瞭望進(jìn)程

　　如何知道系統(tǒng)中目前有哪些進(jìn)程?在Windows98/Me/2000/XP/2003中，按下“Ctrl+Alt+Delete”組合鍵就可以直接查看進(jìn)程，或打開“Windows 任務(wù)管理器”的“進(jìn)程”選項(xiàng)來(lái)查看進(jìn)程。通常來(lái)說(shuō)，系統(tǒng)常見的進(jìn)程有winlogon.exe，services.exe，explorer.exe，svchost.exe等。要熟悉進(jìn)程，首先就要熟悉最常見的系統(tǒng)進(jìn)程，這樣當(dāng)發(fā)現(xiàn)其它奇怪的進(jìn)程名(如HELLO，GETPASSWORD，WINDOWSSERVICE等等)時(shí)就方便判斷了。

　　常規(guī)殺滅進(jìn)程法

　　1.有的進(jìn)程在進(jìn)程選項(xiàng)中無(wú)法刪除，這時(shí)可以打開注冊(cè)表編輯器(在“開始→運(yùn)行”中鍵入regedit)，找到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下面的鍵，將可疑的選項(xiàng)刪除。

　　2.另外，還可以通過系統(tǒng)的“管理工具”里面的“服務(wù)”查看目前的全部進(jìn)程。這里重點(diǎn)要看服務(wù)中啟動(dòng)選項(xiàng)為“自動(dòng)”的那部分進(jìn)程，檢查它們的名字、路徑以及登錄賬戶、服務(wù)屬性的“恢復(fù)“里面有沒有重啟計(jì)算機(jī)的選項(xiàng)(有些機(jī)器不斷的重新啟動(dòng)的秘密就在這里)。一旦發(fā)現(xiàn)可疑的名字需要馬上禁止此進(jìn)程的運(yùn)行。

　　而要徹底刪除這些程序進(jìn)程可以用下面的辦法：

　　打開注冊(cè)表編輯器,展開分支“HKEY_LOCAL_MACHINE\SYSTEM\Current\Control SetServices”,在右側(cè)窗格中顯示的就是本機(jī)安裝的服務(wù)項(xiàng)，如果要?jiǎng)h除某項(xiàng)服務(wù)，只要?jiǎng)h除注冊(cè)表中相關(guān)鍵值即可。

　　3.除了上面兩種方法，我們還可以先查看這個(gè)進(jìn)程文件所在的路徑和名稱。重啟系統(tǒng)，按F8鍵進(jìn)入安全模式，然后在安全模式下刪除這個(gè)程序。

　　這里，筆者編寫了容易被大家認(rèn)出來(lái)的非法進(jìn)程服務(wù)(系統(tǒng)進(jìn)程)舉例說(shuō)明：HELLO-WORLD SERVICE 1。我們可以輕松地在進(jìn)程列表和“服務(wù)”中找到它。根據(jù)上面的方法，我們可以把這個(gè)進(jìn)程殺掉或禁用。

　　不少病毒和木馬是以用戶進(jìn)程的形式出現(xiàn)的，所以大部分人認(rèn)為“病毒是不可能獲得‘SYSTEM’權(quán)限的”。其實(shí)，這是個(gè)錯(cuò)誤的想法，很多病毒或木馬也能獲得SYSTEM權(quán)限，并偽裝成系統(tǒng)進(jìn)程出現(xiàn)在你面前。所以這類病毒就相當(dāng)容易迷惑人，遇到這種情況，只有不斷提高并關(guān)注系統(tǒng)安全方面的知識(shí)，才能準(zhǔn)確判斷該進(jìn)程是否安全。