论文部分内容阅读
“进程”是我们日常操作经常遇到的一个名词,用户只需同时按下“Ctrl+Alt+Del”键,即可在弹出的任务管理器查看本机中的全部进程。系统中有各种各样的进程,有些是正常的系统进程,有些则可能是恶意进程,我们如何判别又如何阻止它们呢?
快速判断进程善恶
“进程”显示了所有当前正在运行的进程,包括应用程序、后台服务等。用户在任务管理器中可以看到进程的名称、类型、程序所在路径、CPU和内存占用值、磁盘读取与写入速度、网络流量使用状况等多种参数。当用户的电脑出现诸如程序未响应、CPU占用率过高等常见问题时,只需关闭未响应进程即可解决相应的问题。
不过,对于电脑初学者而言,如果判断一个进程的善恶,并不是件简单的事情。在Windows XP时代,常驻系统中的进程通常不超过30个,而Windows 7及之后的系统,默认启动的进程就高达60个以上。用户很难记住这么多进程,而最简单的获取进程方法就是网络搜索。在Windows 8的任务管理器中,右击进程选择“联机搜索”,系统即可直接通过浏览器搜索该进程的相关信息(如图1),如果是其他系统用户,也可自行以进程名在百度、谷歌中搜索。另外也可借助一些工具来完成,比如AnVir Task Manager(下载地址:http://www.anvir.com/download.htm),用户只需运行该软件,即可自动查找系统中的每个进程并快速找出恶意进程(如图2)。
Tips
常用的电脑管家类工具(如QQ电脑管家、360安全卫士)都拥有进程优化类工具,不过笔者不建议大家用这类一键优化工具。因为此类工具会禁止如共享、打印、蓝牙等非常用的进程启动,但是当用户偶尔使用这类功能,发现无法启动时,很难想到是自己的优化工具在作怪。
从根源阻击恶意进程
在杀毒手段日新月异的今天,我们已经看不到通过进程的方式进入系统的木马病毒了,不过当我们打开任务管理器后,可能会发现自己的进程中被各种自动更新和广告进程所占据。面对这些披着合法外衣的恶意进程当然是要阻止它了,不过很多顽固进程启动非常诡秘,它通常和我们正常启动的程序捆绑启动,让大家烦不胜烦。比如迅雷广告进程、快播的后台更新,即使用户删除了相应的程序文件后,它们仍然会通过主程序自动重新生成。对于这类顽固进程,我们可以使用另类方法将其拦截。
方法1:生成同名文件法
当用户删除那些正在开启的文件时,会得到一个该程序被占用的提示窗口,用户只有将其关闭才能执行删除操作,所以我们也可以通过删除进程的原文件再新建一个让程序无法删除的同名新文件来阻止生成新的程序(如图3)。
实例解读:阻止迅雷广告进程
首先关闭迅雷的主程序,然后进入C:\Program Files\Thunder Network\Thunder\addins\InMediaAddin文件夹,将ThunderMinisite.exe文件删除。然后建立一个文件夹(是文件夹而不是文件),并将该文件夹命名为ThunderMinisite.exe,当迅雷检查到服务器有新的广告弹出时,就会因为程序无法删除,而不再替换新的文件了(如图4)。
方法2:权限拦截
许多讨厌的广告进程,为了避免自己被用户手动关闭,通常都会借助系统自身的程序运行,其中最典型的就是IE的弹出窗口了。许多使用第三方浏览器的用户会发现,自己桌面上弹出的广告网站却在使用IE弹窗。对于不使用IE的用户,可以使用权限的方法阻止它的启动,这样就可以屏蔽IE弹窗了(但不会影响使用IE核心的浏览器)。
实例解读:阻止IE弹窗
打开C:\Program Files\Internet Explorer,然后右击iexplorer.exe文件并依次选择“属性/安全”标签(如图5),从“组或用户名”列表框中选择当前用户对应的账号名称,并在对应用户账号的权限列表框中,将所有用户对IE浏览器的访问权限设置为“拒绝”(需要先取得文件所有权),最后单击“确定”按钮即可(如图6)。
终止篇:结束恶意进程
对于很多顽固进程,如果它启动后通过任务管理器并不能将其终止,此时可以使用其他方法将其终止。
方法1:命令行强行终止
NTSD是一个XP系统中自带的进程强制终止工具,它可以强行终止除System、SMSS.EXE和CSRSS.EXE之外的所有进程。因此如果通过上述方法发现顽固恶意进程无法终止,可以尝试启动命令提示符,然后输入:
ntsd -c q -p 进程名称(如图7)
方法2:批量关闭多个进程
如果有多个恶意进程需要一起关闭,可以使用系统自带的taskill命令。首先打开任务管理器,单击“查看/选择列”,然后在打开的窗口勾选PID(如图8)。
如果发现有多个恶意进程无法终止,首先打开任务管理器,切换到“进程”标签后,记下这些进程的PID名称,再以管理员身份启动命令提示符,输入下列的命令即可即可终止:
Taskkill /f /PID 1 /PID 2 /PID 3
当然也可以通过软件工具来实现,比如上面介绍的AnVir Task Manager。许多木马常常有两个进程,杀掉一个进程后,另一个进程马上又重新将它激活。这时只要在上述程序窗口中按住Ctrl,然后将木马的两个进程同时选中,最后点击Kill process即可批量关闭,再进行后期处理就可以了。
快速判断进程善恶
“进程”显示了所有当前正在运行的进程,包括应用程序、后台服务等。用户在任务管理器中可以看到进程的名称、类型、程序所在路径、CPU和内存占用值、磁盘读取与写入速度、网络流量使用状况等多种参数。当用户的电脑出现诸如程序未响应、CPU占用率过高等常见问题时,只需关闭未响应进程即可解决相应的问题。
不过,对于电脑初学者而言,如果判断一个进程的善恶,并不是件简单的事情。在Windows XP时代,常驻系统中的进程通常不超过30个,而Windows 7及之后的系统,默认启动的进程就高达60个以上。用户很难记住这么多进程,而最简单的获取进程方法就是网络搜索。在Windows 8的任务管理器中,右击进程选择“联机搜索”,系统即可直接通过浏览器搜索该进程的相关信息(如图1),如果是其他系统用户,也可自行以进程名在百度、谷歌中搜索。另外也可借助一些工具来完成,比如AnVir Task Manager(下载地址:http://www.anvir.com/download.htm),用户只需运行该软件,即可自动查找系统中的每个进程并快速找出恶意进程(如图2)。
Tips
常用的电脑管家类工具(如QQ电脑管家、360安全卫士)都拥有进程优化类工具,不过笔者不建议大家用这类一键优化工具。因为此类工具会禁止如共享、打印、蓝牙等非常用的进程启动,但是当用户偶尔使用这类功能,发现无法启动时,很难想到是自己的优化工具在作怪。
从根源阻击恶意进程
在杀毒手段日新月异的今天,我们已经看不到通过进程的方式进入系统的木马病毒了,不过当我们打开任务管理器后,可能会发现自己的进程中被各种自动更新和广告进程所占据。面对这些披着合法外衣的恶意进程当然是要阻止它了,不过很多顽固进程启动非常诡秘,它通常和我们正常启动的程序捆绑启动,让大家烦不胜烦。比如迅雷广告进程、快播的后台更新,即使用户删除了相应的程序文件后,它们仍然会通过主程序自动重新生成。对于这类顽固进程,我们可以使用另类方法将其拦截。
方法1:生成同名文件法
当用户删除那些正在开启的文件时,会得到一个该程序被占用的提示窗口,用户只有将其关闭才能执行删除操作,所以我们也可以通过删除进程的原文件再新建一个让程序无法删除的同名新文件来阻止生成新的程序(如图3)。
实例解读:阻止迅雷广告进程
首先关闭迅雷的主程序,然后进入C:\Program Files\Thunder Network\Thunder\addins\InMediaAddin文件夹,将ThunderMinisite.exe文件删除。然后建立一个文件夹(是文件夹而不是文件),并将该文件夹命名为ThunderMinisite.exe,当迅雷检查到服务器有新的广告弹出时,就会因为程序无法删除,而不再替换新的文件了(如图4)。
方法2:权限拦截
许多讨厌的广告进程,为了避免自己被用户手动关闭,通常都会借助系统自身的程序运行,其中最典型的就是IE的弹出窗口了。许多使用第三方浏览器的用户会发现,自己桌面上弹出的广告网站却在使用IE弹窗。对于不使用IE的用户,可以使用权限的方法阻止它的启动,这样就可以屏蔽IE弹窗了(但不会影响使用IE核心的浏览器)。
实例解读:阻止IE弹窗
打开C:\Program Files\Internet Explorer,然后右击iexplorer.exe文件并依次选择“属性/安全”标签(如图5),从“组或用户名”列表框中选择当前用户对应的账号名称,并在对应用户账号的权限列表框中,将所有用户对IE浏览器的访问权限设置为“拒绝”(需要先取得文件所有权),最后单击“确定”按钮即可(如图6)。
终止篇:结束恶意进程
对于很多顽固进程,如果它启动后通过任务管理器并不能将其终止,此时可以使用其他方法将其终止。
方法1:命令行强行终止
NTSD是一个XP系统中自带的进程强制终止工具,它可以强行终止除System、SMSS.EXE和CSRSS.EXE之外的所有进程。因此如果通过上述方法发现顽固恶意进程无法终止,可以尝试启动命令提示符,然后输入:
ntsd -c q -p 进程名称(如图7)
方法2:批量关闭多个进程
如果有多个恶意进程需要一起关闭,可以使用系统自带的taskill命令。首先打开任务管理器,单击“查看/选择列”,然后在打开的窗口勾选PID(如图8)。
如果发现有多个恶意进程无法终止,首先打开任务管理器,切换到“进程”标签后,记下这些进程的PID名称,再以管理员身份启动命令提示符,输入下列的命令即可即可终止:
Taskkill /f /PID 1 /PID 2 /PID 3
当然也可以通过软件工具来实现,比如上面介绍的AnVir Task Manager。许多木马常常有两个进程,杀掉一个进程后,另一个进程马上又重新将它激活。这时只要在上述程序窗口中按住Ctrl,然后将木马的两个进程同时选中,最后点击Kill process即可批量关闭,再进行后期处理就可以了。