反病毒教程第3課: 系統(tǒng)進(jìn)程介紹與運(yùn)用
深入了解進(jìn)程
三.實(shí)踐
1.查看你系統(tǒng)中有多少進(jìn)程���?
打開任務(wù)管理器(按快捷鍵Ctrl+Alt+Del)�����,切換到進(jìn)程頁.在這里我們可以看到系統(tǒng)中所有的進(jìn)程(隱藏的進(jìn)程在這里看不到)�����,映像名稱�����,有時(shí)也稱為進(jìn)程名,這個(gè)名字一般就是相應(yīng)程序的文件名.在左下角���,你可以看到你系統(tǒng)中有多少進(jìn)程了��,比如我的�,現(xiàn)在是27.
我現(xiàn)在打開一個(gè)畫圖程序
現(xiàn)在是28個(gè)了�,多了哪個(gè)�����?多了mspaint.exe����,這個(gè)就是畫圖程序的進(jìn)程.看看這個(gè)進(jìn)程的詳細(xì)信息吧.點(diǎn)查看�,選擇列...,在PID�,CPU時(shí)間,內(nèi)存使用���,用戶名���,虛擬內(nèi)存大小等的前面打勾,確定.現(xiàn)在看到多了幾列了.
映像名稱:即進(jìn)程名��,可能存在多個(gè)名字相同的進(jìn)程名.
PID:前面已經(jīng)講過���,這是唯一的��,系統(tǒng)中不可能存在重復(fù)的PID.
用戶名:是指這個(gè)程序是由誰啟動的或是用于說明其優(yōu)先情況的.
CPU 時(shí)間:我們知道在單核系統(tǒng)中���,CPU同時(shí)只能處理一件事(一個(gè)進(jìn)程)���,但是為什么會有這么多進(jìn)程同時(shí)運(yùn)行呢?系統(tǒng)把CPU時(shí)間分成許多的時(shí)間片�,每個(gè)進(jìn)程每次可以使用一個(gè)由時(shí)間片規(guī)定的CPU時(shí)間.這樣,多個(gè)進(jìn)程輪流使用CPU時(shí)間���,如果某個(gè)進(jìn)程在規(guī)定的時(shí)間內(nèi)還沒有完成它的全部工作��,這時(shí)也要把CPU讓給其他進(jìn)程��,等待下一輪再使用一個(gè)時(shí)間片的時(shí)間�,循環(huán)輪轉(zhuǎn)��,直到結(jié)束.由于CPU的執(zhí)行速度非?����??,所以你看上去它們好像是在同時(shí)運(yùn)行的. 當(dāng)進(jìn)程出現(xiàn)問題并且系統(tǒng)自身無法修正時(shí),就可能出現(xiàn)CPU占用居高不下����,甚至是100%,導(dǎo)致其他進(jìn)程無法占用CPU時(shí)間�,這時(shí)系統(tǒng)的反映就會很慢,很卡.這時(shí)可以把有問題的進(jìn)程結(jié)束掉. 有些殺毒軟件的進(jìn)程在掃描時(shí)也會占用較高�����,這是正?����,F(xiàn)象.
內(nèi)存:程序執(zhí)行所占用的內(nèi)存.一般程序通常不超過50M.游戲什么的可能占用會比較大.
虛似內(nèi)存�,同上,但有些區(qū)別��,這個(gè)值一般不超過150M�,超過此值的就要注意一下了,當(dāng)某個(gè)進(jìn)程的虛擬內(nèi)存占用很大時(shí)�,同樣會導(dǎo)致系統(tǒng)很卡.結(jié)束這個(gè)進(jìn)程則恢復(fù)正常.
2.兩個(gè)擁有特殊PID的進(jìn)程
System Idle Process:這個(gè)進(jìn)程的PID為0,虛擬內(nèi)存占用為0�,CPU很高,常常在90以上���,事實(shí)上��,它并不是真正的進(jìn)程�,這個(gè)稱為系統(tǒng)空閑進(jìn)程,它的CPU值越高越好.該進(jìn)程無法結(jié)束����,沒有對應(yīng)的文件.
System: 這個(gè)進(jìn)程的PID為4,該進(jìn)程不能結(jié)束���,它也沒有對應(yīng)的文件.并且沒有后綴名���,如果你看到帶有后綴名的或是PID不是4的system,則這個(gè)進(jìn)程很可能是病毒進(jìn)程.如果你看到此進(jìn)程正常�,但CPU占用很高,則說明這個(gè)進(jìn)程被注入了��,大部分是木馬或病毒的行為���,因?yàn)檎3绦虿粫ジ闼?
系統(tǒng)正常運(yùn)行需要哪些進(jìn)程����?
3.系統(tǒng)正常運(yùn)行需要哪些進(jìn)程���?
除了上面提到的兩個(gè)���,其他還有幾個(gè).下面按重要性來一個(gè)個(gè)說明.(下面講到路徑時(shí)�����,以系統(tǒng)盤為C盤為例),進(jìn)程名不區(qū)分大小寫.認(rèn)識這些進(jìn)程�����,對你使用系統(tǒng)和維護(hù)系統(tǒng)安全都有著非常重要的作用�!如果嫌我講得啰嗦,你大可以百度一下相關(guān)進(jìn)程名查找更啰嗦的.
smss.exe :這是系統(tǒng)中有對應(yīng)文件的第一個(gè)真正進(jìn)程.文件位于c:\windows\system32\smss.exe���,這是一個(gè)會話管理子系統(tǒng)�����,負(fù)責(zé)啟動用戶會話���,系統(tǒng)所有進(jìn)程的初始化工作都由它來完成,當(dāng)某些進(jìn)程出現(xiàn)不可預(yù)知的重大錯(cuò)誤時(shí)���,該進(jìn)程負(fù)責(zé)調(diào)節(jié)�,無法調(diào)節(jié)時(shí)��,系統(tǒng)將停止響應(yīng).
winlogon.exe :管理用戶登陸,注銷等.該進(jìn)程是由父進(jìn)程smss.exe創(chuàng)建的�����,正常路徑c:\windows\system32\winlogon.exe��,屏幕保護(hù)程序的啟動等也是由它來管理的.以system用戶來運(yùn)行.
csrss.exe : 管理系統(tǒng)圖形相關(guān)子系統(tǒng).也是由smss.exe創(chuàng)建的��,正常路徑c:\windows\system32\csrss.exe
lsass.exe :該進(jìn)程是多個(gè)Windows系統(tǒng)服務(wù)的宿主��,由winlogon.exe創(chuàng)建�����,它控制一些服務(wù)的啟動與關(guān)閉���,與services.exe具有同等重要的作用.它們分管系統(tǒng)中所有的服務(wù).lsass.exe管理的服務(wù)包括HTTP SSL��,IPSEC Services��,Kerberos Key Distribution Center���,Net Logon,NT LM Security Support Provider����,Protected Storage���,Security Accounts Manager.正常情況下��,它開啟了多個(gè)服務(wù)�,一般至少有Protected Storage和Security Accounts Manager兩項(xiàng),如果沒有開啟這些服務(wù)�����,此進(jìn)程可以被關(guān)閉.
services.exe :和上面的一樣����,也是由winlogon.exe創(chuàng)建的,除上面七個(gè)服務(wù)外���,其他所有服務(wù)全部由該進(jìn)程來管理.關(guān)于服務(wù)相關(guān)的內(nèi)容�����,以后會專門用一個(gè)課時(shí)來詳細(xì)說明�,現(xiàn)在只要了解就行了.路徑c:\windows\system32\services.exe
svchost.exe :標(biāo)準(zhǔn)的動態(tài)連接庫主機(jī)處理服務(wù).由services.exe創(chuàng)建���,該進(jìn)程在啟動的時(shí)候會檢查注冊表中相應(yīng)位置來決定需要加載的服務(wù).系統(tǒng)中常常會存在很多個(gè)svchost.exe進(jìn)程�,因?yàn)椴煌姆?wù)可能要不同的svchost.exe進(jìn)程來啟動.有的svchost.exe進(jìn)程只啟動了一個(gè)服務(wù),而有的可能啟動了好幾個(gè)服務(wù).所以系統(tǒng)中存在3~7個(gè)同樣的這個(gè)進(jìn)程并不奇怪.路徑c:\windows\system32\svchost.exe.部分這個(gè)進(jìn)程可以被結(jié)束的�����,結(jié)束后的結(jié)果可能會很奇怪����,比如復(fù)制粘貼功能沒有了...
alg.exe :即Application Layer Gateway Service,應(yīng)用程序網(wǎng)關(guān)服務(wù)�����,為Internet連接共享和Windows防火墻提供第三方協(xié)議插件的支持.
用好任務(wù)管理器
4.哪些進(jìn)程可以結(jié)束�����?
除了上面說到的���,其他的都可以結(jié)束����,剛剛的截圖����,我系統(tǒng)的進(jìn)程數(shù)20多個(gè)�����,有些人的可能有30多個(gè)甚至更多.下面我就先來優(yōu)化一下吧.結(jié)果如圖:
其實(shí)還可以精減掉幾個(gè)svchost.exe的����,重新開啟需要以服務(wù)形式啟動���,嫌麻煩就不結(jié)束了...還有一個(gè)原因是任務(wù)管理器提供的信息太少,不知道哪個(gè)svchost.exe啟動了哪些服務(wù)����,盲目結(jié)束總不是很好.最壞的情況是系統(tǒng)30秒倒計(jì)時(shí)重啟或關(guān)機(jī).如何解決倒計(jì)時(shí)關(guān)機(jī)?
很簡單�����,按快捷鍵Win+R�����,然后輸入shutdown -a確定即可.
對于殺毒軟件的進(jìn)程���,可能你無法用任務(wù)管理器來結(jié)束�����,你可以直接關(guān)閉殺毒軟件.其他無法關(guān)閉的進(jìn)程還有很多��,比如病毒進(jìn)程�����,服務(wù)進(jìn)程等.無法結(jié)束的進(jìn)程可以使用第三方工具來結(jié)束�����,比如冰刃(IceSword).實(shí)踐完畢后別忘了重新開啟你的殺毒軟件的監(jiān)控.
另一個(gè)特殊的進(jìn)程:explorer.exe����,這個(gè)進(jìn)程是可以被結(jié)束的,結(jié)束后桌面消失��,別害怕��,重新啟動這個(gè)進(jìn)程就行了�,在任務(wù)管理器中點(diǎn)文件,新建任務(wù),輸入explorer.exe后確定即可.
還有一個(gè)進(jìn)程是taskmgr.exe��,這個(gè)進(jìn)程是任務(wù)管理器的進(jìn)程��,你結(jié)束它試一下����,任務(wù)管理器關(guān)閉了,呵.
5.用好任務(wù)管理器
結(jié)束進(jìn)程�����,當(dāng)前選中進(jìn)程將被結(jié)束.
結(jié)束進(jìn)程��,當(dāng)前選中進(jìn)程及所有由該進(jìn)程創(chuàng)建的子進(jìn)程全部被結(jié)束
切換到應(yīng)用程序頁�����,選中某個(gè)任務(wù)�,右鍵選擇:
切換至���,則該任務(wù)的窗口將位于最上面�,并且成為激活狀態(tài)
前置��,和切換至很類似,但不一定是激活狀態(tài)的.
最大化�����,最小化���,這兩個(gè)不用我說了吧.
結(jié)束任務(wù)���,關(guān)閉相應(yīng)的任務(wù).
轉(zhuǎn)到進(jìn)程,該任務(wù)對應(yīng)的是哪個(gè)進(jìn)程一看便知.
在任務(wù)管理器四周空白處雙擊一下試試.再次雙擊可變回原樣.
在應(yīng)用程序頁雙擊將最小化任務(wù)管理器.
(注:本文中的“\”�,如有需要體驗(yàn)或者使用,請?zhí)鎿Q成半角斜線)
|
