解析Windows XP操作系统进程

dn001 2009-06-07 03:05:44

如果要手动查杀，则需要用户具有相当的知识水平与一定的经验积累。在此给大家推荐一款比较优秀的软件——进程间谍。利用它，可以查看窗口和子窗口句柄、ID、标题，以及父进程ID线程个数路径等，还可获知指定父进程的下属模块……我们要着重利用该程序的可查看DLL模块的功能，试图找出可疑的插入进程。

软件名称：进程间谍

软件版本：V1.0.2.1

软件语言：简体中文

软件类型：共享软件

应用平台：Win9X/Me/2000/XP/2003

下载地址

运行《进程间谍》程序后，查看“进程树”标签页，点击“刷新进程”按钮，而后选择左侧列表的进程，当选定一个进程后，程序开始处理相关信息。我们切换到当前右侧视图中的“模块”标签页（图7），在此显示了很多该进程中插入的DLL线程，包括“模块名”（需要着重查看）、“基地地址”、“大小”及“进入口”。大家从中即可仔细排查可疑线程，例如广外女生的DLL插入线程是“%system32gwboydll.dll”。

图 7

进程级别有高低

我们在使用MyIE 2浏览网页时，又同时运行了下载工具等。这种情况下，我们就可以通过相应的设置，使系统优先处理MyIE 2，为它分配更多的CPU资源。

按“Ctrl+Alt+Del”组合键，调出“Windows任务管理器”，查看“进程”标签页，选定其中希望优先处理的程序后，在其右键弹出菜单中选择“设置优先级→‘高’或‘高于标准’”（图8）。而其它在后台处理的程序，则可将进程设置为“低”或“低于标准”。

图 8

小提示：如果调节进程优先级别后，感觉CPU占用率过高，要实时还原为原来的级别，以免系统因资源耗尽而当机。进程树的妙用

我们在“Windows任务管理器”中，可以看到在指定进程的右键弹出菜单中有一项“结束进程树”的选项（图9）。那么这个“进程树”是什么呢?

图 9

一个应用程序运行后，还可能调用其它的进程来执行操作，这一组进程就形成了一个进程树（进程树可能是多级的，并非只有一个层次的子进程）。该应用程序称之为父进程，其所调用的对象称之为子进程。当我们结束一个进程树后，即表示同时结束了其所属的所有子进程，此种方法常用于对可复制自身的木马进程的封杀。即当发现木马进程后，选择“结束进程树”。但是，Windows系统自身的任务管理器并不具备显示子进程的功能。我们可利用“Process Viewer”这款软件，实现详细查看进程树的目的。

软件名称：Process Viewer

软件版本：v3.7.3.1

软件语言：英文

软件类型：免费软件

应用平台：Win9X/NT/2000/XP/2003

软件大小：92KB

下载地址

运行“Process Viewer”程序后，在其主界面中将实时显示当前运行的进程。大家点击菜单栏上的“View→Process Tree”，在弹出对话框中即可以进程树的模式查看相关进程（图10）。

图 10

下面，笔者要提及一下其它实用功能。当你选择主界面中的指定进程后，点击菜单栏上的“Process→Startup Info”，在弹出对话框中大家将获知其启动信息，在“Start directory”选项中显示的是启动路径；在“Command Line”选项中显示的是命令行；在“Environment”中显示的是环境。

另外，如果你希望了解某个进程对应的是哪个应用程序或反之。则需要选择指定进程后，点击菜单栏上的“View→Applications”，在弹出对话框中就可查看。

封杀进程的另类方法

在上文中，我们已经提及了如何在“Windows任务管理器”中结束进程。但那只是常规方式，现在，我们就来玩玩别出心裁的非常规进程封杀方式。

1.封杀对方机器进程

我们可以利用两种方法实现这一目的。第一种就是使用远程控制程序，目前大部分木马都具有查看被控端主机进程的功能，而且还可以远程结束指定进程。这部分内容相信对系统安全感兴趣的朋友都非常熟悉了，因此，就不详细介绍了。第二种方法，就是使用专门结束进程的工具——自定义杀进程。运行程序后，在其中文本框中（图11）输入欲结束的进程名称（注意：是“进程”列表中的名称，而非应用程序名称），而后会“生成”一个文件。通过某种途径使它在目标机器上激活，就可封杀对方机器的指定进程了。

图 11

小提示：如果你需要经常在远程机器上管理进程，那么还是选择一款专业工具为佳。Remote Task Manager就是一款能够让你在远程管理系统进程的软件（适用于WinNT的机器），就如同在本地机器使用“Windows 任务管理器”一样。

2.定时封杀本机进程

软件名称：进程终结者

软件版本：V1.0

软件语言：简体中文

应用平台：Win9X/NT/Me/2000/XP

软件大小：44KB

下载地址

运行程序后，首先选择列表中的指定进程，如“wnb.exe”（万能五笔），然后在其右侧视图中指定经过多长时间后结束该进程，再点击“定时终结”按钮（图12），该程序到时就可立即退出。

图 12

3.封杀不可见窗口的进程

对于某些在后台运行的木马服务器，我们从屏幕上当然是看不见的，但如果能够获取隐藏的不可见窗口，就有可能查看到木马的踪影。

软件名称：系统查看大师

软件版本：V1.0.0

软件语言：简繁中文

软件类型：共享软件

运行环境：Win9X/NT/2000/XP

软件大小：559 KB

下载地址

我们直接运行下载后的《系统查看大师》主程序即可，在其左侧视图中点击“取不可见窗口”按钮。此后，在其右侧的进程列表中就将显示出所有当前运行的未在屏幕上直观显示出的窗口标题（图13）。选定其中的可疑窗口后，点击右下端的“结束此窗口”按钮即可。

图 13

Win9X/Me系统也能拥有WinXP的任务管理器

Windows XP系统的用户，可以使用“任务管理器”，轻松查看系统进程，但是，Windows 98/Me的用户，却只能查看当前运行的应用程序。为了使这部分用户也能够管理系统进程。笔者为大家介绍一款与XP系统的“任务管理器”最为相似的第三方软件。

软件名称：Windows任务管理器

软件版本：V2.22

软件大小：769 KB

软件语言：简体中文

应用平台：Win95/98/Me
下载地址

运行“Windows任务管理器”后，大家看看其界面，是不是和Windows XP的同类工具像同胞兄弟?我们切换到“进程”标签页，在其中显示出了当前处于活动状态的进程。选择其中指定的进程后，点击下方的“进程细节”按钮，在弹出对话框中（图14）可选择查看“文件细节”、“线程细节”及“模块细节”等。其中在“模块细节”标签页中，可以获知该进程所调用的若干DLL文件。另外，为了便于随时应用“Windows任务管理器”，建议将它设置为随系统自动运行。