1、windows 任务管理器目录从启动任务管理器开始 windows 任务管理器有什么功能 windows 任务管理器之特别任务 如何用 windows 任务管理器揪出暗藏的木马 任务管理器被禁用时的几种恢复方法Windows Vista 或 Windows7 中的任务管理器Windows 任务管理器提供了有关计算机性能的信息,并显示了计算机上所运行的程序和进程的详细信息,可以显示最常用的度量进程性能的单位;如果连接到网络,那么还可以查看网络状态并迅速了解网络是如何工作的,今天,我们就来全面了解任务管理器的方方面面。 编辑本段从启动任务管理器开始1 Ctrl+Alt+Del 最常见的方法启动任务
2、管理器的方法: 在 Windows 98 或更高版本中,使用 Ctrl+Alt+Delete 组合键就可以直接调出。不过如果接连按了两次的话,可能会导致 Windows 系统重新启动,假如此时还未保存数据的话,恐怕就欲哭无泪了。 在 Windows 2000 中点击 Ctrl+Alt+Delete 组合键后点“任务管理器” 。 在 Windows XP 中点击 Ctrl+Alt+Delete 或是 Ctrl+Shift+Esc 组合键后点“任务管理器” 。也可以用鼠标右键点击任务栏选择“任务管理器 ”。也可以在开始运行里输入 taskmgr.exe 回车 在 Windows Vista 中使用
3、 Ctrl+Shift+Esc 组合键调出, 也可以用鼠标右键点击任务栏选择“任务管理器”。 2 其他好办法 其实,我们可以选择一种更简单的方法,就是右键单击任务栏的空白处,然后单击选择“任务管理器”命令。或者,按下“Ctrl+Shift+Esc”组合键也可以打开任务管理器,赶快试试吧。当然,你也可以为WindowsSystem32taskmgr.exe 文件在桌面上建立一个快捷方式,然后为此快捷方式设置一个热键,以后就可以一键打开任务管理器了。 小提示 在 Windows XP 中,如果未使用欢迎屏幕方式登录系统,那么按下“Ctrl+Alt+Del”组合键,弹出的只是“Windows 安全”
4、 窗口,必须选择“ 任务管理器”才能够打开。 编辑本段windows 任务管理器有什么功能1任务管理器的用户界面提供了文件、选项、查看、窗口、关机、帮助等六大菜单项,例如“关机”菜单下可以完成待机、休眠、关闭、重新启动、注销、切换等操作,其下还有应用程序、进程、性能、联网、用户等五个标签页,窗口底部则是状态栏,从这里可以查看到当前系统的进程数、CPU 使用比率、更改的内存path.txt start path.txt 2.当前进程调用的服务 复制以下内容到记事本,另存为 svc.bat echo off tasklist/svc set /p c=请输入服务名 : sc getdisplayn
5、ame %c% pause %0 3.开始- 运行-输入 services.msc 自己进去好好看看吧! 3. 性能 从任务管理器中我们可以看到计算机性能的动态概念,例如 CPU 和各种内存的使用情况。 CPU 使用情况:表明处理器工作时间百分比的图表,该计数器是处理器活动的主要指示器,查看该图表可以知道当前使用的处理时间是多少。 CPU 使用记录:显示处理器的使用程序随时间的变化情况的图表,图表中显示的采样情况取决于“ 查看”菜单中所选择的“更新速度” 设置值,“ 高”表示每秒 2 次,“正常”表示每两秒 1 次,“ 低”表示每四秒 1 次,“暂停”表示不自动更新。 PF 使用情况:PF 是
6、页面文件 page file 的简写。但这个数字常常会让人误解,以为是系统当时所用页面文件大小。正确含义则是正在使用的内存之和,包括物理内存和虚拟内存。那么如何得知实际所使用的页面文件大小昵?一般用第三方软件,比如 PageFile Monitor,也可以通过 windows 控制台来看。本人的页面文件预设了。 页面文件使用记录:显示页面文件的量随时间的变化情况的图表,图表中显示的采样情况取决于“查看”菜单中所选择的“更新速度” 设置值。 总数:显示计算机上正在运行的句柄、线程、进程的总数。 执行内存:分配给程序和操作系统的内存,由于虚拟内存的存在,“峰值” 可以超过最大物理内存,“总数”值则
7、与“ 页面文件使用记录” 图表中显示的值相同。 句柄数:所谓句柄实际上是一个数据,是一个 Long (整长型)的数据。 句柄是 WONDOWS 用来标识被应用程序所建立或使用的对象的唯一整数,WINDOWS 使用各种各样的句柄标识诸如应用程序实例,窗口,控制,位图,GDI 对象等等。WINDOWS 句柄有点象 C 语言中的文件句柄。 从上面的定义中的我们可以看到,句柄是一个标识符,是拿来标识对象或者项目的,它就象我们的姓名一样,每个人都会有一个,不同的人的姓名不一样,但是,也可能有一个名字和你一样的人。从数据类型上来看它只是一个 16 位的无符号整数。应用程序几乎总是通过调用一个 WINDOW
8、S 函数来获得一个句柄,之后其他的 WINDOWS 函数就可以使用该句柄,以引用相应的对象。 如果想更透彻一点地认识句柄,我可以告诉大家,句柄是一种指向指针的指针。我们知道,所谓指针是一种内存地址。应用程序启动后,组成这个程序的各对象是住留在内存的。如果简单地理解,似乎我们只要获知这个内存的首地址,那么就可以随时用这个地址访问对象。但是,如果您真的这样认为,那么您就大错特错了。我们知道,Windows 是一个以虚拟内存为基础的操作系统。在这种系统环境下,Windows 内存管理器经常在内存中来回移动对象,依此来满足各种应用程序的内存需要。对象被移动意味着它的地址变化了。如果地址总是如此变化,我
9、们该到哪里去找该对象呢? 为了解决这个问题,Windows 操作系统为各应用程序腾出一些内存储地址,用来专门登记各应用对象在内存中的地址变化,而这个地址(存储单元的位置) 本身是不变的。 Windows 内存管理器在移动对象在内存中的位置后,把对象新的地址告知这个句柄地址来保存。这样我们只需记住这个句柄地址就可以间接地知道对象具体在内存中的哪个位置。这个地址是在对象装载(Load)时由系统分配给的,当系统卸载时(Unload)又释放给系统。 句柄地址(稳定)记载着对象在内存中的地址对象在内存中的地址 (不稳定)实际对象 本质:WINDOWS 程序中并不是用物理地址来标识一个内存块,文件,任务或
10、动态装入模块的,相反的,WINDOWS API 给这些项目分配确定的句柄,并将句柄返回给应用程序,然后通过句柄来进行操作。 但是必须注意的是程序每次从新启动,系统不能保证分配给这个程序的句柄还是原来的那个句柄,而且绝大多数情况的确不一样的。假如我们把进入电影院看电影看成是一个应用程序的启动运行,那么系统给应用程序分配的句柄总是不一样,这和每次电影院售给我们的门票总是不同的一个座位是一样的道理。 线程是指程序的一个指令执行序列,WIN32 平台支持多线程程序,允许程序中存在多个线程。 在单 CPU 系统中,系统把 CPU 的时间片按照调度算法分配给各个线程,因此各线程实际上是分时执行的,在多 C
11、PU 的 Windows NT 系统中, 同一个程序的不同线程可以被分配到不同的 CPU 上去执行。由于一个程序的各线程是在相同的地址空间运行的,因此设及到了如何共享内存, 如何通信等问题,这样便需要处理各线程之间的同步问题,这是多线程编程中的一个难点。 线程,也被称为轻量进程(lightweight processes)。计算机科学术语,指运行中的程序的调度单位。 线程是进程中的实体,一个进程可以拥有多个线程,一个线程必须有一个父进程。线程不拥有系统资源,只有运行必须的一些数据结构;它与父进程的其它线程共享该进程所拥有的全部资源。线程可以创建和撤消线程,从而实现程序的并发执行。一般,线程具有
12、就绪、阻塞和运行三种基本状态。 在多中央处理器的系统里,不同线程可以同时在不同的中央处理器上运行,甚至当它们属于同一个进程时也是如此。大多数支持多处理器的操作系统都提供编程接口来让进程可以控制自己的线程与各处理器之间的关联度(affinity)。 进程是程序在一个数据集合上运行的过程(注:一个程序有可能同时属于 多个进程),它是操作系统进行资源分配和调度的一个独立单位,进程可以简单的分为系统进程(包括一般 Windows 程序和服务进程 )和用户进程 物理内存:计算机上安装的总物理内存,也称 RAM,“可用数” 物理内存中可被程序使用的空余量。但实际的空余量要比这个数值略大一点,因为物理内存不
13、会在完全用完后才去转用虚拟内存的。也就是说这个空余量是指使用虚拟内存(pagefile)前所剩余的物理内存。 “系统缓存”被分配用于系统缓存用的物理内存量。主要来存放程序和数据等。一但系统或者程序需要,部分内存会被释放出来,也就是说这个值是可变的。 认可用量总数:其实就是被操作系统和正运行程序所占用内存总和,包括物理内存和虚拟内存(page file)。它和上面的 PF 使用率是相等的。“限制” 指系统所能提供的最高内存量,包括物理内存(RAM)和虚拟(page file)内存。 “峰值”指一段时间内系统曾达到的内存使用最高值。如果这个值接近上面的“限制” 的话,意味着要么你增加物理内存,要么
14、增加 pagefile,否则系统会给你颜色看的! 内核内存:操作系统内核和设备驱动程序所使用的内存,“分页数” 是可以复制到页面文件中的内存,一旦系统需要这部分物理内存的话,它会被映射到硬盘,由此可以释放物理内存;“未分页” 是保留在物理内存中的内存,这部分不会被映射到硬盘,不会被复制到页面文件中。 4. 联网 这里显示了本地计算机所连接的网络通信量的指示,使用多个网络连接时,我们可以在这里比较每个连接的通信量,当然只有安装网卡后才会显示该选项。 5. 用户 这里显示了当前已登录和连接到本机的用户数、标识(标识该计算机上的会话的数字 ID)、活动状态(正在运行、已断开)、客户端名,可以点击“注
15、销” 按钮重新登录,或者通过“ 断开”按钮连接与本机的连接,如果是局域网用户,还可以向其他用户发送消息呢。 在 Windows SP3 中,如果只有 Administrator 一个用户,则不会显示该选项。 编辑本段windows 任务管理器之特别任务其实,任务管理器除了终止任务、结束进程、查看性能外,它还可以完成很多更高级的特别任务呢。下面,我们通过几个实例来介绍任务管理器的扩展应用: 实例一:同时最小化多个窗口 切换到“应用程序”标签页,按住 Ctrl 键同时选择需要同时最小化的应用程序项目,然后点击这些项目中的任意一个,从右键菜单中选择“最小化” 命令即可,这里同时还可以完成层叠、横向平
16、铺、纵向平铺等操作。 实例二:降低 BT 软件的资源占用率 运行 BT 软件时,往往会占用大量的系统资源,你会看到硬盘灯不停闪烁并伴随着飞速转动的噪音,此时无论是浏览网页或是运行其他应用程序,肯定会有系统停滞的感觉。 打开“任务管理器进程”窗口,选择 BT 软件的进程名,然后从右键菜单中选择 “设置优先级”命令,这里可以选择实时、高、高于标准、标准、低于标准、低等不同级别,请根据实际情况进行设置,例如设置为“低于标准” 可以降低进程的优先级别,从而让 Windows 为其他进程分配更多的资源。 实例三:打造增强版本的任务管理器 有热心网友从 Longhorn 中将任务管理器剥离出来并提供下载,
17、我们可以借此来打造一个增强版本的任务管理器。解压缩下载文件,会得到 Taskkill.exe、Tasklist.exe、Taskmgr.exe 等 3 个文件,首先覆盖WindowsSystem32Dllcahe下的同名文件,覆盖前请事先备份源文件,接下来继续覆盖WindowsSystem32下的同名文件,当弹出“Windows 文件保护”对话框时,选择 “取消”按钮。 更换后的任务管理器不仅程序图标发生了变化,右击进程,可以发现在右键菜单中增加了打开所在目录、创建转储文件两个命令,而“查看选择列” 中增加了命令行、映像路径两个项目,前者可以查看所显示的进程是否被伪装,后者则可以查看进程的文件
18、路径。 实例四:打开处理器的超线程 P4 处理器的超线程技术 (Hyper-Threading Technology)其实是相当于将一颗处理器分为两个虚拟的处理器,简单地说,实现超线程需要处理器、主板、操作系统三方面的支持。如果你使用的是 Windows XP/Server 2003,而且确定自己的主板和处理器支持超线程,那么可以切换到“性能” 标签页,如果这里显示两个 CPU 使用记录图表的话,说明你的处理器确确实实已经打开超线程。 当然,我们也可以在开机信息中查看超线程支持情况,一般会显示 CPU1、CPU2 两个处理器名称,或者启动后进入“设备管理器”,这样同样会显示两个处理器的信息。
19、实例五:禁用任务管理器 任务管理器可以完成如此强大的任务,如果你使用的是公用计算机,而又不希望他人私自操作任务管理器,可以在“开始运行”框中键入 Gpedit.msc 命令打开组策略窗口,找到“本地计算机策略用户配置管理模板系统Ctrl+Alt+Del 选项”项,然后在右侧窗口中选择“删除任务管理器” 项,将其设置为“已启用”,以后按下“Ctrl+Alt+Del”组合键时就无法操作任务管理器了。 当然,通过文中提到的其他两个方法还是可以正常操作任务管理器的,一劳永逸的解决办法是为Taskmgr.exe 文件设置用户授权,当然必须使用 NTFS 文件系统才行,呵呵。 也可以修改注册表来禁用:HK
20、EY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciessystem 新建 Dword 值:DisableTaskMgr=1(禁用)DisableTaskMgr=0(解禁) 小知识 句柄:用来惟一标识资源(例如文件中注册表项 )的值,以便程序可以访问它。 线程:在运行程序指令的进程的对象,线程允许在进程中进行并发操作,并使一个进程能够在不同处理器上同时运行其程序的不同部分。 进程:一个可执行程序(例如资源管理器 )或者一种服务(例如 MSTask) 6.当任务管理器的界面出现不正常,如性能.进程的切换栏不见了,无法最大化最小化时
21、等等时,你可以采取以下措施恢复如无管理器的界面。操作如下:在边框上空白处双击即可! Windows 系统的任务管理器是大家经常会用到的一个程序,通常它主要被用来管理计算机进程或者查看计算机实时的工作状态。实际上它还有不少的妙用。 奇招一:在网吧也能“运行” 在网吧“混” 的朋友们都知道,网吧的机子通常来说都会将运行对话框屏蔽掉,如果大家碰上某些情况需要使用运行对话框就只能束手无策了。其实这个时候任务管理器能被临时用来代替运行对话框的作用。 先按住“CtrlAltDel”组合键尝试一下能否调出任务管理器,能调出就好办了,我们依次点击任务管理器的菜单“文件新建任务”,弹出“创建新任务” (图 1)
22、窗口,输入内容试试看,它跟运行对话框效果相同啊! 奇招二:快速刷新注册表 许多软件在安装后会提示我们需要重新启动才能让软件正常使用,其实大部分时候这些软件只是在“小题大做” ,因为重启仅仅是为了让注册表更新而已,我们可以利用任务管理器来更快地让软件生效。 方法为:在“进程”选项卡中用鼠标选择“explorer.exe”进程,然后点击右下角的“ 结束进程”按钮将它结束,这个时候桌面显示消失了。不必惊慌,我们在“创建新任务” 窗口中输入 “explorer.exe”。运行即可让桌面恢复显示,同时计算机的注册表也会被更新,现在软件就能正常使用了。 奇招三:优化游戏运行 许多朋友都和笔者一样还在使用
23、1GB 以下的内存,所以当我们玩 3D 游戏的时候就会觉得运行有些卡,这个时候除了使关闭游戏以外的所有程序以外,似乎再没有其他节省内存的办法了,其实我们可以在运行游戏前先在任务管理器中结束“explorer.exe”进程,因为它在很多情况下可都是内存耗用大户,结束它可为我们的游戏增加几十 MB 的可用内存,游戏效果当然会有更多改善。 不过此时没了桌面显示,启动游戏的方法也有所改变,我们需要打开“文件新建任务” ,然后点击“浏览”按钮进入游戏目录载入游戏主程序,点击“ 确定”即可运行游戏。 在 W2K/XP 中,同时按下 Ctrl+Alt+Del 键,可以打开 Windows 任务管理器,单击“
24、进程” ,可以看到很多正在运行的进程: 【System Idle Process】:这是关键进程,只有 16kB,循环统计 CPU 的空闲度,这个值越大越好。该进程不能被结束,该进程似乎没低于过,大多数情况下保持以上。 【system】:system 是 windows 页面内存管理进程,拥有 0 级优先。(当 system 后面出现.exe 时是netcontroller 木马病毒生成的文件,出现在 c:windows 目录下,建议将其删除。) 【explorer】:explorer.exe 控制着标准的用户界面、进程、命令和桌面等。 explorer.exe 总是在后台运行,根据系统的字体
25、、背景图片、活动桌面等情况的不同,通常会消耗 5.8MB 到 36MB 内存不等。(explorer.exe 和 Internet Explorer 可不同) 【IEXPLORE 】:iexplore.exe 是 Microsoft 对因特网的主要编程器.,这个微软视窗应用让你畅游网络有了地方。 iexplore.exe 是非常必要的过程 ,不应终止,除非怀疑造成问题。它的作用是加快我们再一次打开 IE 的速度,当关闭所有 IE 窗口时,它将依然在后台运行。当我们用它上网冲浪时,占有 7.3MB 甚至更多的内存,内存随着打开浏览器窗口的增加也增多。 【ctfmon 】:这是安装了 WinXP
26、后,在桌面右下角显示的语言栏。如果不希望它出现,可通过下面的步骤取消:控制面板区域和语言选项语言详细信息文字服务和输入语言(首选项)语言栏语言栏设置把在桌面上显示语言栏的勾取消。这样会为你节省 4MB 多的内存。 【wowexec】:用于支持 16 位操作系统的关键进程,不能终止。 【csrss】:这是 Windows 的核心部份之一,全称为 Client Server Process。这个只有 4K 的进程经常消耗 3MB 到 6MB 左右的内存,不能终止 ,建议不要修改此进程。 【dovldr32】 :为了节省内存,可以将禁止,它占用大约 2.3MB 到 2.6MB 的内存。 【winlo
27、gon】:这个进程处理登录和注销任务,事实上,这个进程是必需的,它的大小和你登录的时间有关。 【services】:services.exe 是微软 windows 操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的,该进程系统禁止结束。 【svchost】:Svchost.exe 是属于微软 windows 操作系统的系统程序,用于执行 dll 文件。这个程序对你系统的正常运行是非常重要的。开机出现“Generic Host Process for Win32 Services 遇到问题需要关闭”一般都是说的这个进程
28、找不到 dll 文件所致。 【msmsgs】:这是微软的 Windows Messengr(即时通信软件) 著名的 MSN 进程,在 WinXP 的家庭版和专业版里面绑定的,如果你还运行着 Outlook 和 MSN Explorer 等程序,该进程会在后台运行支持所有这些微软号称的很 Cool 的,NET 功能等新技术。 【msn6】:这是微软在 WinXP 里面的 MSN 浏览器进程,当 msmsgs.exe 运行后才有这个进程。 【Point32 】:这是安装了特殊的鼠标软件(Intellimouse 等等)后启动的等程序,这不是系统必须的进程,通过用户许可协议安装。由于在 WinXP
29、里面内建了很多鼠标新功能,所以,就没有必要在系统后台运行,既浪费 1.1MB 到 1.6MB 的内存,还要在任务栏占个地方! 【spoolsv】:用于将 windows 打印机任务发送给本地打印机,关闭以后一会又自己开开。 【Promon】:这是 Intel 系列网卡配置和安装的程序,在任务栏显示图标控制程序,占据大约 656KB到 1.1MB 的内存。 【smss】:只有 45KB 的大小却占据着 300KB 到 2MB 的内存空间,这是一个 Windows 的核心进程之一,是 windowsNT 内核的会话管理程序。 【taskmgr】 :如果你看到了这个进程在运行,其实就是看这个进程的“
30、任务管理器” 本身。它大约占用了 3.2MB 的内存,当你优化系统时,不要忘了把它也算进去。 【Tastch 】:在 XP 系统中安装了 powerToys 后会出现此进程,按 Alt+Tab 键显示切换图标,大约占用 1.4MB 到 2MB 的内存空间。 【lsass 】:本地安全权限服务。是微软安全机制的系统进程,主要处理一些特殊的安全机制和登录策略。 【atievxx】:这是随 ati 显卡硬件产品驱动一起安装而来。它不是纯粹的系统程序,但如果终止它,可能会导致不可知的问题。 【alg 】:这是微软 windows 操作系统自带的程序。它用于处理微软 windows 网络连接共享和网络连
31、接防火墙,这个程序对你系统的正常运行是非常重要的。 非 windows 任务管理器:大多数人会想起 Windows 任务管理器,但是 Windows 的这个任务管理器实在是太简陋了,因此很多人转而使用第三方软件。目前,在网上的流行的第三方任务管理器比较多,比如 WinProc、Windows Processes、Windows 进程管理器等。 让我们从任务管理器中抓病毒和木马 任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,
32、哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。 当我们确认系统中存在病毒,但是通过“任务管理器” 查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法 1.以假乱真 系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe 等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的
33、 o 改为0,l 改为 i,i 改为 j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如 explorer.exe 和 iexplore.exe 本来就容易搞混,再出现个 iexplorer.exe 就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。 2.偷梁换柱 如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为 svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务管理器” 无法查看进程对应可执行文件这一
34、缺陷。我们知道 svchost.exe 进程对应的可执行文件位于“C:WINDOWSsystem32”目录下(Windows2000 则是C:WINNTsystem32 目录),如果病毒将自身复制到“C:WINDOWS” 中,并改名为 svchost.exe,运行后,我们在“任务管理器”中看到的也是 svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?但在 Vista(或更高版本)中的 windows 任务管理器可以看到进程的路径,病毒的这招就没用了. 3.借尸还魂 除了上文中的两种方法外,病毒还有一招终极大法借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将
35、病毒运行所需的 dll 文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的。上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解病毒的“以假乱真” 和“偷梁换柱”了。 常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着 Windows 系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由 svchost.exe 进程来启动。而系统服务
36、是以动态链接库(DLL)形式实现的,它们把可执行程序指向 scvhost,由 cvhost 调用相应服务的动态链接库来启动服务。我们可以打开“控制面板 ”“管理工具” 服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe-kLocalService”,而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe-knetsvcs”。正是通过这种调用,可
37、以省下不少系统资源,因此系统中出现多个 svchost.exe,其实只是系统的服务而已。 在 Windows2000 系统中一般存在 2 个 svchost.exe 进程,一个是 RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个 svchost.exe;而在 WindowsXP 中,则一般有 4 个以上的svchost.exe 服务进程。如果 svchost.exe 进程的数量多于 5 个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如 Windows 优化大师的进程管理功能,查看 svchost.exe的可执行文件路
38、径,如果在“C:WINDOWSsystem32”目录外,那么就可以判定是病毒了。 常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe 就是我们经常会用到的“资源管理器”。如果在“ 任务管理器” 中将 explorer.exe 进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”“文件”“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe 进程的作用就是让我们管理计算机中的资源。 explorer.exe 进程默认是和系统一起启动的,其对应可执行文件
39、的路径为 windows 所在目录,除此之外则为病毒。 iexplore.exe 常被病毒冒充的进程名有:iexplorer.exe、iexploer.exe、iexplorer.exe 进程和上文中的 explorer.exe进程名很相像,因此比较容易搞混,其实 iexplore.exe 是 Microsoft Internet Explorer 所产生的进程,也就是我们平时使用的 IE 浏览器。知道作用后辨认起来应该就比较容易了,iexplore.exe 进程名的开头为“ie”,就是 IE 浏览器的意思。 iexplore.exe 进程对应的可执行程序位于 %ProgramFiles%In
40、ternetExplorer 目录中(64 位系统则是在%ProgramFiles%InternetExplorer 或是%ProgramFiles (X86)%InternetExplorer 中),存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开 IE 浏览器的情况下,系统中仍然存在 iexplore.exe 进程,这要分两种情况: 1.病毒假冒 iexplore.exe 进程名。2.病毒偷偷在后台通过iexplore.exe 干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。 rundll32.exe 常被病毒冒充的进程名有:rundl132.exe
41、、rundl32.exe。rundll32.exe 在系统中的作用是执行 DLL 文件中的内部函数,系统中存在多少个 Rundll32.exe 进程,就表示 Rundll32.exe 启动了多少个的 DLL 文件。其实 rundll32.exe 我们是会经常用到的,他可以控制系统中的一些 dll 文件,举个例子,在“命令提示符”中输入“rundll32.exeuser32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。 rundll32.exe的路径为“C:Windowssystem32”( 或 X:Windowssystem32,“X“代表 windows
42、所在分区),在别的目录则可以判定是病毒。 常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe 是系统服务“PrintSpooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时 spoolsv.exe 进程也会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在 spoolsv.exe 进程,这就一定是病毒伪装的了。 限于篇幅,关于常见进程的介绍就到这里,我们平时在检查进程的时候如果发现有可疑,只要根据两点来判断:
43、 1.仔细检查进程的文件名; 2.检查其路径。 通过这两点,一般的病毒进程肯定会露出马脚。 找个管理进程的好帮手 系统内置的“任务管理器”功能太弱,肯定不适合查杀病毒。因此我们可以使用专业的进程管理工具,例如 Procexp。Procexp 可以区分系统进程和一般进程,并且以不同的颜色进行区分,让假冒系统进程的病毒进程无处可藏。 运行 Procexp 后,进程会被分为两大块, “SystemIdleProcess”下属的进程属于系统进程, explorer.exe” 下属的进程属于一般进程。我们介绍过的系统进程 svchost.exe、winlogon.exe 等都隶属于“SystemIdle
44、Process”,如果你在“explorer.exe” 中发现了 svchost.exe,那么不用说,肯定是病毒冒充的。 当任务管理器被系统管理员禁用时,如何解禁?其实方法很简单,现提供方法如下: 点击“开始运行”,键入“regedit”回车打开“注册表编辑器” ,依次展开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies,检查其下一个名为“System”的项,在“任务管理器”被停用的情况下,“System”项下应该有一个名为 “DisableTaskMgr”的字串符值,键值为 1,将 1 改成 0;或者干脆删除“Sy
45、stem”项,就能解除“ 任务管理器”的锁定。 其实利用“组策略”或者注册表来限制用户运行“任务管理器” 或者“ 注册表编辑器”都是不太严谨的做法,因为只要下载安装第三方的进程管理工具及注册表编辑器(比如 Icesword)就能实现相同的目的了。 编辑本段如何用 windows 任务管理器揪出暗藏的木马2Windows 任务管理器是大家对进程进行管理的主要工具,在它的“进程” 选项卡中能查看当前系统进程信息。在默认设置下,一般只能看到映像名称、用户名、CPU 占用、内存使用等几项,而更多如 I/O读写、虚拟内存大小等信息却被隐藏了起来。可别小看了这些被隐藏的信息,当系统出现莫名其妙的故障时,没
46、准就能从它们中间找出突破口。 1.查杀会自动消失的双进程木马 前段时间朋友的电脑中了某木马,通过任务管理器查出该木马进程为“system.exe”,终止它后再刷新,它又会复活。进入安全模式把 C:WINDOWSSYSTEM32system.exe 删除,重启后它又会重新加载,怎么也无法彻底清除它。从此现象来看,朋友中的应该是双进程木马。这种木马有监护进程,会定时进行扫描,一旦发现被监护的进程遭到查杀就会复活它。而且现在很多双进程木马互为监视,互相复活。因此查杀的关键是找到这“互相依靠”的两个木马文件。借助任务管理器的 PID 标识可以找到木马进程。 调出 Windows 任务管理器,首先在 “
47、查看选择列”中勾选“PID(进程标识符)”,这样返回任务管理器窗口后可以看到每一个进程的 PID 标识。这样当我们终止一个进程,它再生后通过 PID 标识就可以找到再生它的父进程。启动命令提示符窗口,执行“taskkill /im system.exe /f”命令。刷新一下电脑后重新输入上述命令,可以看到这次终止的 system.exe 进程的 PID 为 1536,它属于 PID 为 676 的某个进程。也就是说 PID 为 1536 的 system.exe 进程是由 PID 为 676 的进程创建的。返回任务管理器,通过查询进程PID 得知它就是“internet.exe” 进程。 找到
48、了元凶就好办了,现在重新启动系统进入安全模式,使用搜索功能找到木马文件C:WINDOWSinternet.exe ,然后将它们删除即可。前面无法删除 system.exe,主要是由于没有找到internet.exe(且没有删除其启动键值),导致重新进入系统后 internet.exe 复活木马。 2.揪出狂写硬盘的 P2P 程序 单位一电脑一开机上网就发现硬盘灯一直闪个不停,硬盘狂旋转。显然是本机有什么程序正在进行数据的读取,但是反复杀毒也没发现病毒、木马等恶意程序。 打开该电脑并上网,按 Ctrl+Alt+Del 键启动了任务管理器,切换到“进程”选项卡,点击菜单命令“ 查看选择列”,同时勾
49、选上“I/O 写入”和“I/O 写入字节”两项。确定后返回任务管理器,发现一个陌生的进程hidel.exe,虽然它占用的 CPU 和内存并不是特别大,但是 I/O 的写入量却大得惊人,看来就是它在捣鬼了,赶紧右击它并选择“结束进程 ”终止,果然硬盘读写恢复正常了。 如果出现异常如没有关机项则双击一下任务管理窗口旁边空白区域就出来了. 如果故障依旧,请修复一下系统 1 、开机按 F8 进入安全模式后在退出,选重启或关机在开机,就可以进入正常模式(修复注册表)。2 、如果故障依旧,请你用系统自带的系统还原,还原到你没有出现这次故障的时候修复(如果正常模式恢复失败,请开机按 F8 进入到安全模式中使用系统还原)。 3 、如果故障依旧,使用系统盘修复,打开命令提示符输入 SFC /SCANNOW 回车(SFC 和/之间有一个空格),插入原装系统盘修复系统,系统会自动对比修复的。 4 、如果故障依旧,在 BIOS 中设置光驱为第一启动设备插入系统安装盘按 R 键选择“修复安装”即可。5 、如果故障依旧,建议重装操作系统。 编辑本段任务管理器被禁用时的几种恢复方法方法一:利用组策略: 开始
