1.2 熟悉系统中的进程

操作系统运行时，进程是无处不在的，只要有程序运行就有进程。病毒、木马等恶意程序也会以“进程”的形式来激活，因此经常被黑客利用。例如许多电脑病毒就是通过伪装成系统进程运行在电脑中，进而破坏电脑系统的。

例 1 查看系统中运行的进程

在电脑正常运行时，系统中的进程主要包括系统守护进程和用户启动的程序进程（用户进程）。我们可以通过Windows任务管理器来查看系统中正在运行的进程，具体操作如下。

01 使用鼠标右键单击任务栏空白处，在弹出的菜单中单击“启动任务管理器”命令。

02 打开“Windows任务管理器”窗口后，切换到“进程”选项卡，即可看到当前系统中运行的进程，在“描述”栏可看到对应进程的介绍。

03 勾选“显示所有用户的进程”复选框，可以查看系统中所有正在运行的进程，包括系统守护进程。

此外，可以通过“tasklist”命令查看系统进程。根据本书前面介绍的方法打开“命令提示符”窗口，在其中输入“tasklist”命令，然后按下“Enter”键即可。

例 2 查看并关闭可疑的隐藏进程

一般情况下，通过Windows任务管理器就可以查看系统守护进程和用户进程。但现在很多病毒和木马会通过一些特殊手段来进行伪装和隐藏。此时就需要借助其他一些工具来进行查看，这里主要介绍通过使用“ECQ-PS”进程管理工具对隐藏进程进行查看和关闭，具体操作如下。

01 在网上下载“ECQ-PS”软件，然后启动其主程序，在打开的程序窗口中可以看到系统中所有的进程。双击某进程，可在右侧的窗格中看到该进程的详细信息。

02 在“ECQ-PS”软件窗口中，“类型”栏将显示进程的类型，对于一些不明的进程将显示为“可疑”类型，当确定其为危险程序时，可对其单击鼠标右键，然后在弹出的菜单中单击“强行结束进程”命令，关闭该进程。

例 3 如何判断进程是否正常

对于一个普通电脑用户来说，想要完全了解系统进程是有难度的。但是，不了解系统进程又无法辨别病毒和木马进程，这让很多用户感到非常头疼。下面就来解决这个问题。

一般来说，刚装完操作系统时的进程是最干净的，很多用户也会通过重装系统来解决很多系统问题。我们可以在刚装完系统时将进程信息记录下来，待怀疑有恶意进程时再拿出记录来对比，就能大致筛选出可疑进程，具体方法如下。

01 系统安装完成后或者在电脑正常运行时，单击系统桌面左下角的“开始”按钮，然后在弹出的“开始”菜单中依次单击“所有程序”→“附件”→“系统工具”→“系统信息”菜单命令。

02 在打开的“系统信息”窗口中依次展开“软件环境”→“正在运行任务”目录，在右侧可以看到当前的进程信息，然后在菜单栏中依次单击“文件”→“导出”菜单命令。

03 在打开的“另存为”对话框中将进程信息另存为文本文件，然后单击“保存”按钮保存进程信息，待发现系统进程有异常时，打开该文本文件对比，然后关闭异常进程即可。

例 4 关闭正在运行的进程

在查看系统进程的过程中，如果发现危险进程，应立即将其关闭。关闭进程的方法如下。

01 使用鼠标右键单击任务栏空白处，在弹出的菜单中单击“启动任务管理器”命令。

02 打开“Windows任务管理器”窗口后，切换到“进程”选项卡，选中要关闭的进程，然后单击“结束进程”按钮。

03 在弹出的对话框中单击“结束进程”按钮即可。

例 5 哪些进程不能随意关闭

系统的正常运行需要一些进程的支持，这些进程就是系统守护进程。如果强制关闭这类进程，可能导致系统无法正常运行。例如，如果误删了Explorer. exe进程就会导致Windows图形界面无法使用，鼠标也没有反应。建议电脑初学者在不了解的情况下不要轻易关闭进程。

下面列举一些Windows 7操作系统正常运行时需要的进程。

※ System：Windows系统进程，一组系统底层服务线程的总称，没有真正意义上的映像。

※ System Idle Process：用于显示CPU可用资源的百分比情况，越大越好。该进程是作为单线程运行的，并在系统不处理其他线程的时候分派处理器的时间。

※ csrss.exe：Windows环境子系统的进程映像，用于启动用户的会话模式。

※ lsass.exe：安全机制管理进程，用于管理IP安全和登录策略等。

※ explorer.exe：桌面环境进程，用于显示系统桌面上的图标以及任务栏等。

※ winlogon.exe：用户登录管理进程，负责交互式登录、注销与关闭任务。

※ smss.exe：会话管理子系统，负责会话环境的初始化操作。

※ svchost.exe：系统服务的宿主进程，如果有多个svchost.exe同时运行，表明当前有多组服务处于活动状态或多个系统文件正在调用它。

※ services.exe：系统服务管理进程。

※ alg.exe：应用层网关服务，用于处理网络连接共享。

※ spoolsv.exe：打印任务控制程序，管理缓冲区中的打印和传真作业，可在“服务”窗口中关闭。

在查看进程时应该仔细一些。有些病毒会伪装成系统进程，例如svchost.exe进程可能是名为“W32.Welchia.Worm”的蠕虫病毒。如果没有及时发现，可能造成无法估计的损失。

例 6 如何查杀顽固的病毒进程

在“Windows任务管理器”窗口中，某些病毒进程是无法使用选中后单击“结束进程”按钮来关闭的，此时就需要通过特殊的命令来执行关闭操作。顽固的病毒进程可以使用“taskkill”命令+PID值来关闭，具体操作如下。

01 按“Ctrl+Shift+Esc”组合键，打开Windows任务管理器，在窗口中依次单击“查看”→“选择列”菜单命令。

02 在弹出的对话框中勾选“PID（进程标识符）”复选项，单击“确定”按钮，然后在返回的对话框中记录下可疑进程的PID值。

03 打开“命令提示符”窗口，在其中执行“taskkill /pid xxx（进程PID值）”命令，即可将对应的进程关闭。

此外，在使用“tasklist”命令查看系统进程时，也可以看到进程的PID值，记录需要关闭进程对应的PID值，然后在“命令提示符”窗口中执行“taskkill /pid xxx”命令（xxx表示进程对应的PID值）即可关闭对应的进程，例如，要关闭“QQ伴侣.exe”进程，而其对应的PID值为2660，则在“命令提示符”窗口中执行taskkill /pid 2660命令即可。

例 7 怎样查看进程起始程序

在Windows任务管理器中关闭可疑进程，只是暂时终止该程序的运行，并不能将该程序彻底从电脑中清除，“治标不治本”。要想除去电脑的安全隐患，还必须查找出危险进程的起始程序。在Windows 7和Windows XP系统中查看进程起始程序的方法有所不同，下面分别进行介绍。

1.在Windows 7中查看

在Windows 7系统中，我们可以使用Windows任务管理器来查看危险进程的起始程序，具体操作如下。

01 按下“Ctrl+Shift+Esc”组合键打开Windows任务管理器，切换到“性能”选项卡，然后单击“资源监视器”按钮。

02 打开“资源监视器”窗口，在“映像”列表框中勾选需要查看起始程序的进程，在下方展开“磁盘”栏，即可查看该进程的相关信息，“文件”列中会显示该进程的起始位置。

2.在Windows XP中查看

在Windows XP系统中，我们可以通过使用“Netstat -abnov”命令来查看危险进程的起始程序：在开始菜单中单击“运行”命令，在弹出的“运行”对话框中输入“cmd”命令。在接着弹出的“命令提示符”窗口中输入“Netstat -abnov”命令，按下“Enter”键，在下方会显示出当前进程的详细信息，用户可根据这些信息查看进程对应的起始位置。

例 8 如何查看他人电脑中的进程

查看他人电脑中的系统进程又叫查看远程进程，这也是黑客的基本功。查看远程进程的方法如下。

01 单击系统桌面左下角的“开始”按钮，在弹出的开始菜单的搜索框中执行“cmd”命令。

02 在打开的“命令提示符”窗口中输入如下命令“tasklist/s 192.168.1.20 /u Administrator /p 000”，然后按下“Enter”键，即可显示远程电脑中运行的进程。

例 9 如何新建系统进程

如果支持系统正常运行的进程一旦被强制关闭，很可能导致系统无法正常工作，此时我们应该根据实际情况新建被误关闭的进程。下面以新建“explorer.exe”进程为例，介绍新建进程的方法。

01 按下“Ctrl+Shift+Esc”组合键打开Windows任务管理器，在窗口中依次单击“文件”→“新建任务（运行…）”菜单命令。

02 在弹出的“创建新任务”对话框中，在“打开”文本框中输入要新建的进程，本例输入“Explorer.exe”，然后单击“确定”按钮即可。