如何從進程尋找木馬的痕跡

　　對于進程這個概念，許多電腦用戶都沒有給予太多關(guān)注。在很多人印象里，只知道結(jié)束進程可以殺死程序，至于哪些進程對應(yīng)哪些程序，究竟什么樣的進程該殺，什么樣的進程不能殺這些問題很少考慮。這里通過幾個實例為大家揭開進程的神秘面紗。

　　實例一：和進程的“表演者”交個朋友

　　很多時候，我們并沒有注意到系統(tǒng)中到底有多少進程。如果想了解進程的秘密，首先就必須和一些常見系統(tǒng)進程交個朋友，一旦掌握了它們，就能像偵探一樣迅速從進程名單中發(fā)現(xiàn)可疑的家伙。

　　在Windows 2000/XP中，Ctrl+Shift+Esc組合鍵能快速調(diào)出任務(wù)管理器，而Windows 9X為Ctrl+Alt+Del組合鍵。

　　1.“主角”進程

　　首先來熟悉一下系統(tǒng)中的基本進程，它們是系統(tǒng)運行的基本條件，一般情況下不能關(guān)閉它們，否則會導(dǎo)致系統(tǒng)崩潰。

　　Windows 2000/XP：smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe(可以同時存在多個)、spoolsv.exe、explorer.exe、System Idle Process;

　　Windows 9x：msgsrv32.exe、mprexe.exe、mmtask.tsk、kenrel32.dll。

　　你知道嗎

　　進程與程序

　　簡單地說，每啟動一個程序，就啟動了一個進程。在Windows 3.x中，進程是最小運行單位。在Windows 9X/2000/XP中，每個進程還可以啟動幾個線程，比如每下載一個文件可以單獨開一個線程。在Windows 9X/2000/XP中，線程是最小單位。程序是永存的，進程是暫時的。舉一個例子說：如果程序是劇本，那么表演過程就是進程;如果程序是菜譜，那么烹調(diào)過程就是進程。

　　人鬼情未了──Svchost.exe

　　它位于系統(tǒng)目錄的System32文件夾，是從動態(tài)鏈接庫(DLL)運行服務(wù)的一般性宿主進程。在任務(wù)管理器中，可能會看到多個Svchost.exe在運行，不要大驚小怪，這可能是多個DLL文件在調(diào)用它。不過，正因為如此，它也成為了病毒利用的對象，以前的“藍色代碼”病毒就是一例。另外，如果感染了沖擊波病毒，系統(tǒng)也會提示“Svchost.exe出現(xiàn)錯誤”。

　　如果要查看哪些服務(wù)正在使用Svchost.exe，對于Windows 2000可從其安裝光盤的SupportToolsSupport.cab壓縮包中，將Tlist.exe解壓縮至任意目錄，接著在“命令提示符”中進入Tlist.exe所在目錄，輸入“tlist -s”并回車(“tlist pid”命令可看到詳細信息)。而在Windows XP則直接輸入“Tasklist /SVC”查看進程信息(“Tasklist /fi "PID eq processID"”則可看到詳細信息)。

　　2.“配角”進程

　　這些系統(tǒng)進程雖然不是系統(tǒng)運行必須的，但也經(jīng)常在進程列表中拋頭露面。如internat.exe、systray.exe、rundll32.exe、loadwc.exe、ddhelp.exe、mstask.exe、ctfmon.exe、taskmagr.exe、msnmsgr.exe、wmiexe.exe，它們都是正常的系統(tǒng)進程。

　　建議在安裝完Windows后，點擊“開始→程序→附件→系統(tǒng)工具→系統(tǒng)信息”，在打開的“系統(tǒng)信息”窗口中再點擊“軟件環(huán)境→正在運行任務(wù)”(在此進程列表中，可看到更詳細的屬性，其中程序路徑是非常重要的信息)，接著點擊“操作→另存成文本文件”，以后系統(tǒng)出現(xiàn)異常時則對照進行分析。另外，“優(yōu)化大師”也提供了保存進程快照的功能