網路安全專欄 反間諜程序軟體是如何運行的

間諜軟體程序很少在計算機上獨立運行; 受影響的機器通常有多次感染。用戶經常會注意到不需要的行為和系統性能的下降。間諜軟體感染可能導致嚴重的不必要的CPU活動，磁碟使用率和網路流量。穩定性問題（如應用程序凍結，啟動失敗以及系統範圍的崩潰）也很常見。間諜軟體干擾網路軟體通常會導致難以連接到互聯網。

在一些感染中，間諜軟體甚至不明顯。用戶認為在這些情況下，性能問題與硬體故障，Windows安裝問題或其他惡意軟體感染有關。一些感染嚴重的系統的所有者訴諸於聯繫技術支持專家，或者甚至購買新的計算機，因為現有系統「變得太慢」。嚴重感染的系統可能需要全部重新安裝其所有軟體才能恢復完整功能。

此外，某些類型的間諜軟體會禁用軟體防火牆和防病毒軟體，並且/或者減少瀏覽器安全設置，這會打開系統以進一步機會性感染。一些間諜軟體會禁用甚至刪除競爭性的間諜軟體程序，理由是更多的間諜軟體相關的煩惱會增加用戶採取措施移除程序的可能性。

鍵盤記錄器有時是未經所有者知曉而下載到計算機上的惡意軟體包的一部分。一些鍵盤記錄軟體可以在互聯網上免費使用，而另一些則是商業或私人應用。大多數鍵盤記錄器不僅允許捕獲鍵盤按鍵，還能夠從計算機收集屏幕捕獲。

典型的Windows用戶具有管理許可權，主要是為了方便。因此，用戶運行的任何程序都可以不受限制地訪問系統。與其他操作系統一樣，Windows用戶可以遵循最小特權原則並使用非管理員帳戶。或者，他們可以減少特定的易受攻擊的面向Internet的進程（例如Internet Explorer）的許可權。

由於Windows Vista默認情況下是一個在有限用戶許可權下運行所有內容的計算機管理員，因此當某個程序需要管理許可權時，用戶帳戶控制彈出窗口將提示用戶允許或拒絕該操作。這改進了以前版本Windows使用的設計。

救濟和預防

隨著間諜軟體威脅惡化，出現了一些抵制它的技術。其中包括旨在刪除或阻止間諜軟體的程序，以及各種可減少在系統上獲取間諜軟體的用戶實踐。

儘管如此，間諜軟體仍然是一個代價高昂的問題。當大量的間諜軟體感染Windows計算機時，唯一的補救措施可能涉及備份用戶數據，並完全重新安裝操作系統。例如，某些間諜軟體無法由Symantec，Microsoft，PC Tools完全刪除。

反間諜軟體如何工作

反間諜軟體程序可以通過兩種方式來對抗間諜軟體：

1. 他們可以以類似於反病毒保護的方式提供實時保護：它們掃描所有傳入的網路數據以查找間諜軟體並阻止其檢測到的任何威脅。

2. 反間諜軟體程序僅可用於檢測和刪除已安裝到計算機中的間諜軟體。這種反間諜軟體通常可以設置為定期掃描。

這些程序會檢查Windows註冊表，操作系統文件和已安裝程序的內容，並刪除與已知間諜軟體列表相匹配的文件和條目。對間諜軟體的實時防護與實時反病毒保護功能相同：軟體在下載時掃描磁碟文件，並阻止已知代表間諜軟體的組件的活動。在某些情況下，它也可能攔截嘗試安裝啟動項目或修改瀏覽器設置。早期版本的反間諜程序主要關注檢測和刪除。Javacool Software的SpywareBlaster是第一個提供實時防護的公司，它阻止了基於ActiveX的間諜軟體的安裝。

像大多數反病毒軟體一樣，許多反間諜軟體/廣告軟體工具都需要經常更新的威脅資料庫。隨著新的間諜軟體程序發布，反間諜軟體開發人員發現並評估這些程序，並將其添加到已知間諜軟體的列表中，從而允許軟體檢測並刪除新的間諜軟體。因此，反間諜軟體在沒有定期更新的情況下功能有限。更新可以自動或手動安裝。

HijackThis是一款受歡迎的通用間諜軟體清除工具，它可以掃描Windows操作系統中間諜軟體經常駐留的某些區域，並提供一個列表，其中包含要手動刪除的項目。由於大多數項目都是合法的Windows文件/註冊表項，因此建議那些對此主題不太了解的人在許多反間諜網站上發布HijackThis日誌，並讓專家決定要刪除的內容。

如果間諜軟體程序未被阻止並設法自行安裝，則可能會阻止終止或卸載它的企圖。有些程序是成對工作的：當反間諜軟體掃描程序（或用戶）終止一個正在運行的進程時，另一個程序重新生成已終止的程序。同樣，一些間諜軟體將檢測到刪除註冊表項的嘗試，並立即再次添加它們。通常，在安全模式下啟動受感染的計算機可以讓反間諜軟體程序更有效地清除持久間諜軟體。殺死進程樹也可能起作用。

本文由深圳大銀猿軟體科技軟體定製原創，歡迎大家關注訂閱、發言交流。