监控的目的。GSS就是一款功能强大的注册表监控软件,完全可以实现上述目标。GSS内置了大量的监控规则,系统服务项目自然也是其监控的重点,当可疑程序试图修改或者创建服务项目时,GSS就会抢先对其进行拦截,在弹出的警告窗口的“1.This Application”中显示程序的名称,在“2.Wants to perform this action”中显示修改的动作,在下方的“Key”栏中显示该程序要修改的注册表主键名,在“Vaiue”栏中显示建立的键值名称,在“Value Data”栏中显示该程序所在的路径信息。
根据其提供的详细的信息,我们就很容易判断出目标程序的真实身份,对于正常的程序,点击“Allow”按钮放行,而对于非法的程序,最好是点击“Block”按钮拦截其对注册表中服务配置项目的修改。如果勾选“Always perform the action I tale”项,表示遇到相同的修改动作时,GSS可以自动按照当前的选择执行对应的动作。如果在询问窗体左上角的模式列表中选择“Advance Alert”项,就会弹出高级询问窗口,在其中可以显示出更加详细的内容,除了上述描述信息外,还包括可疑程序的原始运行路径、触发规则所监控的注册表路径、规则所属组名等内容。如果确认是可疑程序,还可以直接点击“Kill Process”或者“Kill Thread”按钮杀死对应进程或线程。