请来超级巡警为Windows“看家护院”(下)

2.管理自启动程序
超级巡警提供了超强的启动管理功能，切换到“启动管理”标签页，其下有“注册表管理、IE插件管理、SPI链自动检测与修复、启动文件夹管理”等功能。切换到“Winsock SPI”标签页，在其下会列出所有的“SPI链”，在这里可以对SPI链进行管理。首先使用右键菜单中的“检测SPI链的完整性”命令进行检测，如果发现问题，使用“自动修复SPI链”功能尝试修复，如果修复后依然没有解决问题，那么可以使用“恢复系统默认SPI链”功能来强制恢复（见图3）。

3.检测隐藏的服务和隐藏的端口
许多的病毒，特别是木马往往会将自身伪装成系统服务并隐藏起来，而且会隐藏自身创建的端口，以达到躲过查杀的目的。切换到“服务管理”标签页，在列表中右键单击选择“检测隐藏服务”命令可以检测系统中隐藏的服务。切换到“端口关联”标签页，在列表框中右键单击选择“检测隐藏端口”命令，可以检查系统中是否有隐藏的端口（如图4）。如果发现系统中有隐藏的服务和隐藏的端口，那么就应该小心了。

4.通过SSDT查杀木马和流氓软件
程序的最后一个功能是SSDT模块，那么什么是SSDT呢？SSDT是系统服务描述表，在该模块中可以查看和修复系统内核的服务描述表中的相关API，一般来说系统的服务描述表不会被第三方修改，但随着共享软件的增多，许多软件开始挂接修改系统的服务描述表中的函数为自己的函数，用来达到自己的一些特殊目的，这一技术也广泛的被木马、流氓软件利用，主要目的是用来隐藏和保护自身。SSDT的功能就是恢复被木马和流氓软件修改的服务描述表。切换到“SSDT”标签页，在列表框中如果发现红色字样的行，即是被Hook修改了的系统函数。在其中单击右键，选择“恢复选择的Hook”命令，在恢复成功后，该行将以绿色显示（如图5）。另外，还可以选择“恢复所有的Hook”快速恢复全部列表中的函数地址为系统默认函数地址。对一些使用Rootkit技术的灰鸽子、PcShare木马，我们在恢复了SSDT表后，会在进程管理和服务管理中发现一些多出来的项目。然后顺藤摸瓜，就可以手动将木马清除出去。

小编提示：尽管超级巡警功能强大，但并不能代替杀毒软件和防火墙，我们可以利用超级巡警+杀毒软件、防火墙来构成一套纵深防护体系。