挖出进程背后的秘密
开篇:润墨网以专业的文秘视角,为您筛选了一篇挖出进程背后的秘密范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
本文可以学到
被任务管理器隐藏了的进程项目的应用
进程列表中常用项目说明
多款第三
>> 关注政策退出进程 容器的秘密――进程 饲料背后的秘密 “猎杀”背后的秘密 行动背后的秘密 混血背后的秘密 忠诚背后的秘密 短信背后的秘密 睡眠背后的秘密 璀璨背后的秘密 撒谎背后的秘密 叶子背后的秘密 数据背后的秘密 “巨作”背后的秘密 探索“?”背后的秘密 流行背后的秘密 胡子背后的秘密 糊涂背后的秘密 短发背后的秘密 管理背后的秘密 常见问题解答 当前所在位置:
Vista任务管理器 for XP:下载后可替换原来的资源管理器,这样就可以在资源管理器中直接查看进程路径和命令行了,方便手工查毒。
下载地址:,快车代码:CF0806CMXT01
Process Explorer:这是任务管理器的替代者,它能显示目前已经载入哪些模块,分别是正在被哪些程序使用着,还可显示这些程序所调用的DLL进程,以及所打开的句柄。并可以终止任何进程,甚至包括系统的关键进程。下载后可以设置完全替代管理器,这样按下Ctrl+Alt+Del即可调出Process Explorer。
下载地址:/soft/31805.htm,快车代码:CF0806CMXT02
Windows任务管理器是大家对进程进行管理的主要工具,在它的“进程”选项卡中能查看当前系统进程信息。不过在这里,一般只看到映像名称(即进程名)、用户名、CPU占用、内存使用等几项,而更多如I/O读写、虚拟内存大小等信息却被隐藏了起来。可别小看了这些被隐藏的信息,当系统出现莫名其妙的故障时,没准就能从它们中间找出突破口。
(1)
(2)
实例1:找出疯狂读取硬盘的元凶
不知怎么了,小王近日一开机上网就发现硬盘灯一直闪个不停,想象着硬盘疯狂旋转的样子,真让人心痛啊。显然是本机有什么程序正在进行数据的读取,但是反复杀毒也没发现病毒、木马等恶意程序。到底是怎么回事?于是找我帮忙。
我打开他的电脑并上网,按Ctrl+Alt+Del键启动了任务管理器,切换到“进程”选项卡,点击菜单命令“查看选择列”,打开如图1所示的窗口,同时勾选上“I/O 写入”和“I/O 写入字节”两项。确定后返回任务管理器,发现一个陌生的进程hodel.exe,虽然它占用的CPU和内存并不是特别大,但是I/O的写入量却大得惊人(见图2),看来就是它在捣鬼了,赶紧右击它并选择“结束进程”终止,果然硬盘读写恢复正常了。
经询问得知,原来这是小王在国外网站淘来的P2P程序,他前几天用它来下载一个10GB左右的电影,由于当时网速慢后来就忘记这一软件的存在了。由于这一软件被设置开机运行和连网就开始下载,而这几天网速正常了,所以软件一连网就开始高速下载并写入数据,导致前面故障现象的产生。
实例2:揪出双进程木马同伙
小李最近中招“Falling Star”变种木马,通过任务管理器查出该木马进程为“system.exe”(运行账户为当前用户),终止它后再刷新,它又会复活。进入安全模式把c:\windows\system32\system.exe删除,重启后它又会重新加载,怎么也无法彻底清除它。从此现象来看,小李中的应该是双进程木马。这种木马有监护进程,会定时进行扫描,一旦发现被监护的进程遭到查杀就会复活它。而且现在很多双进程木马互为监视,互相复活。因此查杀的关键是找到这“互相依靠”的两个木马文件。借助任务管理器的PID标识可以找出木马双进程。
同上,调出Windows任务管理器之后,首先在“查看选择列”中勾选“PID(进程标识符)”,这样返回任务管理器窗口后可以看到每个进程的PID标识。我们终止一个进程后,如果它又再生,通过PID标识就可以找到再生它的父进程。启动命令提示符窗口,执行“taskkill /im system.exe /f”命令(使用taskkill命令强行终止“system.exe”进程)。刷新一下电脑后重新输入上述命令,可以看到这次终止的是PID为1440子进程(属于PID836),也就是说PID1440(即system.exe)是PID836创建的(见图3)。返回任务管理器,通过查询进程PID,可以发现PID836是“internet.exe”进程。
(3)
找到了元凶就好办了,现在重启系统进入安全模式,使用搜索功能找到木马文件c:\windows\system32\system.exe和c:\windows\system32\internet.exe,然后将它们删除即可。小李前面无法删除system.exe,主要是由于没有找到internet.exe(且没有删除其自启动键值),导致重新进入系统后internet.exe复活木马。
实例3:破解虚拟内存不足的原因
最近小黄将内存升级到1GB,又买了一台打印机,真是高兴得不行。可是在她使用Word打印文档时,却提示“虚拟内存不足”,无法成功打印。以前512MB内存时都没有事,现在加了内存反而虚拟内存不足了,奇怪!
其实怪事不怪,原来Word在打印之前要生成缓冲文件再传输到打印机上,而小黄打印的Word文档比较大,生成的缓冲文件自然比较大,所以虚拟内存就显示不足了。难道仅为了偶尔几次的打印,就去修改虚拟内存大小,或者把大文档拆成多个小文档分别打印?那也太麻烦了,其实可以暂时关闭其他大量占用虚拟内存的程序,先打印完文档再说。方法很简单:启动任务管理器,同上在“选择列”中勾选“虚拟内存大小”项,这样在任务管理器中就可以看到每个进程实际占用的虚拟内存了;可以看到QQ.exe、Flashget.exe等程序,“内存使用”并不是很离谱,但占用的“虚拟内存”却不小,原来这些程序就是靠这种方法来转移大家视线的;先结束这些占用大量虚拟内存的进程,就可以顺利打印出Word文档了(见图4)。
(4)
当然,除了上面的介绍,任务管理器还有很多用途。比如我升级到双核电脑之后,玩CS 1.6(带作弊器)时游戏特别卡,半天才动一下,后来才知道那款作弊器早已不更新,不支持双核,后来在进程列表右击CS进程选择“关系设置”,然后只勾选一个CPU,故障解决。又如BT下载一般比较占用系统资源,如果在空闲时间电脑主要用来BT,可以在进程列表选中BT进程,右击选择“设置优先级/高”,手动提高BT进程的优先级让BT更稳定地下载文件;反之,如果是正常工作时间,则可以将BT进程的优先级设置为“低”,以避免对其他程序的运行影响。
实例延展
查杀会自动消失的双进程木马
进程PID每次重新加载都不一样,有些监护进程木马在复活另一个木马后会自动退出,这给查杀双进程木马造成一定的难度。遇到此类木马,可以在命令提示符中结束进程后立刻返回任务管理器,单击“查看更新速度暂停”(可能需要测试多次),直至把监护进程定格在任务管理器中,然后依照上面的方法进行操作即可。
同一现象的多种病因
对于虚拟内存不足,任务管理器只能治标不能治本。除了程序占用内存过大的情况外,系统不正确的设置也可能导致虚拟内存不足。主要有以下三种情况:
1.自定义的虚拟内存的容量过小,或者大内存用户关闭了虚拟内存。解决方法是重新设置虚拟内存大小,建议实际内存在1GB以下的可将虚拟内存设置为物理内存的1.5倍,1GB以上大内存用户可以设置为物理内存容量的一半。
2.系统分区空余的容量太小而运行的程序却很大,导致虚拟内存的可用空间不足。解决方法是释放足够空间,或者将虚拟内存移到剩余空间较大的分区。
3.系统分区由于经常安装/卸载软件,导致文件碎片太多。因为虚拟内存需要一片连续的空间,碎片导致无法建立虚拟内存区。解决方法可通过附件“系统工具”中的“磁盘碎片整理程序”整理碎片。