(2) 根据端口号查进程

　　在命令提示符窗口中输入“netstat -ano”命令，列出系统当前的端口列表，该命令的作用已在上面提过了。-o参数的作用主要是显示各端口对应的进程PID号，现在把你要查的端口对应的进程PID号记下或复制。然后在命令提示符下继续输入“tasklist /fi ″PID eq 788 ″”(在实际应用中，需要把你复制或记下的PID号替换掉这里的788)，这行语句“/fi”参数表示在“tasklist”中筛选，而“PID eq 788”则是指定筛选的条件，按“回车”键后，就会显示出端口对应的进程。

　　(3) 查出进程对应的程序

　　知道了端口和进程的关联后，如何再进一步查出该进程是那个软件或程序的进程呢?

　　下面的操作就需要用到Windows 2000(Server或Professional版都可以)安装光盘中的一个工具。首先在安装光盘的“SupportTools”目录下，用解压软件打开“support.cab”压缩包，找到“tlist.exe”文件，将此文件释放到任一目录，如“D：Support”。然后在命令提示符窗口中切换到此目录，运行“tlist.exe”命令，把要查的进程对应的PID号记下或复制(第一列就是进程的PID号)，然后继续输入“tlist.exe 2012”命令(你输入的时候，需要将刚才记下的PID号替换掉这里的2012)，“CmdLine ”后面显示的就是该进程对应的软件所在的目录。另外，返回信息中还列出了该进程所调用的文件，得到了这些信息就可以很容易查出进程对应的程序了。要是发现该程序不是你自己打开的话，那么十有八九是一个恶意程序，此时你必须及时执行“taskkill.exe PID ”命令(taskkill.exe可以在WinXP系统安装盘中找到)将该进程关闭掉，以免恶意程序继续监控你的系统。

　　四、防范硬盘被非法共享

　　很多上网的朋友都遇到过这样的麻烦，在浏览到含有恶意代码的网页时，自己的系统硬盘就可能被设置为共享状态了，更为危险的是，你在硬盘属性窗口中“觉察”不到硬盘已经被非法共享了。为了避免硬盘被恶意网页非法设置为共享，你可以按照下面的步骤来达到目的。首先，硬盘此刻是否已经被非法共享了。检查时，我们可以打开注册表编辑窗口，在注册表编辑器展开分支“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanMan”，看看“LanMan”项下面是否有“RWC$”键值，要是有的话，就表明硬盘已经被恶意网页设置为了共享，而且共享名称是“RWC$”;这时你可以将LanMan下面的“RWC$”键值先删除掉;然后把windowssystem下面的Vserver.vxd(Microsoft 网络上的文件与打印机共享，虚拟设备驱动程序)删掉，接着再进入到注册表编辑界面，我们将鼠标定位于分支“HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxD”上(如图5)，并将该分支下所属的“Vserver”键值删掉，最后退出注册表编辑窗口，重新启动一下系统，今后无论什么恶意网页，都不能将你的硬盘设置为隐藏共享了，永绝这类网页的后路吧!