论文部分内容阅读
在不借助第三方软件的情况下,通过系统自带工具也能清清楚楚查看进程。
福建/俞木发
我是国企的一名普通员工,从2003年开始接触电脑。由于当时我身边的朋友精通电脑的不多,操作中碰到问题只能自己想办法,幸好这时《电脑爱好者》走进我的生活,帮我解决了不少难题。记得有一次,一个朋友误把一份重要的文件删除了,急得像热锅上的蚂蚁,我恰好看到杂志上登的《数据恢复大进阶》的文章,借鉴其中的方法,轻松帮他恢复了文件,为此,他还专门上饭馆请了我一顿表示感谢呢。
《电脑爱好者》今年第15期《看透进程真面目》一文中,介绍了一款非常好的进程管理工具——Process Explorer。按照文章中介绍的方法,我成功发现和查杀了不少木马。但并不是每台电脑上都安装有这款软件,能否借助系统自带工具来完成Process Explorer的一些功能呢?下面是我的一些解决方法,与大家共享。
名不副实的Svchost,走开!
Process Explorer可以查看Svchost.exe进程的详细信息,再从进程路径和运行的用户来判断它是否为正常系统进程。系统的Msinfo32命令同样有此功能。
第1步 单击“开始→运行”,执行“msinfo32”命令打开系统信息窗口,依次展开“系统摘要→软件环境→正在运行任务”,在这里获得的信息并不比Process Explorer提供的少:进程名称、路径、优先顺序、开始时间、版本等一应俱全。通过这些信息就可以方便地判断Svchost.exe的真伪了(见图1)。
第2步 通过Msinfo32命令发现伪系统进程后,记住它的进程ID,再按Ctrl+Alt+Del键打开任务管理器将这一进程终止即可。
★默认情况下,任务管理器并不显示进程的ID,可单击菜单“查看→选择列”,勾选PID(进程标识符)项就可以显示了。
★如果无法在任务管理器中终止病毒进程,可以使用Ntsd命令强行终止它。在命令提示符窗口,输入以下命令:
ntsd -c q -p 1106
参数“-p”表示后面跟随的是进程ID,“1106”是在我的机器上发现的某个病毒进程的具体PID值(注意:这个值是不确定的)。执行以上命令,就可以结束它了。
砍断伸向Rundll32.exe的黑手
使用Process Explorer还可以查看Rundll32.exe的命令行,以判断通过它调用的DLL文件是否加载了DLL木马。使用WMIC命令我们同样可以做到这点。
第1步 单击“开始→运行”,输入“wmic”,回车后弹出命令提示符窗口开始安装WMIC,接着出现wmic:root\cli>提示符。
第2步 如果通过任务管理器发现有rundll32.exe进程存在,要查看它加载的DLL文件,只要在“wmic:root\cli>”提示符后输入以下命令:
process where(description="rundll32.exe" )
按回车键后,Rundll32.exe调用的DLL文件就一目了然了(见图2)。这一方法同样可以查看其他进程,只要把上面的rundll32.exe换成要查看的进程名即可。
第3步 如果在命令提示符下直接执行“process”命令,则可以查看当前所有活动进程的命令行参数,一些无法通过Msinfo32显示的进程(如某些svchost.exe)信息,全都原形毕露了。
回音的回音
除了上面所说的,系统中还有其他一些查看和管理进程的工具,比如用“taskkill /f /im进程名称”直接结束进程,用“tasklist /svc”列举进程加载模块等。系统命令使用起来较为复杂,而杂志文章介绍的解决方案则力求简便易行,所以读者朋友看过文章后,应进一步去挖掘、寻找更高(或更适合)的技巧来解决问题,或在文章的基础上延伸出新的应用,提升自己的电脑水平,这也是我们设立“回音壁”的初衷之一。
福建/俞木发
我是国企的一名普通员工,从2003年开始接触电脑。由于当时我身边的朋友精通电脑的不多,操作中碰到问题只能自己想办法,幸好这时《电脑爱好者》走进我的生活,帮我解决了不少难题。记得有一次,一个朋友误把一份重要的文件删除了,急得像热锅上的蚂蚁,我恰好看到杂志上登的《数据恢复大进阶》的文章,借鉴其中的方法,轻松帮他恢复了文件,为此,他还专门上饭馆请了我一顿表示感谢呢。
《电脑爱好者》今年第15期《看透进程真面目》一文中,介绍了一款非常好的进程管理工具——Process Explorer。按照文章中介绍的方法,我成功发现和查杀了不少木马。但并不是每台电脑上都安装有这款软件,能否借助系统自带工具来完成Process Explorer的一些功能呢?下面是我的一些解决方法,与大家共享。
名不副实的Svchost,走开!
Process Explorer可以查看Svchost.exe进程的详细信息,再从进程路径和运行的用户来判断它是否为正常系统进程。系统的Msinfo32命令同样有此功能。
第1步 单击“开始→运行”,执行“msinfo32”命令打开系统信息窗口,依次展开“系统摘要→软件环境→正在运行任务”,在这里获得的信息并不比Process Explorer提供的少:进程名称、路径、优先顺序、开始时间、版本等一应俱全。通过这些信息就可以方便地判断Svchost.exe的真伪了(见图1)。
第2步 通过Msinfo32命令发现伪系统进程后,记住它的进程ID,再按Ctrl+Alt+Del键打开任务管理器将这一进程终止即可。
★默认情况下,任务管理器并不显示进程的ID,可单击菜单“查看→选择列”,勾选PID(进程标识符)项就可以显示了。
★如果无法在任务管理器中终止病毒进程,可以使用Ntsd命令强行终止它。在命令提示符窗口,输入以下命令:
ntsd -c q -p 1106
参数“-p”表示后面跟随的是进程ID,“1106”是在我的机器上发现的某个病毒进程的具体PID值(注意:这个值是不确定的)。执行以上命令,就可以结束它了。
砍断伸向Rundll32.exe的黑手
使用Process Explorer还可以查看Rundll32.exe的命令行,以判断通过它调用的DLL文件是否加载了DLL木马。使用WMIC命令我们同样可以做到这点。
第1步 单击“开始→运行”,输入“wmic”,回车后弹出命令提示符窗口开始安装WMIC,接着出现wmic:root\cli>提示符。
第2步 如果通过任务管理器发现有rundll32.exe进程存在,要查看它加载的DLL文件,只要在“wmic:root\cli>”提示符后输入以下命令:
process where(description="rundll32.exe" )
按回车键后,Rundll32.exe调用的DLL文件就一目了然了(见图2)。这一方法同样可以查看其他进程,只要把上面的rundll32.exe换成要查看的进程名即可。
第3步 如果在命令提示符下直接执行“process”命令,则可以查看当前所有活动进程的命令行参数,一些无法通过Msinfo32显示的进程(如某些svchost.exe)信息,全都原形毕露了。
回音的回音
除了上面所说的,系统中还有其他一些查看和管理进程的工具,比如用“taskkill /f /im进程名称”直接结束进程,用“tasklist /svc”列举进程加载模块等。系统命令使用起来较为复杂,而杂志文章介绍的解决方案则力求简便易行,所以读者朋友看过文章后,应进一步去挖掘、寻找更高(或更适合)的技巧来解决问题,或在文章的基础上延伸出新的应用,提升自己的电脑水平,这也是我们设立“回音壁”的初衷之一。