[編輯本段]從啟動任務管理器開始
1 Ctrl+Alt+Del
最常見的方法是同時按下“Ctrl+Alt+Del”組合鍵,不過如果在windows95/98下不小心接連按了兩次鍵,可能會導致Windows系統重新啟動,假如此時還未保存數據的話,恐怕就欲哭無淚了。 XP修改了這個BUG。而是在任務管理器上添加了關機和重新啟動的選項。
2 其他好辦法
其實,我們可以選擇壹種更簡單的方法,就是右鍵單擊任務欄的空白處,然後單擊選擇“任務管理器”命令。或者,按下“Ctrl+Shift+Esc”組合鍵也可以打開任務管理器,趕快試試吧。當然,妳也可以為\Windows\System32\taskmgr.exe文件在桌面上建立壹個快捷方式,然後為此快捷方式設置壹個熱鍵,以後就可以壹鍵打開任務管理器了。
小提示 在Windows XP中,如果未使用歡迎屏幕方式登錄系統,那麽按下“Ctrl+Alt+Del”組合鍵,彈出的只是“Windows安全”窗口,必須選擇“任務管理器”才能夠打開。
[編輯本段]任務管理器有什麽
任務管理器的用戶界面提供了文件、選項、查看、窗口、關機、幫助等六大菜單項,例如“關機”菜單下可以完成待機、休眠、關閉、重新啟動、註銷、切換等操作,其下還有應用程序、進程、性能、聯網、用戶等五個標簽頁,窗口底部則是狀態欄,從這裏可以查看到當前系統的進程數、CPU使用比率、更改的內存<容量等數據,默認設置下系統每隔兩秒鐘對數據進行1次自動更新,當然妳也可以點擊“查看→更新速度”菜單重新設置。
1. 應用程序
這裏顯示了所有當前正在運行的應用程序,不過它只會顯示當前已打開窗口的應用程序,而QQ、MSN Messenger等最小化至系統托盤區的應用程序則並不會顯示出來。
妳可以在這裏點擊“結束任務”按鈕直接關閉某個應用程序,如果需要同時結束多個任務,可以按住Ctrl鍵復選;點擊“新任務”按鈕,可以直接打開相應的程序、文件夾、文檔或Internet資源,如果不知道程序的名稱,可以點擊“瀏覽”按鈕進行搜索,其實這個“新任務”的功能看起來有些類似於開始菜單中的運行命令。
2. 進程
這裏顯示了所有當前正在運行的進程,包括應用程序、後臺服務等,那些隱藏在系統底層深處運行的病毒程序或木馬程序都可以在這裏找到,當然前提是妳要知道它的名稱。找到需要結束的進程名,然後執行右鍵菜單中的“結束進程”命令,就可以強行終止,不過這種方式將丟失未保存的數據,而且如果結束的是系統服務,則系統的某些功能可能無法正常使用。
Windows的任務管理器只能顯示系統中當前進行的進程,而Process Explorer可以樹狀方式顯示出各個進程之間的關系,即某壹進程啟動了哪些其他的進程,還可以顯示某個進程所調用的文件或文件夾,如果某個進程是Windows服務,則可以查看該進程所註冊的所有服務,需要的朋友可以從 .com/soft/17580.html 下載。
3. 性能
從任務管理器中我們可以看到計算機性能的動態概念,例如CPU和各種內存的使用情況。
CPU使用情況:表明處理器工作時間百分比的圖表,該計數器是處理器活動的主要指示器,查看該圖表可以知道當前使用的處理時間是多少。
CPU使用記錄:顯示處理器的使用程序隨時間的變化情況的圖表,圖表中顯示的采樣情況取決於“查看”菜單中所選擇的“更新速度”設置值,“高”表示每秒2次,“正常”表示每兩秒1次,“低”表示每四秒1次,“暫停”表示不自動更新。
PF使用情況:PF是頁面文件page file的簡寫。但這個數字常常會讓人誤解,以為是系統當時所用頁面文件大小。正確含義則是正在使用的內存之和,包括物理內存和虛擬內存。那麽如何得知實際所使用的頁面文件大小昵?壹般用第三方軟件,比如PageFile Monitor,也可以通過windows控制臺來看。本人的頁面文件預設了。
頁面文件使用記錄:顯示頁面文件的量隨時間的變化情況的圖表,圖表中顯示的采樣情況取決於“查看”菜單中所選擇的“更新速度”設置值。
總數:顯示計算機上正在運行的句柄、線程、進程的總數。
執行內存:分配給程序和操作系統的內存,由於虛擬內存的存在,“峰值”可以超過最大物理內存,“總數”值則與“頁面文件使用記錄”圖表中顯示的值相同。
句柄數:這個東東很專業的。會編程的人知道,我不懂,只知道被稱作指針的指針,“線程數”指程序中能獨立運行的部分,“進程數”簡單理解就是運行的程序數目。
物理內存:計算機上安裝的總物理內存,也稱RAM,“可用數”物理內存中可被程序使用的空余量。但實際的空余量要比這個數值略大壹點,因為物理內存不會在完全用完後才去轉用虛擬內存的。也就是說這個空余量是指使用虛擬內存(pagefile)前所剩余的物理內存。 “系統緩存”被分配用於系統緩存用的物理內存量。主要來存放程序和數據等。壹但系統或者程序需要,部分內存會被釋放出來,也就是說這個值是可變的。
認可用量總數:其實就是被操作系統和正運行程序所占用內存總和,包括物理內存和虛擬內存(page file)。它和上面的PF使用率是相等的。“限制”指系統所能提供的最高內存量,包括物理內存(RAM)和虛擬(page file)內存。 “峰值”指壹段時間內系統曾達到的內存使用最高值。如果這個值接近上面的“限制”的話,意味著要麽妳增加物理內存,要麽增加pagefile,否則系統會給妳顏色看的!
內核內存:操作系統內核和設備驅動程序所使用的內存,“分頁數”是可以復制到頁面文件中的內存,壹旦系統需要這部分物理內存的話,它會被映射到硬盤,由此可以釋放物理內存;“未分頁”是保留在物理內存中的內存,這部分不會被映射到硬盤,不會被復制到頁面文件中。
4. 聯網
這裏顯示了本地計算機所連接的網絡通信量的指示,使用多個網絡連接時,我們可以在這裏比較每個連接的通信量,當然只有安裝網卡後才會顯示該選項。
5. 用戶
這裏顯示了當前已登錄和連接到本機的用戶數、標識(標識該計算機上的會話的數字ID)、活動狀態(正在運行、已斷開)、客戶端名,可以點擊“註銷”按鈕重新登錄,或者通過“斷開”按鈕連接與本機的連接,如果是局域網用戶,還可以向其他用戶發送消息呢。
[編輯本段]任務管理器之特別任務
其實,任務管理器除了終止任務、結束進程、查看性能外,它還可以完成很多更高級的特別任務呢。下面,我們通過幾個實例來介紹任務管理器的擴展應用:
實例壹:同時最小化多個窗口
切換到“應用程序”標簽頁,按住Ctrl鍵同時選擇需要同時最小化的應用程序項目,然後點擊這些項目中的任意壹個,從右鍵菜單中選擇“最小化”命令即可,這裏同時還可以完成層疊、橫向平鋪、縱向平鋪等操作。
實例二:降低BT軟件的資源占用率
運行BT軟件時,往往會占用大量的系統資源,妳會看到硬盤燈不停閃爍並伴隨著飛速轉動的噪音,此時無論是瀏覽網頁或是運行其他應用程序,肯定會有系統停滯的感覺。
打開“任務管理器→進程”窗口,選擇BT軟件的進程名,然後從右鍵菜單中選擇“設置優先級”命令,這裏可以選擇實時、高、高於標準、標準、低於標準、低等不同級別,請根據實際情況進行設置,例如設置為“低於標準”可以降低進程的優先級別,從而讓Windows為其他進程分配更多的資源。
實例三:打造增強版本的任務管理器
有熱心網友從Longhorn中將任務管理器剝離出來並提供下載,我們可以借此來打造壹個增強版本的任務管理器。解壓縮下載文件,會得到Taskkill.exe、Tasklist.exe、Taskmgr.exe等3個文件,首先覆蓋\Windows\System32\Dllcahe\下的同名文件,覆蓋前請事先備份源文件,接下來繼續覆蓋\Windows\System32\下的同名文件,當彈出“Windows文件保護”對話框時,選擇“取消”按鈕。
更換後的任務管理器不僅程序圖標發生了變化,右擊進程,可以發現在右鍵菜單中增加了打開所在目錄、創建轉儲文件兩個命令,而“查看→選擇列”中增加了命令行、映像路徑兩個項目,前者可以查看所顯示的進程是否被偽裝,後者則可以查看進程的文件路徑。
實例四:打開處理器的超線程
P4處理器的超線程技術(Hyper-Threading Technology)其實是相當於將壹顆處理器分為兩個虛擬的處理器,簡單地說,實現超線程需要處理器、主板、操作系統三方面的支持。如果妳使用的是Windows XP/Server 2003,而且確定自己的主板和處理器支持超線程,那麽可以切換到“性能”標簽頁,如果這裏顯示兩個CPU使用記錄圖表的話,說明妳的處理器確確實實已經打開超線程。
當然,我們也可以在開機信息中查看超線程支持情況,壹般會顯示CPU1、CPU2兩個處理器名稱,或者啟動後進入“設備管理器”,這樣同樣會顯示兩個處理器的信息。
實例五:禁用任務管理器
任務管理器可以完成如此強大的任務,如果妳使用的是公用計算機,而又不希望他人私自操作任務管理器,可以在“開始→運行”框中鍵入Gpedit.msc命令打開組策略窗口,找到“本地計算機策略→用戶配置→管理模板→系統→Ctrl+Alt+Del選項”項,然後在右側窗口中選擇“刪除任務管理器”項,將其設置為“已啟用”,以後按下“Ctrl+Alt+Del”組合鍵時就無法操作任務管理器了。
當然,通過文中提到的其他兩個方法還是可以正常操作任務管理器的,壹勞永逸的解決辦法是為Taskmgr.exe文件設置用戶授權,當然必須使用NTFS文件系統才行,呵呵。
也可以修改註冊表來禁用:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
新建Dword值:DisableTaskMgr=1(禁用)DisableTaskMgr=0(解禁)
小知識
句柄:用來惟壹標識資源(例如文件中註冊表項)的值,以便程序可以訪問它。
線程:在運行程序指令的進程的對象,線程允許在進程中進行並發操作,並使壹個進程能夠在不同處理器上同時運行其程序的不同部分。
進程:壹個可執行程序(例如資源管理器)或者壹種服務(例如MSTask)
6.當任務管理器的界面出現不正常,如性能.進程的切換欄不見了,無法最大化最小化時等等時,妳可以采取以下措施恢復如無管理器的界面。操作如下:在邊框上空白處雙擊即可!!
Windows系統的任務管理器是大家經常會用到的壹個程序,通常它主要被用來管理計算機進程或者查看計算機實時的工作狀態。實際上它還有不少的妙用。
奇招壹:在網吧也能“運行”
在網吧“混”的朋友們都知道,網吧的機子通常來說都會將運行對話框屏蔽掉,如果大家碰上某些情況需要使用運行對話框就只能束手無策了。其實這個時候任務管理器能被臨時用來代替運行對話框的作用。
先按住“Ctrl+Alt+Del”組合鍵嘗試壹下能否調出任務管理器,能調出就好辦了,我們依次點擊任務管理器的菜單“文件→新建任務”,彈出“創建新任務”(圖1)窗口,輸入內容試試看,它跟運行對話框效果相同啊!
奇招二:快速刷新註冊表
許多軟件在安裝後會提示我們需要重新啟動才能讓軟件正常使用,其實大部分時候這些軟件只是在“小題大做”,因為重啟僅僅是為了讓註冊表更新而已,我們可以利用任務管理器來更快地讓軟件生效。
方法為:在“進程”選項卡中用鼠標選擇“explorer.exe”進程,然後點擊右下角的“結束進程”按鈕將它結束,這個時候桌面顯示消失了。不必驚慌,我們在“創建新任務”窗口中輸入“explorer.exe”。運行即可讓桌面恢復顯示,同時計算機的註冊表也會被更新,現在軟件就能正常使用了。
奇招三:優化遊戲運行
許多朋友都和筆者壹樣還在使用1GB以下的內存,所以當我們玩3D遊戲的時候就會覺得運行有些卡,這個時候除了使關閉遊戲以外的所有程序以外,似乎再沒有其他節省內存的辦法了,其實我們可以在運行遊戲前先在任務管理器中結束“explorer.exe”進程,因為它在很多情況下可都是內存耗用大戶,結束它可為我們的遊戲增加幾十MB的可用內存,遊戲效果當然會有更多改善。
不過此時沒了桌面顯示,啟動遊戲的方法也有所改變,我們需要打開“文件→新建任務”,然後點擊“瀏覽”按鈕進入遊戲目錄載入遊戲主程序,點擊“確定”即可運行遊戲。
在W2K/XP中,同時按下Ctrl+Alt+Del鍵,可以打開Windows任務管理器,單擊“進程”,可以看到很多正在運行的EXE進程:
System Idle Process:這是關鍵進程,只有16kB,循環統計CPU的空閑度,這個值越大越好。該進程不能被結束,該進程似乎沒低於過25%,大多數情況下保持50%以上。
system:system是windows頁面內存管理進程,擁有0級優先。(當system後面出現.exe時是netcontroller木馬病毒生成的文件,出現在c:\\windows目錄下,建議將其刪除。)
explorer:explorer.exe控制著標準的用戶界面、進程、命令和桌面等。explorer.exe總是在後臺運行,根據系統的字體、背景圖片、活動桌面等情況的不同,通常會消耗5.8MB到36MB內存不等。(explorer.exe和Internet Explorer可不同)
IEXPLORE:iexplore.exe是Microsoft對因特網的主要編程器.,這個微軟視窗應用讓妳暢遊網絡有了地方。 iexplore.exe是非常必要的過程,不應終止,除非懷疑造成問題。它的作用是加快我們再壹次打開IE的速度,當關閉所有IE窗口時,它將依然在後臺運行。當我們用它上網沖浪時,占有7.3MB甚至更多的內存,內存隨著打開瀏覽器窗口的增加也增多。
ctfmon:這是安裝了WinXP後,在桌面右下角顯示的語言欄。如果不希望它出現,可通過下面的步驟取消:控制面板-區域和語言選項-語言-詳細信息-文字服務和輸入語言-(首選項)語言欄-語言欄設置-把在桌面上顯示語言欄的勾取消。這樣會為妳節省4MB多的內存。
wowexec:用於支持16位操作系統的關鍵進程,不能終止。
csrss:這是Windows的核心部份之壹,全稱為Client Server Process。這個只有4K的進程經常消耗3MB到6MB左右的內存,不能終止,建議不要修改此進程。
dovldr32:為了節省內存,可以將禁止,它占用大約2.3MB到2.6MB的內存。
winlogon:這個進程處理登錄和註銷任務,事實上,這個進程是必需的,它的大小和妳登錄的時間有關。
services:services.exe是微軟windows操作系統的壹部分。用於管理啟動和停止服務。該進程也會處理在計算機啟動和關機時運行的服務。這個程序對妳系統的正常運行是非常重要的,該進程系統禁止結束。
svchost:Svchost.exe是屬於微軟windows操作系統的系統程序,用於執行dll文件。這個程序對妳系統的正常運行是非常重要的。開機出現“Generic Host Process for Win32 Services遇到問題需要關閉”壹般都是說的這個進程找不到dll文件所致。
msmsgs:這是微軟的Windows Messengr(即時通信軟件)著名的MSN進程,在WinXP的家庭版和專業版裏面綁定的,如果妳還運行著Outlook和MSN Explorer等程序,該進程會在後臺運行支持所有這些微軟號稱的很Cool的,NET功能等新技術。
msn6:這是微軟在WinXP裏面的MSN瀏覽器進程,當msmsgs.exe運行後才有這個進程。
Point32:這是安裝了特殊的鼠標軟件(Intellimouse等等)後啟動的等程序,這不是系統必須的進程,通過用戶許可協議安裝。由於在WinXP裏面內建了很多鼠標新功能,所以,就沒有必要在系統後臺運行,既浪費1.1MB到1.6MB的內存,還要在任務欄占個地方!
spoolsv:用於將windows打印機任務發送給本地打印機,關閉以後壹會又自己開開。
Promon:這是Intel系列網卡配置和安裝的程序,在任務欄顯示圖標控制程序,占據大約656KB到1.1MB的內存。
smss:只有45KB的大小卻占據著300KB到2MB的內存空間,這是壹個Windows的核心進程之壹,是windowsNT內核的會話管理程序。
taskmgr:如果妳看到了這個進程在運行,其實就是看這個進程的“任務管理器”本身。它大約占用了3.2MB的內存,當妳優化系統時,不要忘了把它也算進去。
Tastch:在XP系統中安裝了powerToys後會出現此進程,按Alt+Tab鍵顯示切換圖標,大約占用1.4MB到2MB的內存空間。
lsass:本地安全權限服務。是微軟安全機制的系統進程,主要處理壹些特殊的安全機制和登錄策略。
atievxx:這是隨ati顯卡硬件產品驅動壹起安裝而來。它不是純粹的系統程序,但如果終止它,可能會導致不可知的問題。
alg:這是微軟windows操作系統自帶的程序。它用於處理微軟windows網絡連接***享和網絡連接防火墻,這個程序對妳系統的正常運行是非常重要的。
非windows任務管理器:大多數人會想起Windows任務管理器,但是Windows的這個任務管理器實在是太簡陋了,因此很多人轉而使用第三方軟件。目前,在網上的流行的第三方任務管理器比較多,比如WinProc、Windows Processes、Windows進程管理器等。
讓我們從任務管理器中抓病毒和木馬
任何病毒和木馬存在於系統中,都無法徹底和進程脫離關系,即使采用了隱藏技術,也還是能夠從進程中找到蛛絲馬跡,因此,查看系統中活動的進程成為我們檢測病毒木馬最直接的方法。但是系統中同時運行的進程那麽多,哪些是正常的系統進程,哪些是木馬的進程,而經常被病毒木馬假冒的系統進程在系統中又扮演著什麽角色呢?請看本文。
當我們確認系統中存在病毒,但是通過“任務管理器”查看系統中的進程時又找不出異樣的進程,這說明病毒采用了壹些隱藏措施,總結出來有三法
1.以假亂真
系統中的正常進程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能妳發現過系統中存在這樣的進程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。對比壹下,發現區別了麽?這是病毒經常使用的伎倆,目的就是迷惑用戶的眼睛。通常它們會將系統中正常進程名的o改為0,l改為i,i改為j,然後成為自己的進程名,僅僅壹字之差,意義卻完全不同。又或者多壹個字母或少壹個字母,例如explorer.exe和iexplore.exe本來就容易搞混,再出現個iexplorer.exe就更加混亂了。如果用戶不仔細,壹般就忽略了,病毒的進程就逃過了壹劫。
2.偷梁換柱
如果用戶比較心細,那麽上面這招就沒用了,病毒會被就地正法。於是乎,病毒也學聰明了,懂得了偷梁換柱這壹招。如果壹個進程的名字為svchost.exe,和正常的系統進程名分毫不差。那麽這個進程是不是就安全了呢?非也,其實它只是利用了“任務管理器”無法查看進程對應可執行文件這壹缺陷。我們知道svchost.exe進程對應的可執行文件位於“C:\WINDOWS\system32”目錄下(Windows2000則是C:\WINNT\system32目錄),如果病毒將自身復制到“C:\WINDOWS\”中,並改名為svchost.exe,運行後,我們在“任務管理器”中看到的也是svchost.exe,和正常的系統進程無異。妳能辨別出其中哪壹個是病毒的進程嗎?
3.借屍還魂
除了上文中的兩種方法外,病毒還有壹招終極大法——借屍還魂。所謂的借屍還魂就是病毒采用了進程插入技術,將病毒運行所需的dll文件插入正常的系統進程中,表面上看無任何可疑情況,實質上系統進程已經被病毒控制了,除非我們借助專業的進程檢測工具,否則要想發現隱藏在其中的病毒是很困難的。
上文中提到了很多系統進程,這些系統進程到底有何作用,其運行原理又是什麽?下面我們將對這些系統進程進行逐壹講解,相信在熟知這些系統進程後,就能成功破解病毒的“以假亂真”和“偷梁換柱”了。
常被病毒冒充的進程名有:svch0st.exe、schvost.exe、scvhost.exe。隨著Windows系統服務不斷增多,為了節省系統資源,微軟把很多服務做成***享方式,交由svchost.exe進程來啟動。而系統服務是以動態鏈接庫(DLL)形式實現的,它們把可執行程序指向scvhost,由cvhost調用相應服務的動態鏈接庫來啟動服務。我們可以打開“控制面板”→“管理工具”→服務,雙擊其中“ClipBook”服務,在其屬性面板中可以發現對應的可執行文件路徑為“C:\WINDOWS\system32\clipsrv.exe”。再雙擊“Alerter”服務,可以發現其可執行文件路徑為“C:\WINDOWS\system32\svchost.exe-kLocalService”,而“Server”服務的可執行文件路徑為“C:\WINDOWS\system32\svchost.exe-knetsvcs”。正是通過這種調用,可以省下不少系統資源,因此系統中出現多個svchost.exe,其實只是系統的服務而已。
在Windows2000系統中壹般存在2個svchost.exe進程,壹個是RPCSS(RemoteProcedureCall)服務進程,另外壹個則是由很多服務***享的壹個svchost.exe;而在WindowsXP中,則壹般有4個以上的svchost.exe服務進程。如果svchost.exe進程的數量多於5個,就要小心了,很可能是病毒假冒的,檢測方法也很簡單,使用壹些進程管理工具,例如Windows優化大師的進程管理功能,查看svchost.exe的可執行文件路徑,如果在“C:\WINDOWS\system32”目錄外,那麽就可以判定是病毒了。
常被病毒冒充的進程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我們經常會用到的“資源管理器”。如果在“任務管理器”中將explorer.exe進程結束,那麽包括任務欄、桌面、以及打開的文件都會統統消失,單擊“任務管理器”→“文件”→“新建任務”,輸入“explorer.exe”後,消失的東西又重新回來了。explorer.exe進程的作用就是讓我們管理計算機中的資源。
explorer.exe進程默認是和系統壹起啟動的,其對應可執行文件的路徑為“C:\Windows”目錄,除此之外則為病毒。
iexplore.exe
常被病毒冒充的進程名有:iexplorer.exe、iexploer.exeiexplorer.exe進程和上文中的explorer.exe進程名很相像,因此比較容易搞混,其實iexplore.exe是MicrosoftInternetExplorer所產生的進程,也就是我們平時使用的IE瀏覽器。知道作用後辨認起來應該就比較容易了,iexplore.exe進程名的開頭為“ie”,就是IE瀏覽器的意思。
iexplore.exe進程對應的可執行程序位於C:\ProgramFiles\InternetExplorer目錄中,存在於其他目錄則為病毒,除非妳將該文件夾進行了轉移。此外,有時我們會發現沒有打開IE瀏覽器的情況下,系統中仍然存在iexplore.exe進程,這要分兩種情況:1.病毒假冒iexplore.exe進程名。2.病毒偷偷在後臺通過iexplore.exe幹壞事。因此出現這種情況還是趕快用殺毒軟件進行查殺吧。
rundll32.exe
常被病毒冒充的進程名有:rundl132.exe、rundl32.exe。rundll32.exe在系統中的作用是執行DLL文件中的內部函數,系統中存在多少個Rundll32.exe進程,就表示Rundll32.exe啟動了多少個的DLL文件。其實rundll32.exe我們是會經常用到的,他可以控制系統中的壹些dll文件,舉個例子,在“命令提示符”中輸入“rundll32.exeuser32.dll,LockWorkStation”,回車後,系統就會快速切換到登錄界面了。rundll32.exe的路徑為“C:\Windows\system32”,在別的目錄則可以判定是病毒。
常被病毒冒充的進程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系統服務“PrintSpooler”所對應的可執行程序,其作用是管理所有本地和網絡打印隊列及控制所有打印工作。如果此服務被停用,計算機上的打印將不可用,同時spoolsv.exe進程也會從計算機上消失。如果妳不存在打印機設備,那麽就把這項服務關閉吧,可以節省系統資源。停止並關閉服務後,如果系統中還存在spoolsv.exe進程,這就壹定是病毒偽裝的了。
限於篇幅,關於常見進程的介紹就到這裏,我們平時在檢查進程的時候如果發現有可疑,只要根據兩點來判斷:
1.仔細檢查進程的文件名;
2.檢查其路徑。
通過這兩點,壹般的病毒進程肯定會露出馬腳。
找個管理進程的好幫手
系統內置的“任務管理器”功能太弱,肯定不適合查殺病毒。因此我們可以使用專業的進程管理工具,例如Procexp。Procexp可以區分系統進程和壹般進程,並且以不同的顏色進行區分,讓假冒系統進程的病毒進程無處可藏。
運行Procexp後,進程會被分為兩大塊,“SystemIdleProcess”下屬的進程屬於系統進程,
explorer.exe”下屬的進程屬於壹般進程。我們介紹過的系統進程svchost.exe、winlogon.exe等都隸屬於“SystemIdleProcess”,如果妳在“explorer.exe”中發現了svchost.exe,那麽不用說,肯定是病毒冒充的。