|
学会如何在DOS中分析进程的方法,在无法进人桌面环境时就显得非常有用。査看的方法很简单: 步骤1:在win7旗舰版中“运行”栏中使用“Cmd”命令打开“命令提示符”窗口。 步骤2:输入“Tasklist”命令并按Enter键,在随即得到的如图所示反馈信息中,就可以看到本机的所有进程了。  从上图中可以看出,本机的进程显示结果由五部分组成:图像名(进程名)、PID、会话名、会话#、内存使用。此时,如果要关闭某个进程(如要终止本机的“QQ.exe”进程),就应该首先使用Tasklist命令査找它的PID。通过上图可以看到系统显示本机“QQ.exe”进程的PID值为“948”。此时就可以运行“Taskkill/pid948这样的命令将QQ.exe进程终止了。  对于一些系统进程来说,可以使用添加“/f”参数的方法来强行关闭,如图所示。  除了我们可以看得见的进程外,还有一些隐藏进程和远程进程是需要我们使用不同方法进行管理的——将进程隐藏起来是黑客或病毒程序常用的伎俩,查看隐藏进程有很多方法,我们推荐大家登录“http://bbs./downxx.asp?irl=39”下载“隐藏进程管理工具”,来完成对隐藏进程的管理。 步骤1:下载软件结束并完成解压后,运行其中的 “ECQ-PS.exe”文件,在打开的窗口中可以看到系统中所有的进程列表。  步骤2:在每个进程后面都可以看到线程有多少个,它主要关联的程序名和路径是什么,它是否为可疑程序,如图所示。  步骤3:对于提示为“可疑”的进程.在查看具体的文件路径后,当确认为是恶意程序时,可以选中此进程并单击鼠标右键,在弹出的菜单中选择“强行结束进程”。  在黑客防范中,安全髙手们常常通过“进程”来了解系统是否存在各种安全隐患。在发现了危险的进程后,关闭进程就可以暂时终止相应的程序运行。但是,这样无疑是不能斩草除根的解决方法。那么,进程到底是由哪个程序运行时引发的昵?如果能査出进程发起的程序或文件是什么,不就可以更彻底地解决问题了吗? 显然,这是一个曾让很多人困惑过的问题,以查看“Svchost”这个进程是由哪个程序发起为例,可以通过如下方法来解决: 首先,在“命令提示符”窗口中输入并执行“Netstatabnov”命令。 接着,在按下回车键得到的反W的信息中,就可以看到每个进程发起的程序或文件列表,如图所示。 此时,请注意每个进程的反馈信息右佣,都有一个相应的PID号。当我们在“Windows任务管理器”的“进程”选项卡中,单击勾选“査看”—“选择列”—“PID(进程标识符)”项后,就可以轻松在“进程”列表中找到对应的PID号,此时进程与发起程序的互査就显得方便多了。  在win7中,除了一些系统进程会与服务(关于服务的应用,清见本书相关实例)发生关联,一些木马进程还会与本身的服务产生关联。对于这样的木马,必须从进程、服务和对应的程序三方面同时下手,才能将其清除出系统。 以査看进程SVCHOST.EXE都与哪些服务关联为例,只需使用如下方法即可: 首先,在“运行”栏中使用命令“Cmri”打开“命令提示符”窗口。 接着,在命令行中输人“Tasklist/svc”命令,在回车后即可看到如图所示的列表。  从中可以看到有五个SVCHOST.EXE进程,而总共有近二十项服务在使用这个进程。此时,就可以根搪这个“名单”对恶意进程和其对应的服务开刀了。 |
|
|
