月24日消息,微軟公司在最新發(fā)布的Windows 11測試版更新中,為中國區(qū)設(shè)備帶來了一項特別的新增功能——“微軟電腦管家”。
這一更新在Beta頻道的Windows Insider項目成員中推出,安裝后版本號升至Build 22635.3646。
“微軟電腦管家”是一款專為中國大陸用戶設(shè)計的電腦管理軟件,提供了包括電腦體檢、系統(tǒng)級深層防護(hù)、實時保護(hù)電腦安全等功能。
除了“微軟電腦管家”的新增,此次更新還包括了一系列修復(fù)和改進(jìn)。
例如,解決了影響文件資源管理器速度的問題,改進(jìn)了反惡意軟件掃描接口(AMSI),以及修復(fù)了在使用打印機(jī)、藍(lán)牙低功耗音頻、RDP遠(yuǎn)程桌面等方面的問題。
微軟表示,Beta頻道中的Windows Insiders可以通過啟用包更新來獲得最新的功能,隨著時間的推移,微軟將逐步向所有用戶推出這些新功能。
2002年以后,windows XP系統(tǒng)發(fā)布后廣受青睞,我國的個人電腦也隨之普及,然而,隨著個人電腦的普及電腦病毒問題也愈發(fā)嚴(yán)重,國內(nèi)的電腦管家、安全衛(wèi)士、殺毒軟件等電腦防護(hù)軟件也隨之興起。
在電腦系統(tǒng)不夠完善的時期,這些軟件起到了一些保護(hù)作用,然而,隨著windows新系統(tǒng)的迭代更新,本身的安全性越來越強(qiáng),這些電腦管家、安全衛(wèi)士之類的軟件變得越來越多余,甚至起到了負(fù)優(yōu)化的作用。那么現(xiàn)在還有必要留著這些軟件嗎?答案似乎是否定的。
電腦管家類軟件占用CPU,拖慢電腦的運(yùn)行速度、增加功耗
某60安全衛(wèi)士以及某訊電腦管家一般都會默認(rèn)開機(jī)自動運(yùn)行,在一定程度上會影響到開機(jī)速度,占用電腦運(yùn)行內(nèi)存、占用CPU資源和網(wǎng)絡(luò)資源,拖慢電腦運(yùn)行速度,尤其是當(dāng)一些自動更新或者同步功能開啟之后,更為明顯,對于一些性能相對較弱的電腦來說更是雪上霜。
同時,這些軟件常駐后臺除了會有卡頓的情況外,還會出現(xiàn)高能耗的情況,臺式機(jī)還好,但對于使用電池工作的筆記本電腦來說會對續(xù)航造成壓力。
電腦管家類軟件胡亂安裝應(yīng)用、廣告彈窗、篡改主頁,甚至毀了你的系統(tǒng)
另外,大部分的第三方管家、衛(wèi)士類防護(hù)軟件在安裝后會獲得非常高的權(quán)限,有的不僅隨意更改電腦里面默認(rèn)的設(shè)置,還有可能一不小心就安裝了很多亂七八糟的軟件,嚴(yán)重影響電腦的運(yùn)行速度,還會推送一些亂七八糟的廣告,有的軟件甚至難以卸載,所以,有時候安裝這些殺毒軟件反而會給自己帶來更多的麻煩。
“某345安全衛(wèi)士”在安裝之初就給用戶埋下了不少“坑”,稍不注意就悄無聲息的篡改你的主頁信息等設(shè)置。使用過程中也會誘導(dǎo)誤操作,動不動就會把他們的瀏覽器、壓縮軟件、看圖軟件全家桶給你默認(rèn)安裝上,。
某60安全衛(wèi)士同樣廣告滿天飛,你的開機(jī)速度超過99%的用戶,彈窗“附贈”廣告,而且自動安裝廣告屏保,一段時間不用就是“XX游戲搶先試玩”。
更為嚴(yán)重的,這些軟件經(jīng)常會更改你的系統(tǒng)設(shè)置,或者與其他軟件出現(xiàn)不兼容的情況,讓系統(tǒng)不穩(wěn)定,甚至直接會把系統(tǒng)搞崩潰。
較新的windows操作系統(tǒng)已自帶防護(hù)功能已很完善
Windows 10以及windows 11這些新系統(tǒng)里面的windows defender就相當(dāng)于我們安裝的360安全衛(wèi)士以及騰訊電腦管家,也能起到不錯的防護(hù)效果,對于正常使用win10電腦的人來說,有防護(hù)需求可以直接使用Win10系統(tǒng)里面自帶的殺毒軟件。
而Windows Defender是系統(tǒng)自動的,兼容性更強(qiáng),更加簡單,默默的守護(hù)電腦安全,不存在廣告、彈窗的打擾。如果不需要多余的功能,只求電腦安全,其實Windows Defender就足夠用了。
微軟官方推出電腦管家更靠譜
雖然說電腦管家、安全衛(wèi)士等三方軟件存在這樣那樣的問題,但它們還是培養(yǎng)了部分用戶的使用習(xí)慣,如果真的喜歡這類軟件的便利,那么微軟官方推出的電腦管家可以說是個更好的選擇。
類似軟件上常見的,電腦一鍵體檢,病毒查殺、垃圾清理、優(yōu)化加速等功能一應(yīng)俱全,更重要的是,沒有流氓軟件、沒有廣告彈窗,而且占用資源低和系統(tǒng)的配合更默契。
當(dāng)然,想要保障我們電腦的安全,除了軟件和系統(tǒng)的防護(hù)外,我們在日常使用電腦中還是需要保持良好的安全防護(hù)意識,避免訪問高危網(wǎng)站、安裝未知高風(fēng)險應(yīng)用。
們經(jīng)常會感覺電腦行為有點奇怪, 比如總是打開莫名其妙的網(wǎng)站, 或者偶爾變卡(網(wǎng)絡(luò)/CPU), 似乎自己"中毒"了,
但X60安全衛(wèi)士或者X訊電腦管家掃描之后又說你電腦"非常安全", 那么有可能你已經(jīng)被黑客光顧過了. 這種時候也許要專業(yè)的取證人員出場,
但似乎又有點小提大作. 因此本文介紹一些低成本的自檢方法, 對于個人用戶可以快速判斷自己是否已經(jīng)被入侵過.
1. 異常的日志記錄
通常我們需要檢查一些可疑的事件記錄, 比如:
複製代碼
“Event log service was stopped.”(事件記錄服務(wù)已經(jīng)停止)“Windows File Protection is not active on this system.”(Windows文件保護(hù)未開啟)
“The protected System file [file name] was not restored to its original, valid version because of the Windows File Protection…”(受保護(hù)的系統(tǒng)文件XXX無法還原)
“The MS Telnet Service has started successfully.”(Telnet服務(wù)開啟成功)
除此之外, 還可以看看有沒有大量失敗的登錄日志或者被鎖定的賬戶.
查看事件日志有兩種方式:
1) 通過圖形界面查看, 開始->運(yùn)行 eventvwr.msc
2) 通過命令行查看, 主要是使用eventquery.vbs腳本:
C:> eventquery.vbs | more
或者只看某個條目下的日志:
C:> eventquery.vbs /L security
eventquery.vbs是使用可以查看命令行幫助或者微軟的官方文檔.
2. 異常的進(jìn)程和服務(wù)
即在我們熟知的Windows任務(wù)管理器中查看是否有奇怪的進(jìn)程在運(yùn)行, 重點關(guān)注用戶名是SYSTEM(系統(tǒng))或者Administrator(管理員), 以及在管理員組的用戶.
當(dāng)然, 你最好能熟悉正常的進(jìn)程和服務(wù), 不然也不知道某個進(jìn)程是不是"異常"的. 如果不熟悉也不要緊, 對著任務(wù)管理器不認(rèn)識的進(jìn)程, 挨個google一遍也就能大概了解了.
查找異常進(jìn)程
使用Ctrl+Alt+Del快捷鍵或者開始->運(yùn)行taskmgr.exe打開任務(wù)管理器即可看到運(yùn)行中的進(jìn)程. 當(dāng)然也可以使用命令行查看進(jìn)程:
C:> tasklist
C:> wmic process list full
查找異常服務(wù)
1). 圖形界面: 開始->運(yùn)行 services.msc
2). 命令行:
C:> net start
C:> sc query
查找和每個進(jìn)程關(guān)聯(lián)的服務(wù):
C:> tasklist /svc
3. 異常的文件和注冊表
如果磁盤可用空間突然減小, 我們可以查找文件看是否有異常. 通過開始菜單依次點擊:
開始->查找->文件或目錄
然后設(shè)置查找選項, 比如文件大小大于10000KB, 或者創(chuàng)建/修改時間在一周以內(nèi), 并搜索相關(guān)文件.
對于注冊表, 通常是查找自啟動的注冊點, 并檢查對應(yīng)的應(yīng)用程序, 常見的啟動點為:
複製代碼
HKLM\Software\Microsoft\Windows\CurrentVersion\RunHKLM\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunonceEx
注: HKLM和HKCU分別是HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER的縮寫.
查看注冊表有兩種方式:
1) 圖形界面: 開始->運(yùn)行 regedit.exe
2) 命令行reg query <key>, 例:
複製代碼
C:> reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
當(dāng)然除此之外還有很多注冊點可以進(jìn)行自啟動, 這個在下面說.
4. 異常的計劃任務(wù)
接下來是查看異常的計劃任務(wù), 重點關(guān)注那些以管理員組或者SYSTEM權(quán)限, 或者是以空白用戶名定時啟動的任務(wù).
查看定時任務(wù)
1) 圖形界面, 可以通過開始菜單搜索Task Scheduler打開, 或者:
開始->運(yùn)行 taskschd.msc /s
2) 命令行輸出計劃任務(wù):
C:> schtasks
查看自啟動程序
1) 圖形界面, 開始->運(yùn)行 msconfig.exe
2) 命令行:
C:> wmic startup list full
其他自啟動入口
要注意的是, msconfig這些命令只是列出了部分開機(jī)自動啟動的程序, Windows開機(jī)自啟動的方式很多, 包括劫持系統(tǒng)程序/動態(tài)運(yùn)行庫等方式,
其中涉及到許多注冊表入口, 感興趣的朋友可以查看網(wǎng)上的其他文章.
5. 異常的網(wǎng)絡(luò)流量
常用的網(wǎng)絡(luò)相關(guān)自檢命令:
複製代碼
檢查防火墻配置:C:> netsh firewall show config
查看共享文件, 檢查是否是主動分享的:
C:> net view 7.0.0.1
查看本機(jī)活躍的會話:
C:> net session
查看本機(jī)對其他系統(tǒng)打開的會話:
C:> net use
查看NetBIOS over TCP/IP 的激活狀態(tài):
C:> nbtstat -S
查看當(dāng)前網(wǎng)絡(luò)連接和監(jiān)聽情況:
C:> netstat -na
持續(xù)輸出上述信息, 每3秒刷新一次:
C:> netstat -na 3
查看網(wǎng)絡(luò)連接對應(yīng)的進(jìn)程id(-o)和進(jìn)程名字(-b)
C:> netstat -naob
注: netstat -b 除了顯示進(jìn)程名字, 還顯示了進(jìn)程所加載的DLL信息, 所以持續(xù)輸出的話會消耗比較多的CPU資源.
對于其他選項, 可以通過netstat -h查看幫助.
6. 異常帳號
重點查看新添加進(jìn)管理員組的帳號.
1) 圖形界面方式:
開始->運(yùn)行 lusrmgr.msc -> 點擊用戶組 -> 雙擊管理員
然后查看里面的用戶列表.
2) 命令行方式:
C:> net user
C:> net localgroup administrators
小結(jié)
當(dāng)發(fā)現(xiàn)電腦突然變卡的時, 應(yīng)當(dāng)及時查看任務(wù)管理器看是否有某個異常進(jìn)程占用了大量CPU資源; 當(dāng)系統(tǒng)異常死機(jī)時,
應(yīng)當(dāng)及時檢查對應(yīng)日志, 看是否是某個程序執(zhí)行exp導(dǎo)致的崩潰. 總而言之, 最好經(jīng)常按照上述方式快速對系統(tǒng)做一遍檢查,
以即使找出可能是電腦入侵引起的反常跡象, 以免導(dǎo)致個人信息和財產(chǎn)遭受損害