高手支招:通过进程抓马
程序员文章站
2024-01-01 08:55:40
对于进程这个概念,许多电脑用户都没有给予太多关注。在很多人印象里,只知道结束进程可以杀死程序,至于哪些进程对应哪些程序,究竟什么样的进程该杀,什么样的进程不能杀这些问题... 09-05-24...
对于进程这个概念,许多电脑用户都没有给予太多关注。在很多人印象里,只知道结束进程可以杀死程序,至于哪些进程对应哪些程序,究竟什么样的进程该杀,什么样的进程不能杀这些问题很少考虑。这里通过几个实例为大家揭开进程的神秘面纱。
实例一:和进程的“表演者”交个朋友
很多时候,我们并没有注意到系统中到底有多少进程。如果想了解进程的秘密,首先就必须和一些常见系统进程交个朋友,一旦掌握了它们,就能像侦探一样迅速从进程名单中发现可疑的家伙。
在windows 2000/xp中,ctrl+shift+esc组合键能快速调出任务管理器,而windows 9x为ctrl+alt+组合键。
1.“主角”进程
首先来熟悉一下系统中的基本进程,它们是系统运行的基本条件,一般情况下不能关闭它们,否则会导致系统崩溃。
windows 2000/xp:smss.、csrss.、winlogon.、services.、lsass.、svchost.(可以同时存在多个)、spoolsv.、explorer.、system idle process;
windows 9x:msgsrv32.、mpr.、mmtask.tsk、kenrel32.dll。
你知道吗
进程与程序
简单地说,每启动一个程序,就启动了一个进程。在windows 3.x中,进程是最小运行单位。在windows 9x/2000/xp中,每个进程还可以启动几个线程,比如每下载一个文件可以单独开一个线程。在windows 9x/2000/xp中,线程是最小单位。程序是永存的,进程是暂时的。举一个例子说:如果程序是剧本,那么表演过程就是进程;如果程序是菜谱,那么烹调过程就是进程。
人鬼情未了——svchost.
它位于系统目录的system32文件夹,是从动态链接库(dll)运行服务的一般性宿主进程。在任务管理器中,可能会看到多个svchost.在运行,不要大惊小怪,这可能是多个dll文件在调用它。不过,正因为如此,它也成为了病毒利用的对象,以前的“蓝色代码”病毒就是一例。另外,如果感染了冲击波病毒,系统也会提示“svchost.出现错误”。
如果要查看哪些服务正在使用svchost.,对于windows 2000可从其安装光盘的supporttoolssupport.cab压缩包中,将tlist.解压缩至任意目录,接着在“命令提示符”中进入tlist.所在目录,输入“tlist -s”并回车(“tlist pid”命令可看到详细信息)。而在windows xp则直接输入“tasklist /svc”查看进程信息(“tasklist /fi "pid eq processid"”则可看到详细信息)。
2.“配角”进程
这些系统进程虽然不是系统运行必须的,但也经常在进程列表中抛头露面。如internat.、systray.、rundll32.、loadwc.、ddhelp.、mstask.、ctfmon.、taskmagr.、msnmsgr.、wmi.,它们都是正常的系统进程。
建议在安装完windows后,点击“开始→程序→附件→系统工具→系统信息”,在打开的“系统信息”窗口中再点击“软件环境→正在运行任务”(在此进程列表中,可看到更详细的属性,其中程序路径是非常重要的信息),接着点击“操作→另存成文本文件”,以后系统出现异常时则对照进行分析。另外,“优化大师”也提供了保存进程快照的功能●。
对于进程这个概念,许多电脑用户都没有给予太多关注。在很多人印象里,只知道结束进程可以杀死程序,至于哪些进程对应哪些程序,究竟什么样的进程该杀,什么样的进程不能杀这些问题很少考虑。这里通过几个实例为大家揭开进程的神秘面纱。
实例一:和进程的“表演者”交个朋友
很多时候,我们并没有注意到系统中到底有多少进程。如果想了解进程的秘密,首先就必须和一些常见系统进程交个朋友,一旦掌握了它们,就能像侦探一样迅速从进程名单中发现可疑的家伙。
实例一:和进程的“表演者”交个朋友
很多时候,我们并没有注意到系统中到底有多少进程。如果想了解进程的秘密,首先就必须和一些常见系统进程交个朋友,一旦掌握了它们,就能像侦探一样迅速从进程名单中发现可疑的家伙。
在windows 2000/xp中,ctrl+shift+esc组合键能快速调出任务管理器,而windows 9x为ctrl+alt+组合键。
1.“主角”进程
首先来熟悉一下系统中的基本进程,它们是系统运行的基本条件,一般情况下不能关闭它们,否则会导致系统崩溃。
windows 2000/xp:smss.、csrss.、winlogon.、services.、lsass.、svchost.(可以同时存在多个)、spoolsv.、explorer.、system idle process;
windows 9x:msgsrv32.、mpr.、mmtask.tsk、kenrel32.dll。
你知道吗
进程与程序
简单地说,每启动一个程序,就启动了一个进程。在windows 3.x中,进程是最小运行单位。在windows 9x/2000/xp中,每个进程还可以启动几个线程,比如每下载一个文件可以单独开一个线程。在windows 9x/2000/xp中,线程是最小单位。程序是永存的,进程是暂时的。举一个例子说:如果程序是剧本,那么表演过程就是进程;如果程序是菜谱,那么烹调过程就是进程。
人鬼情未了——svchost.
它位于系统目录的system32文件夹,是从动态链接库(dll)运行服务的一般性宿主进程。在任务管理器中,可能会看到多个svchost.在运行,不要大惊小怪,这可能是多个dll文件在调用它。不过,正因为如此,它也成为了病毒利用的对象,以前的“蓝色代码”病毒就是一例。另外,如果感染了冲击波病毒,系统也会提示“svchost.出现错误”。
如果要查看哪些服务正在使用svchost.,对于windows 2000可从其安装光盘的supporttoolssupport.cab压缩包中,将tlist.解压缩至任意目录,接着在“命令提示符”中进入tlist.所在目录,输入“tlist -s”并回车(“tlist pid”命令可看到详细信息)。而在windows xp则直接输入“tasklist /svc”查看进程信息(“tasklist /fi "pid eq processid"”则可看到详细信息)。
2.“配角”进程
这些系统进程虽然不是系统运行必须的,但也经常在进程列表中抛头露面。如internat.、systray.、rundll32.、loadwc.、ddhelp.、mstask.、ctfmon.、taskmagr.、msnmsgr.、wmi.,它们都是正常的系统进程。
建议在安装完windows后,点击“开始→程序→附件→系统工具→系统信息”,在打开的“系统信息”窗口中再点击“软件环境→正在运行任务”(在此进程列表中,可看到更详细的属性,其中程序路径是非常重要的信息),接着点击“操作→另存成文本文件”,以后系统出现异常时则对照进行分析。另外,“优化大师”也提供了保存进程快照的功能●。
对于进程这个概念,许多电脑用户都没有给予太多关注。在很多人印象里,只知道结束进程可以杀死程序,至于哪些进程对应哪些程序,究竟什么样的进程该杀,什么样的进程不能杀这些问题很少考虑。这里通过几个实例为大家揭开进程的神秘面纱。
实例一:和进程的“表演者”交个朋友
很多时候,我们并没有注意到系统中到底有多少进程。如果想了解进程的秘密,首先就必须和一些常见系统进程交个朋友,一旦掌握了它们,就能像侦探一样迅速从进程名单中发现可疑的家伙。
推荐阅读