認識常見的進程
只要按下“Ctrl+Alt+Del”打開任務管理器,單擊“進程”可以看到當前系統所有的進程(如圖1進程,你明白它嗎?)。 這些進程大體可以分為兩類:
1.系統進程
這些大多是保證系統正常運行所需的進程。下面以筆者電腦上的進程列表為例(圖1)來做個簡單的介紹(默認情況下,WinXP會啟動許多的系統服務,由於筆者關閉了一些不必要的系統服務,所以列表可能與大家的略有不同)。
①Svchost.exe:它是從動態鏈接庫(DLL)中運行的服務的通用主機進程名稱。每個Svchost.exe包含著一組服務。我們平時上網、磁盤管理、執行的計劃任務等就是由這個進程來完成的。這就是典型的一個進程會對應多個程序。對於WinXP/2000系統會有多個此進程同時存在。木馬、病毒等也常常通過這個進程來加載,這樣它的進程名和程序名就不一樣了。
②Explorer.exe:資源管理器,我們常用的桌面、任務欄等就是由它來管理的。
③WinLogon.exe:管理用戶登錄,是在登錄系統時加載的,作用就是保證用戶能夠正常登錄系統。
④System和System Idle Process:系統默認服務,它作為單線程運行在每個處理器上,並在系統不處理其他線程的時候分派處理器的時間(別讓CPU太閒了)。大家常常會發現它的CPU占有率數值很大,其實這表明CPU此時很空閒。
其他如Alg.exe、sass.exe 、Services.exe 、Csrss.exe、Smss也是系統進程,大家一般接觸較少,具體說明就不介紹了。這些是系統正常運行所必需的進程,如果被關閉,系統可能會出現一些莫名其妙的故障。
2.用戶服務或自行啟動的進程
①運行Norton殺毒軟件啟動進程—Navapsvc.exe和Navapw32.exe。
②任務欄輸入法切換圖標—Ctfmon.exe,它是Office自動加載的文字服務,如果你沒裝Office,這裡顯示的是internat.exe。
③啟動QQ後的進程—QQ.exe、Timplatform(QQ的TM功能),這就是前面說的一個應用程序啟動多個進程。
④Taskmgr.exe—正在運行的任務管理器。
其他如啟動Winamp(Winamp.exe)、Outlook Express(msin.exe)、Word(Winword.exe)、IE浏覽器(iexplore.exe)、記事本(Notepad.exe)、EXCEL(Excel.exe)等程序後(括號中即為進程名),它們的進程名和程序本身是一致的,大家可以比較容易地判斷出來。
管理進程
雖然任務管理器可以列出系統所有的進程,但是無法知道進程所在的路徑、調用的模塊、進程的關系(如子、父進程)、包含子服務等詳細資料。下面介紹兩種方法。
1.利用系統自帶命令
在WinXP中,Tastlist和Taskkill就是專門用於查看和終止進程的兩個命令。
①Tasklist命令,用於顯示運行在本地或遠程計算機上的所有任務的應用程序和服務列表,帶有過程ID。
語法:
tasklist[.exe] [/s computer] [/u domain\user [/p password]] [/fo {TABLE LIST CSV}] [/nh] [/fi FilterName [/fi FilterName2 [ ... ]]] [/m [ModuleName] /svc /v]
各參數的說明請參考Windows的幫助(在系統桌面上按“F1”鍵後搜索這個命令即可)。比如要查看QQ.exe這個進程調用的模塊,在命令行下輸入:
tasklist /m
回車後就可以看到當前所有程序所調用的DLL文件了,當然也包括QQ.exe(如圖2一個程序身後有很多模塊在支援)。
②Taskkill命令,用於結束一個或多個任務或進程。可以根據進程ID或圖像名來結束進程。
語法:
taskkill [/s Computer] [/u Domain\User [/p Password]]] [/fi FilterName] [/pid ProcessID] [/im ImageName] [/f][/t]
如要強行終止QQ.exe則輸入命令:taskkill /im qq.exe /f。回車後即可結束QQ進程。
2.利用專門進程軟件
Process Explorer(以下簡稱為PE)這個軟件已經有國內的愛好者對它進行了漢化,下面就以漢化版來介紹。雖然系統命令可以列出進程比較詳細的信息,但是無法知道進程包含每個服務的具體路徑,以及調用的DLL文件。來管理進程。PE可以讓使用者能了解到在後台執行的處理程序,能顯示目前已經載入哪些模塊,分別正在被哪些程序使用著,還可顯示這些程序所調用的DLL進程,以及它們所打開的句柄。
下面就以用PE來查看Svchost.exe這個進程為例。如上所述,每個Svchost.exe包含著一組服務,而木馬們也非常喜歡它,常常通過注冊為系統服務並借助它來啟動。Svchost.exe進程只作為服務宿主,也就是說它只能提供條件,讓其他服務在這裡被啟動,自己並不代表任何程序。這些系統服務是以動態鏈接庫(DLL)的形式實現,木馬們把可執行程序指向Svchost,由它調用木馬文件的動態鏈接庫來啟動服務。如果僅依靠系統自帶那兩個命令是無法解析這個進程的。
運行PE後選中Svhoost.exe,右擊選擇“屬性”,在彈出的窗口中就可以看到關於該進程的詳細信息(如圖3用工具查看進程就方便了)。
①查看路徑。單擊“映像”,可以看到Svchost.exe路徑是在C:\windows\ system32下。而它所注冊的服務是imgsvc,父進程ID為554(Services.exe),(如圖4了解進程的來龍去脈)。
②查看注冊服務。單擊“服務”可以看到所注冊服務(imgsvc)的詳細說明(如圖5現在知道這些進程在做什麼了)。
③查看調用模塊。單擊“程序線程”,可以看到所注冊服務的每個線程和調用的模塊(如圖6從模塊與進程的關系可以判斷它是不是正常的)。
這樣通過PE,我們就可以知道進程的詳細信息了,如果發現進程有什麼異常,即可按提示的路徑和調用模塊信息予以終止。
看完上面的介紹,大家能夠管好電腦的這些進程了吧。總之,進程作為系統的一個重要組件,大家如果能夠管識別並管好它,可以給使用電腦帶來極大的便利。
