学一学
1.5 了解系统进程
计算机启动后,在计算机系统中启动任意程序,系统都会在后台加载相应的进程。进程是系统或应用程序的一次动态执行。简单地说,它就是操作系统当前运行的程序的总称。系统进程控制着程序的各个方面,起着非常重要的作用,也正因为如此,它经常被利用为入侵计算机的跳板。例如,许多病毒就是伪装成系统进程运行在计算机中,进而破坏计算机系统的。本节将为读者介绍有关系统进程的知识。
1.5.1 查看系统进程
在计算机正常运行时,系统进程主要包括系统管理计算机本身和完成各种操作所必需的程序与用户开启、执行的软件程序。我们可以通过Windows任务管理器对系统中运行的进程进行查看:使用鼠标右键单击任务栏空白处,在弹出的菜单中单击“启动任务管理器”命令,打开“Windows任务管理器”窗口,然后切换到“进程”选项卡,即可看到当前系统中运行的进程了,在“描述”列可看到对应进程的介绍,如图1.25和图1.26所示。
![](https://bookbk.img.zhangyue01.com/group61/M00/01/D1/CmQUOGBZwJWEV3GnAAAAAG06Ccc578628444.jpg?v=PtwYBBo_&t=CmQUOGBZwJU.)
图1.25
![](https://bookbk.img.zhangyue01.com/group61/M00/01/D1/CmQUOGBZwJWER2SBAAAAABf8_2c456262975.jpg?v=va5EI4fE&t=CmQUOGBZwJU.)
图1.26
1.5.2 查看进程起始程序
在“Windows任务管理器”窗口中关闭危险程序的进程,只是暂时终止该程序的运行,并不能将该危险程序彻底从计算机中清除,这无疑是一个治标不治本的办法。要想除去计算机的安全隐患,还必须查找出危险进程的起始程序。在WindowsXP和Windows7系统中查看进程起始程序的方法有所不同,下面分别为读者进行介绍。
>> >> 在Windows XP中查看
在Windows XP系统中,我们可以通过“netstat -abnov”命令来查看危险进程的起始程序:在“开始”菜单中单击“运行”命令,在弹出的“运行”对话框中输入“cmd”命令。在接着弹出的命令提示符窗口中输入“netstat-abnov”命令,按下“Enter”键,在下方会显示出当前进程的详细信息,用户可根据这些信息查看进程对应的起始位置,如图1.27所示。
![](https://bookbk.img.zhangyue01.com/group61/M00/01/D1/CmQUOGBZwJaENrEeAAAAAHzmsRc330159998.jpg?v=WlzUSPeg&t=CmQUOGBZwJY.)
图1.27
>> >> 在Windows 7中查看
在Windows7系统中,我们可以使用“Windows任务管理器”来查看危险进程的起始程序,具体操作方法如下。
01 同时按下“Ctrl+Shift+Esc”组合键打开“Win dows任务管理器”窗口,切换到“性能”选项卡,然后在打开的界面中单击“资源监视器”按钮,如图1.28所示。
![](https://bookbk.img.zhangyue01.com/group61/M00/01/D1/CmQUOGBZwJaEJF4eAAAAAKF_Qz0673998842.jpg?v=92wM5RrG&t=CmQUOGBZwJY.)
图1.28
02 在打开的“资源监视器”窗口中,在“映像”列表框中勾选需要查看起始程序的进程,在下方展开“关联的模块”栏,然后可在打开的页面中查看该进程的相关信息,在“完整路径”列可以看到该进程的起始位置,如图1.29所示。
![](https://bookbk.img.zhangyue01.com/group61/M00/02/24/CmQUOWBZwJaEN2vjAAAAANti_Oo411889696.jpg?v=eE1SABzL&t=CmQUOWBZwJY.)
图1.29
1.5.3 关闭和新建系统进程
在“Windows任务管理器”窗口中,我们可以对系统进程进行管理,例如删除不安全或没有用的进程、新建系统进程等。
>> >> 关闭进程
在查看系统进程的过程中,如果发现危险进程,应立即将其关闭。关闭进程的方法如下。
01 在“Windows任务管理器”窗口中选中要关闭的进程,然后单击“结束进程”按钮,如图1.30所示。
![](https://bookbk.img.zhangyue01.com/group61/M00/01/D1/CmQUOGBZwJaEKuQGAAAAAJfkECQ274195742.jpg?v=TSSEoTwq&t=CmQUOGBZwJY.)
图1.30
02 在弹出的对话框中单击“结束进程”按钮即可,如图1.31所示。
![](https://bookbk.img.zhangyue01.com/group61/M00/02/24/CmQUOWBZwJaELFL8AAAAAEs-nUY045680457.jpg?v=iH3vBmRa&t=CmQUOWBZwJY.)
图1.31
>> >> 新建进程
就像前文提示的一样,系统正常运行进程一旦受到破坏,很可能导致系统无法正常工作,此时我们应该根据实际情况新建被破坏的或误删的进程。下面以新建“Explorer.exe”进程为例,介绍新建进程的方法,具体操作步骤如下。
01 在“Win d ows任务管理器”窗口中依次单击“文件”→“新建任务(运行...)”菜单命令,如图1.32所示。
![](https://bookbk.img.zhangyue01.com/group61/M00/01/D1/CmQUOGBZwJaENL9DAAAAAEquNkU858791806.jpg?v=wRykHSZV&t=CmQUOGBZwJY.)
图1.32
02 弹出“创建新任务”对话框,在“打开”文本框中输入要新建的进程,本例输入“Exp lorer.exe”,然后单击“确定”按钮即可,如图1.33所示。
![](https://bookbk.img.zhangyue01.com/group61/M00/01/D1/CmQUOGBZwJaEbhSEAAAAAN-pMNc573207124.jpg?v=CeZ9TBJI&t=CmQUOGBZwJY.)
图1.33
1.5.4 查杀病毒进程
在“Windows任务管理器”窗口中,某些病毒进程是无法使用选中后单击“结束进程”按钮来关闭的,此时就需要通过特殊的命令来执行关闭操作。顽固的病毒进程可以使用“taskkill”命令+PID值来关闭,具体操作步骤如下。
01 在“Windows任务管理器”窗口中依次单击“查看”→“选择列”菜单命令,如图1.34所示。
![](https://bookbk.img.zhangyue01.com/group61/M00/02/24/CmQUOWBZwJeEZTzjAAAAANPuDq8252757003.jpg?v=pTzPZu-3&t=CmQUOWBZwJc.)
图1.34
02 在弹出的对话框中勾选“PID(进程标识符)”复选框,如图1.35所示,单击“确定”按钮,然后在返回的对话框中记录下可疑进程的PID值。
![](https://bookbk.img.zhangyue01.com/group61/M00/02/24/CmQUOWBZwJeEK5iNAAAAACa8fEc983003760.jpg?v=yX8H4chk&t=CmQUOWBZwJc.)
图1.35
03 打开命令提示符窗口,在其中输入“taskkill /pid xxx”(xxx表示进程PID值),然后按下“Enter”键,即可将对应的进程关闭,如图1.36所示。
![](https://bookbk.img.zhangyue01.com/group61/M00/02/24/CmQUOWBZwJeEZj5RAAAAAIWXJjg307500426.jpg?v=Zofil7Jb&t=CmQUOWBZwJc.)
图1.36
提示
还可以通过特殊命令来查看和关闭端口:使用“tasklist”命令查看系统进程时,可以看到进程的PID值,记录需要关闭进程的PID值,然后在命令提示符窗口中输入taskkill/pidxxx(xxx表示进程对应的PID值),然后按下“Enter”键即可关闭对应的进程。例如要关闭“QQMusic.exe”进程,而其对应的PID值为2188,则在命令提示符窗口中输入“taskkill/pid2188”,然后按下“Enter”键即可,如图1.37所示。
![](https://bookbk.img.zhangyue01.com/group61/M00/02/24/CmQUOWBZwJeEbnemAAAAAGrpH_k302737436.jpg?v=6_q6n-MP&t=CmQUOWBZwJc.)
图1.37
此外,还可以通过进程的名称来关闭病毒进程:在“Win dows任务管理器”窗口中记录下病毒程序的进程名,打开命令提示符窗口,在其中输入“taskkil l /im xxx”(xxx表示进程名称),然后按下“Enter”键,即可关闭对应的进程,如图1.38所示。
![](https://bookbk.img.zhangyue01.com/group61/M00/01/D1/CmQUOGBZwJeESVfNAAAAAGDQS7o352466944.jpg?v=aMC-z-q1&t=CmQUOGBZwJc.)
图1.38