PROCEXP進程管理器簡明使用教程
軟件下載http://nav./safetools/safe_tools/safe/procexp.rar
此工具可以查看當前運行的程序(包括一些windows任務管理器不能看到的隱藏的進程),并殺掉運行進程����,直接運行程序如圖:
圖中各進程以樹形結(jié)構(gòu)顯示,表示他們之間的依附關(guān)系�����。比如我們可以看出����,SvcGuiHlpr.exe這個進程是依附于AcSvc.exe這個進程上的,如果我產(chǎn)殺死AcSvc.exe����,就會同時殺死SvcGuiHlpr.exe。
Windows進程分為兩種:一種是服務程序�����,一種是普通程序����。服務程序是由系統(tǒng)服務所產(chǎn)生的����,他們都依附于一個叫services.exe的進程名下�����;普通程序是由用戶手動運行起來的程序所產(chǎn)生的�����,如WINWORD.EXE,就是用戶運行WORD字處理器產(chǎn)生的�����。如上圖實例����。
普通程序可以用windows自帶的任務管理器關(guān)閉����,而服務程序只能通過服務管理器才能關(guān)閉。然而PROCEXP可以同時殺死服務進程和普通進程���,
殺進程的方法是:右鍵點擊需要殺死的進程����,選擇彈出菜單的“終止進程”項即可,PROCEXP除了可以殺死單個進程外���,還可以殺死整個進程樹���。(PROCEXP殺死進程的功能比較強大,連Winlogon.exe都可以殺掉�����,若你殺掉它���,系統(tǒng)會自動當機���,請謹慎使用)。如下圖:
使用其識別木馬程序的方法:
首先查看是否有可疑進程���,一些木馬使用了windows系統(tǒng)程序名�����,例如:services.exe���,svchost.exe(這些文件在windows\system32目錄下����,一般木馬會放在磁盤根目錄下���,或是windows目錄下)���,另一種情況是某些進程會占用較大的CPU利用率。
看到可疑程序直接在列表中選中�����,右鍵查看屬性�����,或直接雙擊���。
看程序的描述信息,微軟程序或其他正規(guī)程序的描述信息和版本信息一般都很詳細���,若沒有版本信息則很可能是木馬程序���,也有一些木馬寫了跟微軟類似的信息����,此時可以使用數(shù)字簽名校驗功能�����,點擊“驗證”按鈕���,若是微軟的程序會提示(已驗證)�����,如下圖:
對于一般的程序����,Explorer.exe啟動的程序都可以殺掉的����,一般不會引起系統(tǒng)問題。有時電腦會突然彈出消息框或錯誤框����,但又不知道是那個程序彈出的����,可以選擇如圖按鈕按住鼠標左鍵����,把鼠標放在彈出的對話框上,抬起鼠標左鍵工具會自動定位當運行的程序上�����。
在程序的屬性對話框的TCP/IP屬性頁���,我們還可以看到程序訪問的網(wǎng)絡(luò)情況�����,如果是木馬或蠕蟲病毒�����,一般都會打開端口向外發(fā)送數(shù)據(jù)包。
如上圖����,我們演示了查看MSN即時通訊軟件打開的網(wǎng)絡(luò)端口的情況���。這里面我們可以看到它所使用的網(wǎng)絡(luò)協(xié)議,與遠程哪些主機發(fā)生的通訊����,目前連接狀態(tài)等信息。
另外�����,木馬程序一般不會打開WINDOWS窗口����,我們可以通過查看某可疑進程能否切換到對應窗口的辦法來檢查它是否正常。方法:雙擊打開進程屬性后�����,在“映像”標簽中點擊“切換到此程序”按鈕�����,如果屬于正常的普通程序進程�����,系統(tǒng)會自動切換到程序?qū)拇翱谏希绻崾尽拔凑业酱诉M程的可見窗口”�����,則該進程很可能就是木馬了�����。當然���,使用這一方法時����,需要綜合分析�����,因為WINDOWS系統(tǒng)中���,畢竟還是有很多進程����,尤其是服務進程是不會產(chǎn)生WINDOWS窗口的���。如下圖:
可以查看進程使用了那些動態(tài)庫
首先按鍵盤的Ctrl+D組合鍵���,打開查看動態(tài)鏈接庫DLL的窗口,然后選擇某個進程���,此時���,我們就可以在程序中看到該進程所使用的DLL動態(tài)庫文件信息了。如下圖:
發(fā)現(xiàn)可疑程序���,不能確認它是否是病毒或木馬時���,我們還可以在進程名上點擊右鍵后,選擇“Google”項����,直接打開IE幫你搜索網(wǎng)上關(guān)于此程序的信息,這樣可以確認程序是否是木馬�����。
使用PROCEXP需要分析并得到答案的幾個要點:
1、 查看是否有可疑進程���?尤其是否有隱藏進程���?
2、 要分析出這個進程是系統(tǒng)服務還是普通程序產(chǎn)生的����?
3、 進程是否產(chǎn)生了WINDOWS窗口���?
4����、 如果是服務進程����,那么它對應的系統(tǒng)服務名是什么?
5����、 進程對應的程序文件及路徑?
6����、 進程占用CPU和MEM的情況如何���?
7���、 進程的版本信息是否正規(guī)���?
8、 進程是否產(chǎn)生了網(wǎng)絡(luò)行為�����?
9����、 在分析莫名的彈出窗口時,要充分利用PROCEXP的“根據(jù)窗口查找對應進程”的功能����;
10、充分利用網(wǎng)絡(luò)資源查找相關(guān)信息���。
此簡明教程����,僅起到拋磚引玉的作用,關(guān)于其中的各項詳細功能����,請大家自己多多研究,進程分析對查找病毒有莫大的幫助����,同時對進程的分析也并不是一項簡單的事情,需要掌握很多的綜合知識���,大家可以充分利用網(wǎng)絡(luò)和GOOGLE搜索工具����,查找自己所要了解的信息����。
