|
對于進程這個概念,許多電腦用戶都沒有給予太多關注��。在很多人印象里�����,只知道結束進程可以殺死程序���,至于哪些進程對應哪些程序�,究竟什么樣的進程該殺���,什么樣的進程不能殺這些問題很少考慮�。這里通過幾個實例為大家揭開進程的神秘面紗�����。
實例一:和進程的“表演者”交個朋友
很多時候����,我們并沒有注意到系統(tǒng)中到底有多少進程。如果想了解進程的秘密,首先就必須和一些常見系統(tǒng)進程交個朋友����,一旦掌握了它們,就能像偵探一樣迅速從進程名單中發(fā)現(xiàn)可疑的家伙����。
在Windows 2000/XP中,Ctrl+Shift+Esc組合鍵能快速調出任務管理器���,而Windows 9X為Ctrl+Alt+Del組合鍵�。
1.“主角”進程
首先來熟悉一下系統(tǒng)中的基本進程����,它們是系統(tǒng)運行的基本條件,一般情況下不能關閉它們���,否則會導致系統(tǒng)崩潰�。
Windows 2000/XP:smss.exe���、csrss.exe��、winlogon.exe、services.exe、lsass.exe、svchost.exe(可以同時存在多個)�����、spoolsv.exe����、explorer.exe����、System Idle Process;
Windows 9x:msgsrv32.exe、mprexe.exe�、mmtask.tsk、kenrel32.dll���。
你知道嗎
進程與程序
簡單地說��,每啟動一個程序����,就啟動了一個進程��。在Windows 3.x中�����,進程是最小運行單位。在Windows 9X/2000/XP中�����,每個進程還可以啟動幾個線程,比如每下載一個文件可以單獨開一個線程。在Windows 9X/2000/XP中����,線程是最小單位�。程序是永存的��,進程是暫時的。舉一個例子說:如果程序是劇本���,那么表演過程就是進程���;如果程序是菜譜�,那么烹調過程就是進程。
人鬼情未了——Svchost.exe
它位于系統(tǒng)目錄的System32文件夾�,是從動態(tài)鏈接庫(DLL)運行服務的一般性宿主進程�����。在任務管理器中�,可能會看到多個Svchost.exe在運行,不要大驚小怪�����,這可能是多個DLL文件在調用它。不過����,正因為如此,它也成為了病毒利用的對象���,以前的“藍色代碼”病毒就是一例�。另外�,如果感染了沖擊波病毒,系統(tǒng)也會提示“Svchost.exe出現(xiàn)錯誤”����。
如果要查看哪些服務正在使用Svchost.exe,對于Windows 2000可從其安裝光盤的SupportToolsSupport.cab壓縮包中,將Tlist.exe解壓縮至任意目錄����,接著在“命令提示符”中進入Tlist.exe所在目錄,輸入“tlist -s”并回車(“tlist pid”命令可看到詳細信息)��。而在Windows XP則直接輸入“Tasklist /SVC”查看進程信息(“Tasklist /fi "PID eq processID"”則可看到詳細信息)�����。
2.“配角”進程
這些系統(tǒng)進程雖然不是系統(tǒng)運行必須的���,但也經(jīng)常在進程列表中拋頭露面�����。如internat.exe��、systray.exe����、rundll32.exe、loadwc.exe�����、ddhelp.exe��、mstask.exe�、ctfmon.exe���、taskmagr.exe�����、msnmsgr.exe����、wmiexe.exe,它們都是正常的系統(tǒng)進程。
建議在安裝完Windows后��,點擊“開始→程序→附件→系統(tǒng)工具→系統(tǒng)信息”����,在打開的“系統(tǒng)信息”窗口中再點擊“軟件環(huán)境→正在運行任務”(在此進程列表中,可看到更詳細的屬性�����,其中程序路徑是非常重要的信息)����,接著點擊“操作→另存成文本文件”,以后系統(tǒng)出現(xiàn)異常時則對照進行分析�����。另外���,“優(yōu)化大師”也提供了保存進程快照的功能�����。
實例二:查找木馬的蛛絲馬跡
許多木馬和一些防護工具采用了雙進程保護手段����,例如“Falling Star”木馬就采用雙進程模式,下面來看看如何發(fā)現(xiàn)它們���。
第一步:打開任務管理器����。根據(jù)和常見進程比較�,很明顯會發(fā)現(xiàn)兩個“熟悉的陌生人”(和系統(tǒng)基本進程名稱相似,但不相同):“internet.exe”和“systemtray.exe”��。請和上一實例中的”配角“進程比較���。
第二步:打開“系統(tǒng)信息”的“軟件環(huán)境→正在運行任務”�����,查看路徑信息,兩者均指向WindowsSystem32目錄��,而且文件大小、日期均相同��,但從文件日期來看并不屬于微軟的系統(tǒng)文件��。進入資源管理器查看其版本屬性����,雖然公司標明為Microsoft,但與系統(tǒng)文件中的微軟公司名稱書寫并不相同,基本可斷定是非法進程���,并且為雙進程模式�。
第三步:在嘗試結束進程時��,第一次選擇“systemtray.exe”來結束進程樹��,結果進程馬上就再生了��,任務管理器中又顯示出這兩個進程�!于是再次選擇“internet.exe”,然后結束進程樹�����。進程沒有再生�,從而將木馬進程從系統(tǒng)中清除�����。
實例三:真真假假系統(tǒng)進程
許多病毒和木馬為避免從進程名稱中發(fā)現(xiàn)它們的蹤影�����,往往會采用“障眼法”��,使用和系統(tǒng)文件或系統(tǒng)進程名稱類似的進程名稱�。
1.文件名偽裝
(1)修改常見程序或進程個別字符
例如�����,上面介紹的“Falling Star”木馬的進程名稱“internet.exe”就與輸入法進程“internat.exe”十分相似�。“WAY無賴小子”的服務端進程名稱為“msgsvc.exe”�,與系統(tǒng)基本進程“msgsrv32.exe”類似,還有Explorer.exe和Exp1orer.exe的區(qū)別����,不仔細的話你能看出來嗎?(數(shù)字“1”取代了字母“l”)
(2)修改擴展名
著名的冰河木馬的服務端進程為Kernel32.exe,乍一看很熟悉��,好像是哪個系統(tǒng)進程,其實系統(tǒng)根本不存在這樣一個文件�,Windows 9x的基本進程中卻有一個叫做“Kernel32.dll”的。諸如此類的還有“Shell32.exe”的木馬進程是從“Shell32.dll”這個大家都很熟悉的文件“演變”而來的�,實際在系統(tǒng)中都是不存在的�����。
2.路徑偽裝
Windows目錄和System目錄是系統(tǒng)核心文件所在地���,一般是“閑人免進”�����。因此��,出入它們的文件一般都被人們認為是系統(tǒng)文件�,而病毒和木馬就借機將源文件放在這兩個目錄中�。對于這類情況,一般只需要通過系統(tǒng)信息找到其源文件路徑��,打開文件的屬性�����,從日期(這個非常重要,可以看是否與系統(tǒng)文件日期一樣)��、版本�����、公司名稱信息中即可看出破綻�。沒有哪個病毒、木馬文件能設計得與系統(tǒng)文件完全一致�。
實例四:優(yōu)化系統(tǒng)從進程開始
除系統(tǒng)運行必須的基本進程外,每個程序運行后都會在系統(tǒng)中生成進程��,每個進程都會占用一定的CPU資源和內存資源���。過多的進程和一些設計不良的進程就會導致系統(tǒng)變慢�����、性能下降���,這時可對它們進行一下優(yōu)化。
1.精簡進程
系統(tǒng)中的一些進程并不是必須的�,結束它們并不會對系統(tǒng)造成什么損害。
比如:internat.exe(顯示輸入法圖標)�、systray.exe(顯示系統(tǒng)托盤小喇叭圖標)、ctfmon.exe(微軟Office輸入法)、mstask.exe(計劃任務)�、sysexplr.exe(超級解霸伺服器)、winampa.exe(Winamp代理)����、wzqkpick.exe(WinZip助手)等。
有一款叫做“進程殺手”的免費小工具��,具備自動精簡進程功能�,可自動中止系統(tǒng)基本進程以外的所有進程�����。在懷疑電腦運行了某些黑客進程或病毒進程但又不能確定是哪一個時�,該軟件就可以有效清除那些非法進程。不過它只適合Windows 9x/Me���。下載地址http://js-http.:8080/down/prockiller_23.rar�����。
2.殺死不良進程
有時你會發(fā)現(xiàn)系統(tǒng)運行速度特別慢����,這時可打開任務管理器,單擊“進程”標簽��,點擊“CPU”列標簽讓進程按CPU資源占用排序�����,可以很明顯地看到資源占用最高的程序�����。同樣方法����,可以點擊“內存”列標簽,查看那些內存占用大戶��,及時結束進程�。
這里有一種情況比較特殊:在查看CPU占用率時,一個叫做“System Idle Process”的進程會一直顯示在90%左右�。不必擔心,實際上它并沒有占用這么多系統(tǒng)資源���,單擊“性能”標簽可看到其實際的CPU資源占用情況�。
★對于Windows 9x,使用任務管理器是無法像Windows 2000/XP那樣看到所有進程以及CPU�����、內存占用情況,推薦使用Process Explorer(下載地址http://www./ntw2k/f..�。rocexp.shtml)。
★如果某個16位程序影響了系統(tǒng)運行�����,而且死活也關不掉��,可進入任務管理器的進程選項卡�����,找到NTVDM.exe進程�����,將其關掉即可殺掉所有16位應用程序�����,而不用重啟��。
3.優(yōu)化軟件或游戲性能
你還可以通過改變軟件和游戲進程優(yōu)先級來提高其性能�,這樣能使它們運行得更快,當然負作用就是可能影響到其他正在運行的進程����。比如,為避免刻錄緩存溢出問題造成刻錄失敗�,可進入任務管理器的進程選項卡,找到并右擊刻錄軟件的進程項����,選擇“設置優(yōu)先級”,然后在彈出的子菜單中選擇“高”����。如果你不想每次都這樣設置,可使用下面的方法�。
第一步:打開軟件或游戲所在目錄,比如:D:/game,在這里新建一個文本文件�����,在其中輸入以下語句:
echo off
start /priority game.exe
說明:將priority替換為所需的CPU優(yōu)先級���,建議使用high(高)���、abovenormal(高于標準)�,因為它們的效果最好��。將game.exe替換為軟件或游戲的可執(zhí)行文件名稱����,比如:stvoy.exe。
第二步:做完以上修改后將其保存為game.bat,現(xiàn)在就能通過這個文件來啟動游戲或軟件�����,而它將會使游戲或軟件具有更高的CPU優(yōu)先級�����。不過要注意的是���,該文件必須要保存在游戲或軟件所在目錄。
|
