很多朋友面對(duì)系統(tǒng)中的進(jìn)程，往往感到茫然，不知它們具有什么功能；是否可以結(jié)束其運(yùn)行，以節(jié)省系統(tǒng)資源；哪個(gè)進(jìn)程比較可疑，可能是木馬……其實(shí)進(jìn)程應(yīng)該可理解為處于活動(dòng)狀態(tài)的計(jì)算機(jī)程序，它在操作系統(tǒng)中執(zhí)行特定的任務(wù)。

本文，筆者將以Windows XP操作系統(tǒng)為例，為大家介紹系統(tǒng)進(jìn)程的相關(guān)內(nèi)容。

揪出可疑進(jìn)程 揭露進(jìn)程偽裝術(shù) 進(jìn)程級(jí)別有高低 進(jìn)程樹(shù)的妙用 封殺進(jìn)程的另類(lèi)方法 Win9X/Me也能擁有WinXP的任務(wù)管理器

揪出可疑進(jìn)程

系統(tǒng)進(jìn)程一般包括：基本系統(tǒng)進(jìn)程和附加進(jìn)程?；鞠到y(tǒng)進(jìn)程是系統(tǒng)運(yùn)行的必備條件，只有這些進(jìn)程處于活動(dòng)狀態(tài)，系統(tǒng)才能正常運(yùn)行；而附加進(jìn)程則不是必需的，你可以按需新建或結(jié)束。我們就先來(lái)了解一下哪些是最基本的系統(tǒng)進(jìn)程。

1.基本系統(tǒng)進(jìn)程

Csrss.exe：這是子系統(tǒng)服務(wù)器進(jìn)程，負(fù)責(zé)控制Windows創(chuàng)建或刪除線(xiàn)程以及16位的虛擬DOS環(huán)境。

System Idle Process：這個(gè)進(jìn)程是作為單線(xiàn)程運(yùn)行在每個(gè)處理器上，并在系統(tǒng)不處理其它線(xiàn)程的時(shí)候分派處理器的時(shí)間。

Smss.exe：這是一個(gè)會(huì)話(huà)管理子系統(tǒng)，負(fù)責(zé)啟動(dòng)用戶(hù)會(huì)話(huà)。

Services.exe：系統(tǒng)服務(wù)的管理工具。

Lsass.exe：本地的安全授權(quán)服務(wù)。

Explorer.exe：資源管理器。

Spoolsv.exe：管理緩沖區(qū)中的打印和傳真作業(yè)。

Svchost.exe：這個(gè)進(jìn)程要著重說(shuō)明一下，有不少朋友都有這種錯(cuò)覺(jué)：若是在“任務(wù)管理器”中看到多個(gè)Svchost.exe在運(yùn)行，就覺(jué)得是有病毒了。其實(shí)并不一定，系統(tǒng)啟動(dòng)的時(shí)候，Svchost.exe將檢查注冊(cè)表中的位置來(lái)創(chuàng)建需要加載的服務(wù)列表，如果多個(gè)Svchost.exe同時(shí)運(yùn)行，則表明當(dāng)前有多組服務(wù)處于活動(dòng)狀態(tài)；多個(gè)DLL文件正在調(diào)用它。

至于其它一些附加進(jìn)程，大多為系統(tǒng)服務(wù)，是可以酌情結(jié)束運(yùn)行的。由于其數(shù)量眾多，我們?cè)诖艘膊槐阌谝灰涣信e。

在系統(tǒng)資源緊張的情況下，我們可以選擇結(jié)束一些附加進(jìn)程，以增加資源，起到優(yōu)化系統(tǒng)的作用。在排除基本系統(tǒng)及附加進(jìn)程后，新增的陌生進(jìn)程就值得被大家懷疑了。

2.常見(jiàn)木馬進(jìn)程

廣外女生：Diagcfg.exe進(jìn)程。

WAY無(wú)賴(lài)小子：Msgsvc.exe進(jìn)程。

冰河木馬：Kernel32.exe進(jìn)程。

BO2000木馬：Umgr32.exe進(jìn)程。

客觀地說(shuō)，目前主流的木馬在配置服務(wù)器時(shí)，很多都具有自定義進(jìn)程名稱(chēng)的功能，例如《粉色信鴿》等。因此在判定木馬時(shí)，其進(jìn)程名稱(chēng)不止一種，寄希望于通過(guò)進(jìn)程名稱(chēng)，查找木馬服務(wù)器端的方法，已不太具適用性了。所以，我們需要自己的判斷，揪出進(jìn)程中的“害群之馬”。

3.自行分析可疑進(jìn)程

軟件名稱(chēng)：柳葉擦眼

軟件版本：V4.00 Beta 1

軟件大?。?74KB

軟件語(yǔ)言：簡(jiǎn)體中文

應(yīng)用平臺(tái)：Win9X/NT/2000/XP

下載地址

我們運(yùn)行《柳葉擦眼》后，鼠標(biāo)雙擊系統(tǒng)托盤(pán)中的該程序圖標(biāo)，即可看到主界面（圖1）。在此大家將會(huì)注意到，程序已為你標(biāo)示出了系統(tǒng)文件。因此，大家只需注意那些“定義級(jí)別”為“未知”及“危險(xiǎn)”的進(jìn)程，這樣就大大縮小了我們的判定范圍。當(dāng)你發(fā)現(xiàn)有問(wèn)題的進(jìn)程后，選定并點(diǎn)擊“降妖伏魔”按鈕即可封殺該進(jìn)程。

圖 1

為了使程序更趨于我們的使用習(xí)慣，大家可以自定義設(shè)置。點(diǎn)擊左側(cè)視圖中的“參數(shù)設(shè)置”，在右側(cè)界面中可設(shè)定是否標(biāo)示系統(tǒng)文件、正常文件及危險(xiǎn)文件；是否所有程序均可運(yùn)行；是否自動(dòng)關(guān)閉危險(xiǎn)文件；還可設(shè)定檢測(cè)刷新時(shí)間（圖2）。

圖 2

我們可看到“定義文件列表”中顯示的是程序預(yù)置的定義級(jí)別及其功能說(shuō)明?？筛鶕?jù)個(gè)人機(jī)器的程序運(yùn)行情況，自行添加定義。例如，平日經(jīng)常使用“Virtual PC”虛擬機(jī)等程序，可將它設(shè)置為“正常文件”。在“添加文件定義”彈出窗口中（圖3），輸入“程序名稱(chēng)”及“功能說(shuō)明”并定義級(jí)別即可。另外，也可將已知的木馬進(jìn)程添加為“危險(xiǎn)文件”。最后，點(diǎn)擊“確定并保存設(shè)置”按鈕。經(jīng)過(guò)這一番定制后，哪些進(jìn)程存在問(wèn)題就一目了然了。

圖 3

我們?cè)诔绦蛑袌?zhí)行的各項(xiàng)操作，將會(huì)被自動(dòng)記錄下來(lái)，大家在“柳葉日志”中可以查看（圖4）。

圖 4

揭露進(jìn)程偽裝術(shù)

木馬偽裝技術(shù)的發(fā)展可謂日新月異，由進(jìn)程隱藏到進(jìn)程插入，使得在查殺方面越來(lái)越難以應(yīng)付了。一般具有進(jìn)程插入功能的木馬會(huì)把自身注入其它應(yīng)用程序的地址空間，而這個(gè)應(yīng)用程序?qū)τ谙到y(tǒng)來(lái)說(shuō)，是一個(gè)絕對(duì)安全的程序。

即使我們查找出了DLL插入進(jìn)程，如果它是嵌入在系統(tǒng)基本進(jìn)程中的，如“svchost.exe”等進(jìn)程，我們是無(wú)法結(jié)束其運(yùn)行的。

下面，將以實(shí)例演示一下線(xiàn)程插入類(lèi)后門(mén)是如何在機(jī)器上運(yùn)行的。我們以目前比較流行的“Devil4.exe”（魔鬼4號(hào)）程序?yàn)槔?/P>

運(yùn)行“EditDevil4.exe”配置程序后，在顯示界面中設(shè)置“配置文件”（即需要在目標(biāo)上激活的可執(zhí)行文件）、端口（可自定義，本例中為9000）、密碼及插入進(jìn)程（一般設(shè)置為系統(tǒng)基本進(jìn)程，本例中為Explorer.exe）（圖5）。配置完畢后，執(zhí)行確認(rèn)操作，使其生效。

圖 5

一旦目標(biāo)機(jī)器激活了配置好的程序，“Devil4.exe”將立即插入至指定進(jìn)程中。我們可使用“fport v2.0”這款系統(tǒng)工具查看所有開(kāi)放的TCP和UDP端口，并顯示相應(yīng)的應(yīng)用程序（支持WinNT4/2000/XP）。運(yùn)行“命令提示符”后，進(jìn)入fport程序的存儲(chǔ)路徑，運(yùn)行它。

大家注意查看其中的“Explorer.exe”進(jìn)程，看到其TCP協(xié)議開(kāi)放端口為適才筆者所定制9000端口，此時(shí)表明病毒進(jìn)程插入成功（圖6）?！癉evil4.exe”后門(mén)本身具有刪除程序，運(yùn)行“DelDevil4.exe”程序后，就可清除駐留系統(tǒng)中的后門(mén)。

圖 6

小提示：如果大家要封殺可疑端口，可以使用Active Ports及DBPort之類(lèi)的第三方端口工具。這兩款軟件均是圖形化界面，操作方法非常類(lèi)似。不僅可自動(dòng)刷新進(jìn)程，還能夠立即關(guān)閉指定端口。對(duì)于線(xiàn)程插入類(lèi)木馬的查殺，并非一件輕而易舉的事，由于在配置插入進(jìn)程時(shí)使用者可隨意指定，因此，大家一定要安裝殺毒軟件并定期升級(jí)病毒庫(kù)。

如果要手動(dòng)查殺，則需要用戶(hù)具有相當(dāng)?shù)闹R(shí)水平與一定的經(jīng)驗(yàn)積累。在此給大家推薦一款比較優(yōu)秀的軟件——進(jìn)程間諜。利用它，可以查看窗口和子窗口句柄、ID、標(biāo)題，以及父進(jìn)程ID線(xiàn)程個(gè)數(shù)路徑等，還可獲知指定父進(jìn)程的下屬模塊……我們要著重利用該程序的可查看DLL模塊的功能，試圖找出可疑的插入進(jìn)程。

軟件名稱(chēng)：進(jìn)程間諜

軟件版本：V1.0.2.1

軟件語(yǔ)言：簡(jiǎn)體中文

軟件類(lèi)型：共享軟件

應(yīng)用平臺(tái)：Win9X/Me/2000/XP/2003

下載地址

運(yùn)行《進(jìn)程間諜》程序后，查看“進(jìn)程樹(shù)”標(biāo)簽頁(yè)，點(diǎn)擊“刷新進(jìn)程”按鈕，而后選擇左側(cè)列表的進(jìn)程，當(dāng)選定一個(gè)進(jìn)程后，程序開(kāi)始處理相關(guān)信息。我們切換到當(dāng)前右側(cè)視圖中的“模塊”標(biāo)簽頁(yè)（圖7），在此顯示了很多該進(jìn)程中插入的DLL線(xiàn)程，包括“模塊名”（需要著重查看）、“基地地址”、“大小”及“進(jìn)入口”。大家從中即可仔細(xì)排查可疑線(xiàn)程，例如廣外女生的DLL插入線(xiàn)程是“%system32gwboydll.dll”。

圖 7

進(jìn)程級(jí)別有高低

我們?cè)谑褂肕yIE 2瀏覽網(wǎng)頁(yè)時(shí)，又同時(shí)運(yùn)行了下載工具等。這種情況下，我們就可以通過(guò)相應(yīng)的設(shè)置，使系統(tǒng)優(yōu)先處理MyIE 2，為它分配更多的CPU資源。

按“Ctrl+Alt+Del”組合鍵，調(diào)出“Windows任務(wù)管理器”，查看“進(jìn)程”標(biāo)簽頁(yè)，選定其中希望優(yōu)先處理的程序后，在其右鍵彈出菜單中選擇“設(shè)置優(yōu)先級(jí)→‘高’或‘高于標(biāo)準(zhǔn)’”（圖8）。而其它在后臺(tái)處理的程序，則可將進(jìn)程設(shè)置為“低”或“低于標(biāo)準(zhǔn)”。

圖 8

小提示：如果調(diào)節(jié)進(jìn)程優(yōu)先級(jí)別后，感覺(jué)CPU占用率過(guò)高，要實(shí)時(shí)還原為原來(lái)的級(jí)別，以免系統(tǒng)因資源耗盡而當(dāng)機(jī)。進(jìn)程樹(shù)的妙用

我們?cè)凇癢indows任務(wù)管理器”中，可以看到在指定進(jìn)程的右鍵彈出菜單中有一項(xiàng)“結(jié)束進(jìn)程樹(shù)”的選項(xiàng)（圖9）。那么這個(gè)“進(jìn)程樹(shù)”是什么呢?

圖 9

一個(gè)應(yīng)用程序運(yùn)行后，還可能調(diào)用其它的進(jìn)程來(lái)執(zhí)行操作，這一組進(jìn)程就形成了一個(gè)進(jìn)程樹(shù)（進(jìn)程樹(shù)可能是多級(jí)的，并非只有一個(gè)層次的子進(jìn)程）。該應(yīng)用程序稱(chēng)之為父進(jìn)程，其所調(diào)用的對(duì)象稱(chēng)之為子進(jìn)程。當(dāng)我們結(jié)束一個(gè)進(jìn)程樹(shù)后，即表示同時(shí)結(jié)束了其所屬的所有子進(jìn)程，此種方法常用于對(duì)可復(fù)制自身的木馬進(jìn)程的封殺。即當(dāng)發(fā)現(xiàn)木馬進(jìn)程后，選擇“結(jié)束進(jìn)程樹(shù)”。但是，Windows系統(tǒng)自身的任務(wù)管理器并不具備顯示子進(jìn)程的功能。我們可利用“Process Viewer”這款軟件，實(shí)現(xiàn)詳細(xì)查看進(jìn)程樹(shù)的目的。

軟件名稱(chēng)：Process Viewer

軟件版本：v3.7.3.1

軟件語(yǔ)言：英文

軟件類(lèi)型：免費(fèi)軟件

應(yīng)用平臺(tái)：Win9X/NT/2000/XP/2003

軟件大?。?2KB

下載地址

運(yùn)行“Process Viewer”程序后，在其主界面中將實(shí)時(shí)顯示當(dāng)前運(yùn)行的進(jìn)程。大家點(diǎn)擊菜單欄上的“View→Process Tree”，在彈出對(duì)話(huà)框中即可以進(jìn)程樹(shù)的模式查看相關(guān)進(jìn)程（圖10）。

圖 10

下面，筆者要提及一下其它實(shí)用功能。當(dāng)你選擇主界面中的指定進(jìn)程后，點(diǎn)擊菜單欄上的“Process→Startup Info”，在彈出對(duì)話(huà)框中大家將獲知其啟動(dòng)信息，在“Start directory”選項(xiàng)中顯示的是啟動(dòng)路徑；在“Command Line”選項(xiàng)中顯示的是命令行；在“Environment”中顯示的是環(huán)境。

另外，如果你希望了解某個(gè)進(jìn)程對(duì)應(yīng)的是哪個(gè)應(yīng)用程序或反之。則需要選擇指定進(jìn)程后，點(diǎn)擊菜單欄上的“View→Applications”，在彈出對(duì)話(huà)框中就可查看。

封殺進(jìn)程的另類(lèi)方法

在上文中，我們已經(jīng)提及了如何在“Windows任務(wù)管理器”中結(jié)束進(jìn)程。但那只是常規(guī)方式，現(xiàn)在，我們就來(lái)玩玩別出心裁的非常規(guī)進(jìn)程封殺方式。

1.封殺對(duì)方機(jī)器進(jìn)程

我們可以利用兩種方法實(shí)現(xiàn)這一目的。第一種就是使用遠(yuǎn)程控制程序，目前大部分木馬都具有查看被控端主機(jī)進(jìn)程的功能，而且還可以遠(yuǎn)程結(jié)束指定進(jìn)程。這部分內(nèi)容相信對(duì)系統(tǒng)安全感興趣的朋友都非常熟悉了，因此，就不詳細(xì)介紹了。第二種方法，就是使用專(zhuān)門(mén)結(jié)束進(jìn)程的工具——自定義殺進(jìn)程。運(yùn)行程序后，在其中文本框中（圖11）輸入欲結(jié)束的進(jìn)程名稱(chēng)（注意：是“進(jìn)程”列表中的名稱(chēng)，而非應(yīng)用程序名稱(chēng)），而后會(huì)“生成”一個(gè)文件。通過(guò)某種途徑使它在目標(biāo)機(jī)器上激活，就可封殺對(duì)方機(jī)器的指定進(jìn)程了。

圖 11

小提示：如果你需要經(jīng)常在遠(yuǎn)程機(jī)器上管理進(jìn)程，那么還是選擇一款專(zhuān)業(yè)工具為佳。Remote Task Manager就是一款能夠讓你在遠(yuǎn)程管理系統(tǒng)進(jìn)程的軟件（適用于WinNT的機(jī)器），就如同在本地機(jī)器使用“Windows 任務(wù)管理器”一樣。

2.定時(shí)封殺本機(jī)進(jìn)程

軟件名稱(chēng)：進(jìn)程終結(jié)者

軟件版本：V1.0

軟件語(yǔ)言：簡(jiǎn)體中文

應(yīng)用平臺(tái)：Win9X/NT/Me/2000/XP

軟件大?。?4KB

下載地址

運(yùn)行程序后，首先選擇列表中的指定進(jìn)程，如“wnb.exe”（萬(wàn)能五筆），然后在其右側(cè)視圖中指定經(jīng)過(guò)多長(zhǎng)時(shí)間后結(jié)束該進(jìn)程，再點(diǎn)擊“定時(shí)終結(jié)”按鈕（圖12），該程序到時(shí)就可立即退出。

圖 12

3.封殺不可見(jiàn)窗口的進(jìn)程

對(duì)于某些在后臺(tái)運(yùn)行的木馬服務(wù)器，我們從屏幕上當(dāng)然是看不見(jiàn)的，但如果能夠獲取隱藏的不可見(jiàn)窗口，就有可能查看到木馬的蹤影。

軟件名稱(chēng)：系統(tǒng)查看大師

軟件版本：V1.0.0

軟件語(yǔ)言：簡(jiǎn)繁中文

軟件類(lèi)型：共享軟件

運(yùn)行環(huán)境：Win9X/NT/2000/XP

軟件大?。?59 KB

下載地址

我們直接運(yùn)行下載后的《系統(tǒng)查看大師》主程序即可，在其左側(cè)視圖中點(diǎn)擊“取不可見(jiàn)窗口”按鈕。此后，在其右側(cè)的進(jìn)程列表中就將顯示出所有當(dāng)前運(yùn)行的未在屏幕上直觀顯示出的窗口標(biāo)題（圖13）。選定其中的可疑窗口后，點(diǎn)擊右下端的“結(jié)束此窗口”按鈕即可。

圖 13

Win9X/Me系統(tǒng)也能擁有WinXP的任務(wù)管理器

Windows XP系統(tǒng)的用戶(hù)，可以使用“任務(wù)管理器”，輕松查看系統(tǒng)進(jìn)程，但是，Windows 98/Me的用戶(hù)，卻只能查看當(dāng)前運(yùn)行的應(yīng)用程序。為了使這部分用戶(hù)也能夠管理系統(tǒng)進(jìn)程。筆者為大家介紹一款與XP系統(tǒng)的“任務(wù)管理器”最為相似的第三方軟件。

軟件名稱(chēng)：Windows任務(wù)管理器

軟件版本：V2.22

軟件大?。?69 KB

軟件語(yǔ)言：簡(jiǎn)體中文

應(yīng)用平臺(tái)：Win95/98/Me 下載地址

運(yùn)行“Windows任務(wù)管理器”后，大家看看其界面，是不是和Windows XP的同類(lèi)工具像同胞兄弟?我們切換到“進(jìn)程”標(biāo)簽頁(yè)，在其中顯示出了當(dāng)前處于活動(dòng)狀態(tài)的進(jìn)程。選擇其中指定的進(jìn)程后，點(diǎn)擊下方的“進(jìn)程細(xì)節(jié)”按鈕，在彈出對(duì)話(huà)框中（圖14）可選擇查看“文件細(xì)節(jié)”、“線(xiàn)程細(xì)節(jié)”及“模塊細(xì)節(jié)”等。其中在“模塊細(xì)節(jié)”標(biāo)簽頁(yè)中，可以獲知該進(jìn)程所調(diào)用的若干DLL文件。另外，為了便于隨時(shí)應(yīng)用“Windows任務(wù)管理器”，建議將它設(shè)置為隨系統(tǒng)自動(dòng)運(yùn)行。

圖 14

結(jié)語(yǔ)：筆者以上所介紹的若干關(guān)于系統(tǒng)進(jìn)程方面的應(yīng)用，雖說(shuō)不是非常全面，但從中也足可看出，這小小進(jìn)程，原來(lái)還有這么大的學(xué)問(wèn)