引言：本文介绍了如何使用Registry Help Pro，WinServices、WinPatrol、Ghost Security Suite、ID Folder Protector，超级巡警，Comodo Cleaning Essentials等软件，来保卫系统服务。

为系统服务拍张“快照”

Registry Help Pro是一款注册表实用工具，能够对注册表进行修复、编辑、搜索、比较等操作。这里主要介绍如何使用Registry Help Pro提供的快照功能，来发现注册表的变动情况。因为系统服务信息实际上保存在注册表中的，当病毒等恶意软件侵入系统后，往往会对这些注册表信息进行非法修改。利用Registry Help Pro的这一功能，可以很轻松地对系统服务进行监控，及时发现并恢复系统服务配置信息。下载地址：http://www.onlinedown.net/soft/45172.htm。

在Registry Help Pro主界面工具栏中点击“注册表浏览器”按钮，在注册表浏览面板中展开某一分支，点击“创建快照”按钮，对该分支拍摄“快照”。按照同样的方法，可以在不同的时间点，执行同样的操作。以后需要观察目标分支路径中的变动信息时，在工具栏上点击“比较”按钮，在窗口左侧按照时间顺序，列出所有的快照项目（如图1）。选中相应快照项目，会显示出与其相应的注册表路径。例如，选择上述为系统服务拍摄的快照项目，点击“开始比较”按 钮，Registry Help Pro将会将其和注册表当前相同路径中的信息进行比较，并将发生改变的项目逐一显示出来。这样，那些“混迹”在系统服务中的恶意程序就充分暴露了。勾选相应的变动项，点击“恢复”按钮，就能其恢复到和选定快照相同的状态。当然，这里是针对某一路径拍摄快照，您完全可以针对各个根键拍摄和比较快照。

图1 查看服务变化信息

使用WinServices监控系统服务

WinServices是一款增强型的Windows服务管理软件，允许您启动/停止服务，可以查看服务的当前状态，并且能够为当前服务拍摄快照文件，通过对不同快照文件进行比较，可以很轻松的发现服务中的异常情况。下载地址：http://www.onlinedown.net/softdown/42216_2.htm。

在WinServices主窗口（如图2）中显示Windows服务列表，选中对应的服务项目，利用其右键菜单，可以执行查看属性、启动服务、停止服务、暂停服务、重启服务等操作。点击 菜 单“File” →“Save Services”项，即可将当前服务保存为快照文件（后缀为“.rpt”）。当以后需要深入了解服务的变化情况时，点击菜单“File”→“Restore Services”项，选之前导出的快照文件，WinServices即可将当前各项服务的参数与选定的快照文件进行比较，在警告窗口中列出服务的详细变动情况。

这样，对于通过修改系统服务潜入系统中的病毒来说，就很容易暴露其“行踪”了。对于发生变动的服务项目，可以选择该服务项，点击警告窗口左下角的“Restore service”按钮，可以将该服务恢复到原始状态。如果想快速恢复所有的服务项目，点击“Restore all”即 可。 此外WebServices还可以全面监控服务的变动情况，当发现相关服务的状态发生变动时，就会立即弹出警告窗口提示用户注意，WebServices还会将所有服务的变动情况完整的记录到日志文件中。

使用WinPatrol监控系统服务

WinPatrol是一款出色的系统安全管理工具，可以对进程、浏览器、启动项、服务、文件类型等对象进行全面监控，可以有效的保护你的电脑免受恶意程序的破坏。在WinPatrol主窗口的“服务”面板中显示所有的服务项目（如图3），点击“信息”按钮，可以显示选中服务的详细信息。勾选“只列出非微软服务”项，可以隐藏所有经过微软认证的正常服务项目，只显示未经认证的系统服务项，这样就很容易发现可疑的服务项目，选中可疑的服务项目，点击“信息”按钮，在弹出窗口中点击“停止”按钮，即可中止该服务项目。

图2 WinServices主窗口

图3 WinPatrol主窗口

在窗口右上角点击“监控”按钮，在弹出窗口中拖动滑块，可以设置WinPatrol监控服务的间隔时间（默认为7分钟），如果设置为0表示禁用监控功能，点击OK按钮保存配置信息。之后WinPatrol即可对服务的变动情况进行全面监控，当发现有程序试图创建新的服务，或者修改存在的服务项目时，就会弹出警告窗口，在其中显示该程序的名称、路径、描述信息、开发者名称、相关服务的启动方式和状态等信息。对于可疑的服务项目，最好点击“No”按钮阻止可疑程序对服务项目的修改操作。如果是正常服务，点击“Yes”按钮放行。这样就可以让您及时的发现服务的变动情况，从而轻松维护服务的良好的运行状态。下载地址：http://www.winpatrol.com/setupcn.exe。

使用Ghost Security Suite监控系统服务

系统服务项目实际上是保存在注册表中的，在注册表编辑器中打 开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”分支，就可以看到完整的服务配置信息了。因此，对注册表中和服务相关的数据进行保护，就可以有效的保护系统服务的安全，使用Ghost Security Suite这款强悍的注册表监控程序，注册表的任何变动都逃不出它的“眼睛”。 下 载 地 址 ：http://www.onlinedown.net/soft/49797.htm。

Ghost Security Suite占用系统资源非常少，而且采用双进程守护模式，可有效抗击对其的非法关闭。Ghost Security Suite使用了先进的注册表内核保护技术，能抢在其它程序读写注册表之前激活保护操作，Ghost Security Suite通过规则来实现对注册表的监控，在Ghost Security Suite中不同的规则规属于相应的组。在其主窗口顶部点击“注册表保护”按钮，打开规则配置窗口（如图4）。在其左侧列表中显示所有规则组，Ghost Security Suite内置了“全局注册规则”和“程序规则”两种类型的规则组。在“全局注册规则”中预设了6个组，包含了涉及启动项、驱动程序、系统服务、文件关联、网络保护、特殊注册表项、浏览器保护等方面的大量规则，可以完成大多数情况下的注册表监视任务。其中对服务项目的保护是Ghost Security Suite的重要功能之一，Ghost Security Suite已经内置了完整的服务项目保护规则，您无需进行任何设置，即可全面防御可疑程序对服务项目的破坏操作。

图4 编辑保护规则

当可疑程序试图修改系统服务项目时，Ghost Security Suite就抢先探测并阻止其修改动作。在弹出询问对话框（如图5）中的“1.这个程序”面板中显示程序名称，在“希望执行这个操作”面板中显示修改动作，在“键”栏中显示该程序要修改的注册表主键名，在“值”栏中显示建立的键值名称，在“值数据”栏中显示该程序所在的路径信息。根据Ghost Security Suite提供的详细的报告信息，用户可以很轻松的分辨出该程序的“身份”。如果是正常的程序，点击“允许”按钮，允许其对注册表进行更改。对于非法的程序，点击“拦截”按钮，即可使其无法对注册表进行非法修改。如果勾选“总是执行操作”项，表示遇到相同的修改动作时，Ghost Security Suite可以自动按照当前选择的动作决定是否允许其修改注册表。

在本例中可以看到，木马Ruser试图创建服务，遭到了Ghost Security Suite拦截。所以必须点击“拦截”按钮，将该木马驱逐出去。如果在询问窗体左上角的模式列表中选择“高级报警”项，可以弹出高级询问窗体，在其中可以显示更加细致的内容，除了上述描述信息外，还包括可疑程序程序的原始运行路径、触发的规则所监控的注册表路径、规则所属组名等内容。如果确认是可疑程序，还可以点击“终止进程”或者“终止线程”按钮杀死其进程或线程。这样根据Ghost Security Suite提供的非法程序的路径信息，用户可以轻易的将可疑程序彻底删除，让病毒无法在系统中继续藏身。实际上，从Ruser木马服务器端可以运行，就遭到Ghost Security Suite的层层拦截，我们上面谈到的是只是针对木马试图创建服务时的拦截界面。由此可见，Ghost Security Suite的保护功能是非常强大的。

使用ID Folder Protector监控系统服务

现在很多狡猾的病毒为了达到入侵系统的目的，往往采用替换服务的方式，来冒充正常的系统服务潜入系统进行破坏。使用ID Folder Protector这款小巧的系统监视工具，可以对文件夹、文件、注册表、服务等对象进行深入的监控操作，让您轻松掌握系统的变动情况。下载 地 址 ：http://www.idsecuritysuite.com/files/iddirectoryshieldsetup.exe。

图5 拦截修改服务的操作

这里主要介绍如何使用ID Folder Protector监视系统服务项目，在ID Folder Protector窗口的左 侧 点 击“Add service watch”按钮，在弹出窗口（如图6）中显示所有的系统服务项目，勾选需要监视的系统服务（最好全部选中），在“Watch Type”栏中选择“Started”项或者“Stopped”项，表示当预设的服务启动或者停止时，触发ID Folder Protector的监视记录功能。不管是任何狡猾的病毒，在替换正常服务时必须执行服务的停止和启动操作，这样就完全处于ID Folder Protector的监视之中了。当设置好监视服务后，在IFP窗口右侧显示所有监视信息，其中就包括您设置的服务监控项目。当以后查看监视信息时，在监控列表中双击服务监视项目，在弹出窗口中可以显示该监视对象的详细日志信息，包括目标文件路径、动作类型、文件大小、修改时间、建立时间、相关的账户信息等。

揪出服务中的“冒牌货”

对于狡猾的病毒来说，为了逃避查杀，会将某个不常用的正常服务主程序破坏掉，之后摇身变成与之相同的服务，达到冒名顶替混淆视听的目的。使用超级巡警工具箱，可以让这些冒牌货现出原形。下载地址：http://a1.sucop.com/SucopTools.zip。

在该工具工具栏中点击“服务管理”按钮，会列出所有的系统服务，对于正常的系统服务，会以绿色加以标识。对于非系统自带的服务项目，会以棕色加以标示。如果发现有黄色外观的服务项目，就说明该服务已经被可疑程序替换了（如图7）。这里以清除冒牌“ClipBook”服务为例进行说明，点击该服务，在弹出面板中显示其名称，状态，类型，描述信息，开发者，MD5值等详细信息。点击“文件路径”链接，可以直接定位到其主文件上。先点击“停止服务”按钮，结束其运行。之后使用Unlocker等专用删除工具，将病毒文件清除。之后将该服务正常的主程序“clipsrv.exe”复 制 到“C:WINDOWSsystem32”中。然后在该服务的右键菜单上点击“编辑服务”项，在其属性窗口的“执行文件路径中”栏中 输 入“C:WINDOWSsystem32clipsrv.exe”，在“启动类型”列表中选择“Disabled”项，禁止其运行，点击确定按钮，就看以恢复该服务的原来面貌了。对于其它被替换的服务，按照同样的方式进行修复即可。

快速识别危险的服务

在“开始”-“运行”栏中 执 行“services.msc”程序，进入服务管理界面。面对一大串服务，想从中找到可疑服务项目，并不是一件轻松的事情。除了系统自带的服务外，很多正常的程序也会创建各自的服务项目。如果贸然将“脸生”的服务清除，可能会造成不必要的麻烦。在Comodo Cleaning Essentials（简称CCE）这款功能强悍的安全软件中，提供了名为Autorun Analyzer的小工具，可以帮助您迅速识别出混迹于众多服务中的“不速之客”。下载地址：http://wt.onlinedown.net/dow n/cce_2.5.242177.201_x32.zip。

图6 监控服务变动情况

图7 超级巡警工具箱主界面

图8 识别危险的服务

打开下载的ZIP包，运行其中的“Autoruns.exe”程 序，在 启 动 项分析窗口点击菜单View”→“Language”→“中文”项，之后重新启动该程序，即可得到中文界面。该程序可以对系统启动项进行全面分析，在窗口左侧的“分类”列表中分门别类列出所有的启动项目，包括资源管理器，IE，驱动，映像劫持，Winlogon，网络等十几种类别。可以说，隐藏再深的启动项也会在此显露出来。这里主要分析系统服务，在窗口左侧选择“服务”项，在右侧窗口中列出所有自动运行的服务项目（如图8）。