对于Windows操作系统,尤其是Windows 7以上的操作系统,进程资源管理器是很好的替代品吗任务管理器.出版后第一部分:引言我收到了一些问题,请求和评论,我将在这里讨论。
(停止)替换任务管理器
首先,我被要求提到,用进程资源管理器撤销任务管理器的替换与应用该设置一样简单。如果您已将任务管理器替换为进程资源管理器,您将在进程资源管理器主菜单的“选项”下找到“恢复任务管理器”选项。
为了能够使用它,您需要管理员权限。这有效地删除了IFEO关键它负责拦截对taskmgr.exe的调用。
恶意软件运行为svchost.exe
svchost.exe是恶意软件滥用的一个常见名称和进程。这样做的原因之一是,您将在您的进程列表中看到许多它的实例正在运行。
这可不是玩打地鼠游戏的好地方
上面这些都不是恶意软件,但是如果我们想要在这个长长的列表中识别恶意软件进程,进程资源管理器又有什么帮助呢?
首先注意,有两种方式显示列表的过程在Process Explorer(三实际上是完全准确的),你可以通过点击切换过程栏上面的列表字母之间切换,反向字母和一个视图,显示了父母>孩子关系如下所示。合法的svchos .exe进程应该是services.exe的子进程。
此外,如果您将鼠标悬停在svchost.exe进程上,您应该注意到工具提示显示了在该svchost.exe进程下运行的服务。
另一件要看的事情是进程运行的“用户名”。如果您启用了“查看”>“选择列”下的“用户名”列,并且以管理员身份运行进程资源管理器,那么您可以检查svchost.exe进程的“用户名”。他们应该是其中之一:
- NT AUTHORITY) \系统,
- 本地服务
- 网络服务
同样,当以管理员身份运行进程资源管理器并检查进程的“属性”时,查看“Image”选项卡上的“Command line”字段,对于Windows进程,命令行应该以“C: Windows\System32\svchost.exe -k”开始。
在研究svchost.exe进程时,另一个有用的列是“Session”列。每个合法的svchost.exe进程都应该在该列中有一个“0”。同样的情况也适用于spolsv .exe,它是另一个经常被恶意软件模仿的进程名。
颜色编码
进程资源管理器使用颜色编码作为进程的额外信息。颜色及其含义:
- Process Explorer中的紫色表示可能打包了文件。
- 红色表示进程正在退出(正在停止)。
- 绿色表示进程刚刚生成(刚刚加载)。
- 浅蓝色的进程是由启动进程资源管理器的相同帐户运行的进程。
- 深蓝色表示该进程已被选中(通过单击或其他方式)。
- 粉红色表示进程是一个服务(就像我们的朋友svchost.exe)。
- 如果你“暂停”一个进程,它会变成深灰色,直到你“恢复”它。
Procexp64
如果你在64位操作系统上运行,你可能会注意到在包含进程资源管理器的文件夹中有第二个可执行文件,名为“procexp64”。这是一个特别为64位计算机创建的临时文件,当您关闭Process Explorer时,它应该会消失。
处理
句柄在您查找哪个进程正在阻止您删除文件时非常有用。要查看“手柄”,点击“查看”>启用“显示下窗格”并选择“手柄”。
要查找哪个进程正在打开一个文件,你可以点击“查找”>“查找句柄或DLL…”,然后输入你想要检查的文件的名称。单击“搜索”按钮,进程资源管理器将显示使用该文件的进程列表。选择您想要终止的一个,这将在下面的窗格中选择句柄。右键单击下方窗格中的句柄,并选择选项“关闭句柄”。当句柄不再出现在搜索结果中,您应该能够删除该文件。
总结
这篇文章是关于Process Explorer的后续文章,我们将讨论颜色编码、句柄以及查找更多关于服务的信息。
链接
Pieter Arntz
评论