Process Explorer(以下简称为PE)这个软件已经有国内的爱好者对它进行了汉化,下面就以汉化版来介绍。虽然系统命令可以列出进程比较详细的信息,但是无法知道进程包含每个服务的具体路径,以及调用的DLL文件。来管理进程。PE可以让使用者能了解到在后台执行的处理程序,能显示目前已经载入哪些模块,分别正在被哪些程序使用着,还可显示这些程序所调用的DLL进程,以及它们所打开的句柄。
下面就以用PE来查看Svchost.exe这个进程为例。如上所述,每个Svchost.exe包含着一组服务,而木马们也非常喜欢它,常常通过注册为系统服务并借助它来启动。Svchost.exe进程只作为服务宿主,也就是说它只能提供条件,让其他服务在这里被启动,自己并不代表任何程序。这些系统服务是以动态链接库(DLL)的形式实现,木马们把可执行程序指向Svchost,由它调用木马文件的动态链接库来启动服务。如果仅依靠系统自带那两个命令是无法解析这个进程的。
运行PE后选中Svhoost.exe,右击选择“属性”,在弹出的窗口中就可以看到关于该进程的详细信息(如图3用工具查看进程就方便了)。
![]("http://windows.chinaitlab.com/UploadFiles_3263/200707/20070724110401621.jpg")
498)this.style.width=498;">
图3
①查看路径。单击“映像”,可以看到Svchost.exe路径是在C:\windows\ system32下。而它所注册的服务是imgsvc,父进程ID为554(Services.exe),(如图4了解进程的来龙去脉)。
![]("http://windows.chinaitlab.com/UploadFiles_3263/200707/20070724110402466.jpg")
498)this.style.width=498;">
图4
②查看注册服务。单击“服务”可以看到所注册服务(imgsvc)的详细说明(如图5现在知道这些进程在做什么了)。
![]("http://windows.chinaitlab.com/UploadFiles_3263/200707/20070724110404284.jpg")
498)this.style.width=498;">
图5
③查看调用模块。单击“程序线程”,可以看到所注册服务的每个线程和调用的模块(如图6从模块与进程的关系可以判断它是不是正常的)。
![]("http://windows.chinaitlab.com/UploadFiles_3263/200707/20070724110404685.jpg")
498)this.style.width=498;">
图6
这样通过PE,我们就可以知道进程的详细信息了,如果发现进程有什么异常,即可按提示的路径和调用模块信息予以终止。
看完上面的介绍,大家能够管好电脑的这些进程了吧。总之,进程作为系统的一个重要组件,大家如果能够管识别并管好它,可以给使用电脑带来极大的便利。
