簡單地說,進(jìn)程是程序在計算機(jī)上的一次執(zhí)行活動����。當(dāng)你運(yùn)行一個程序,你就啟動了一個進(jìn)程�����。進(jìn)程又分為系統(tǒng)進(jìn)程和用戶進(jìn)程�����。系統(tǒng)進(jìn)程主要用于完成操作系統(tǒng)的功能�����,而QQ�、Foxmail等應(yīng)用程序的進(jìn)程就是用戶進(jìn)程�。
進(jìn)程的重要性體現(xiàn)在可以通過觀察它,來判斷系統(tǒng)中到底運(yùn)行了哪些程序�,以及判斷系統(tǒng)中是否入駐了非法程序���。正確地分析進(jìn)程能夠幫助我們在殺毒軟件不起作用時,手動除掉病毒或木馬���。
瞭望進(jìn)程
如何知道系統(tǒng)中目前有哪些進(jìn)程����?在Windows98/Me/2000/XP/2003中��,按下"Ctrl+Alt+Delete"組合鍵就可以直接查看進(jìn)程�,或打開"Windows 任務(wù)管理器"的"進(jìn)程"選項來查看進(jìn)程。通常來說��,系統(tǒng)常見的進(jìn)程有winlogon.exe�,services.exe,explorer.exe��,svchost.exe等�。要熟悉進(jìn)程,首先就要熟悉最常見的系統(tǒng)進(jìn)程�,這樣當(dāng)發(fā)現(xiàn)其它奇怪的進(jìn)程名(如HELLO,GETPASSWORD���,WINDOWSSERVICE等等)時就方便判斷了����。
常規(guī)殺滅進(jìn)程法
1.有的進(jìn)程在進(jìn)程選項中無法刪除,這時可以打開注冊表編輯器(在"開始→運(yùn)行"中鍵入regedit)����,找到"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"下面的鍵,將可疑的選項刪除��。
2.另外����,還可以通過系統(tǒng)的"管理工具"里面的"服務(wù)"查看目前的全部進(jìn)程。這里重點(diǎn)要看服務(wù)中啟動選項為"自動"的那部分進(jìn)程�����,檢查它們的名字��、路徑以及登錄賬戶��、服務(wù)屬性的"恢復(fù)"里面有沒有重啟計算機(jī)的選項(有些機(jī)器不斷屬性的重新啟動的秘密就在這里)�����。一旦發(fā)現(xiàn)可疑的名字需要馬上禁止此進(jìn)程的運(yùn)行�����。
而要徹底刪除這些程序進(jìn)程可以用下面的辦法:
打開注冊表編輯器,展開分支"HKEY_LOCAL_MACHINE\\SYSTEM\\Current\\Control SetServices",在右側(cè)窗格中顯示的就是本機(jī)安裝的服務(wù)項���,如果要刪除某項服務(wù)�����,只要刪除注冊表中相關(guān)鍵值即可����。
3.除了上面兩種方法�,我們還可以先查看這個進(jìn)程文件所在的路徑和名稱。重啟系統(tǒng)�,按F8鍵進(jìn)入安全模式,然后在安全模式下刪除這個程序����。
這里,筆者編寫了容易被大家認(rèn)出來的非法進(jìn)程服務(wù)(系統(tǒng)進(jìn)程)舉例說明:HELLO-WORLD SERVICE 1���。我們可以輕松地在進(jìn)程列表和"服務(wù)"中找到它���。根據(jù)上面的方法��,我們可以把這個進(jìn)程殺掉或禁用�����。
不少病毒和木馬是以用戶進(jìn)程的形式出現(xiàn)的���,所以大部分人認(rèn)為"病毒是不可能獲得‘SYSTEM’權(quán)限的"。其實�����,這是個錯誤的想法����,很多病毒或木馬也能獲得SYSTEM權(quán)限,并偽裝成系統(tǒng)進(jìn)程出現(xiàn)在你面前��。所以這類病毒就相當(dāng)容易迷惑人���,遇到這種情況�,只有不斷提高并關(guān)注系統(tǒng)安全方面的知識����,才能準(zhǔn)確判斷該進(jìn)程是否安全�。
關(guān)鍵詞標(biāo)簽:殺毒技巧
