馬振海

在Windows系統(tǒng)運行過程中，用戶或許會經(jīng)常遇到文件窗口打開速度遲鈍或者系統(tǒng)桌面突然假死現(xiàn)象。面對各種運行不正?，F(xiàn)象，用戶往往會下意識打開任務(wù)管理器窗口，在進(jìn)程標(biāo)簽頁面中，對一些不正常的系統(tǒng)進(jìn)程查殺或控制?？墒?，當(dāng)發(fā)現(xiàn)Windows系統(tǒng)中的陌生進(jìn)程數(shù)量增加很多時，按照常規(guī)方法管控它們，工作效率就不會很高。而且有的陌生進(jìn)程還很頑固，普通方法根本奈何不了它們。這時，我們該如何為系統(tǒng)進(jìn)程管理傳遞正能量，確保系統(tǒng)始終處于一種“干凈”狀態(tài)，既安全又高效地運行呢？

找出危險進(jìn)程

不少狡猾的惡意程序經(jīng)常會精心偽裝，將有威脅的進(jìn)程假冒成普通的系統(tǒng)進(jìn)程，來躲開殺毒軟件或用戶的全面“圍剿”。所以，要讓系統(tǒng)進(jìn)程安全高效運行，首先要做的工作，自然就是判斷陌生進(jìn)程是否安全，并將真正有安全威脅的進(jìn)程及時從系統(tǒng)中揪出來。

識別危險等級

病毒木馬進(jìn)程不同，它們對Windows系統(tǒng)造成的安全威脅等級也會不同，要是發(fā)現(xiàn)計算機中存在陌生進(jìn)程“身影”時，相信用戶肯定很想了解它們的危險等級究竟有多大。使用TaskPatrol工具，就能幫助用戶直觀地識別出陌生進(jìn)程的來龍去脈，準(zhǔn)確判斷進(jìn)程的危險等級；當(dāng)確認(rèn)陌生進(jìn)程危險等級很高時，可以及時將十分危險的陌生進(jìn)程刪除掉，以保證其不會繼續(xù)干擾系統(tǒng)的安全穩(wěn)定運行。

從Internet網(wǎng)絡(luò)中下載安裝好TaskPatrol程序，開啟它的運行狀態(tài)，進(jìn)入對應(yīng)程序主操作界面，如圖1所示。檢查“security rating”列信息，用戶能發(fā)現(xiàn)計算機系統(tǒng)中所有進(jìn)程的安全危險等級，已經(jīng)以進(jìn)度條方式被直觀表達(dá)出來，按照從左向右的順序，不難看出每個進(jìn)度條顏色由綠色漸漸變成紅色，而且在進(jìn)程的進(jìn)度條左側(cè)區(qū)域，還能看到所有程序進(jìn)程的危險威脅系數(shù)，通過比較這些系數(shù)的大小，用戶更能直接地識別出哪些進(jìn)程是安全的，哪些進(jìn)程是危險的。正常情況下，某個進(jìn)程的安全威脅系數(shù)越小時，那就表明對應(yīng)進(jìn)程的安全等級程度越高，Windows系統(tǒng)的所有核心進(jìn)程，其安全威脅系數(shù)應(yīng)該都為“0”才對。當(dāng)看到某個陌生進(jìn)程的安全威脅系數(shù)數(shù)值十分高時，我們應(yīng)該毫不猶豫地認(rèn)定它對系統(tǒng)的安全威脅十分巨大，為了不讓它繼續(xù)攻擊系統(tǒng)，不妨用鼠標(biāo)右鍵單擊它，選擇快捷菜單中的“terminate process”選項，這樣TaskPatrol工具就能自動禁止它的啟動運行。

要想搞明白危險進(jìn)程的破壞力在何處時，可以選中目標(biāo)危險進(jìn)程，并用鼠標(biāo)右擊之，從彈出快捷菜單中執(zhí)行“reanalyze”命令，那么TaskPatrol工具就會對特定進(jìn)程的危險性進(jìn)行自動分析。除了通過右鍵菜單命令，分析危險進(jìn)程的攻擊性外，也能在選中特定進(jìn)程的情況下，選中主操作界面底部分析欄位置處的“security analysis”選項，得到相關(guān)進(jìn)程的安全分析結(jié)果。一般來說，危險程序的進(jìn)程類型不同，它們對系統(tǒng)的破壞性也會不同，利用“process function”選項功能，可以判斷出危險進(jìn)程是否有自動運行、分析、操作其他系統(tǒng)進(jìn)程的本領(lǐng)，從而識別出它對Windows系統(tǒng)正常進(jìn)程的控制力有多強。利用“monitoring functions”選項功能，用戶能了解到危險進(jìn)程有沒有偷偷監(jiān)視本領(lǐng)，比方說有的惡意進(jìn)程可以悄悄將鍵盤輸入內(nèi)容攔截下來，通過這里的分析結(jié)果，用戶可以知道陌生進(jìn)程對系統(tǒng)底層有沒有一定的控制力。利用“registry function”功能選項，用戶可以洞察出危險進(jìn)程能否操縱控制系統(tǒng)注冊表，比方說能否對注冊表分支或鍵值內(nèi)容進(jìn)行編輯、查詢、訪問、刪除等。利用“file function”功能選項，用戶可以查明陌生進(jìn)程是否對計算機文件有控制力，比方說對重要文件偷偷執(zhí)行重命名、搜索、刪除、定位、復(fù)制、移動、修改等操作。利用“internet function”功能選項，可以判定危險進(jìn)程能否影響計算機網(wǎng)絡(luò)連接功能等。

判斷安全類型

從安全性角度來看，我們可以將危險進(jìn)程的安全性分成未知安全、不安全、一般安全、非常安全等類型，Windows系統(tǒng)的核心進(jìn)程應(yīng)該劃歸為非常安全類型，安裝在計算機中的所有應(yīng)用程序進(jìn)程默認(rèn)會被劃分為一般安全類型，病毒木馬進(jìn)程應(yīng)該劃歸為不安全類型，那些沒有經(jīng)過微軟數(shù)字簽名認(rèn)證或存在BUG的設(shè)備驅(qū)動程序，常常被劃歸為未知安全類型。那么面對Windows系統(tǒng)中的眾多進(jìn)程，如何才能快速有效地判斷出本地計算機中的每一個進(jìn)程，究竟屬于什么安全類型呢？Security Process Explorer這款專業(yè)工具就能幫助我們識別出進(jìn)程的安全類型，它通過不同的顏色色塊，標(biāo)識每個進(jìn)程的不同安全類型，日后只要觀察顏色色塊，就能直觀識別出各個進(jìn)程屬于哪種安全類型了。比方說，該工具利用空白色塊標(biāo)識未知安全進(jìn)程類型，用綠中帶紅色塊標(biāo)識一般安全進(jìn)程類型，用純綠色色塊標(biāo)識安全進(jìn)程類型，用純紅色色塊標(biāo)識不安全進(jìn)程類型。

開啟Security Process Explorer工具的運行狀態(tài)后，計算機中的所有程序進(jìn)程都會被自動列寫出來，如圖2所示。在這里，我們不難看出不同安全類型的進(jìn)程，使用了不同的顏色色塊，通過觀察顏色色塊，就能十分輕松地揪出潛藏在本地計算機中可能有安全風(fēng)險的陌生進(jìn)程。比方說，要是看到計算機中潛藏有若干個標(biāo)識為紅色色塊的進(jìn)程時，那就意味著本地計算機或許已受到病毒木馬程序的攻擊，為了查看這類不安全類型進(jìn)程的詳細(xì)信息，只要用鼠標(biāo)右鍵單擊紅色色塊進(jìn)程選項，點擊快捷菜單中的“詳細(xì)信息”命令，彈出不安全進(jìn)程的詳細(xì)信息查看對話框。在該對話框中，用戶能查看到危險進(jìn)程的許多狀態(tài)信息，包括具體的進(jìn)程名稱、進(jìn)程開發(fā)公司名稱、進(jìn)程標(biāo)識ID以及進(jìn)程運行優(yōu)先級等信息。選擇“用到的模塊”標(biāo)簽，我們可以在目標(biāo)標(biāo)簽設(shè)置頁面中，發(fā)現(xiàn)到危險進(jìn)程究竟訪問了本地計算機中的哪些動態(tài)鏈接庫文件，通過這些內(nèi)容，我們能夠準(zhǔn)確識別出危險進(jìn)程到底是不是病毒木馬進(jìn)程了。當(dāng)確認(rèn)某個進(jìn)程是不安全進(jìn)程時，只要用鼠標(biāo)選中它，點擊“屏蔽進(jìn)程”按鈕，將選中進(jìn)程的運行狀態(tài)立即禁止掉，同時將其添加到進(jìn)程運行屏蔽列表中，保證這些危險進(jìn)程日后不能自動開啟運行。

當(dāng)利用Security Process Explorer工具自身的力量，還無法準(zhǔn)確識別出危險進(jìn)程是否為病毒木馬程序時，不妨上網(wǎng)搜索危險進(jìn)程名稱，來獲取它的更詳細(xì)信息，以便進(jìn)一步判斷出危險進(jìn)程的危害性在什么地方，同時查詢出徹底禁止危險進(jìn)程運行的解決辦法。將列寫在主界面中的危險進(jìn)程選中，點擊“更多信息”按鈕，打開新的網(wǎng)頁窗口，該窗口會將危險進(jìn)程的所有詳細(xì)信息查找顯示出來，包括其他用戶使用該進(jìn)程后的評價內(nèi)容等，當(dāng)然這些內(nèi)容基本都以英文方式顯示，英文水平不高的用戶訪問起來，或許有一定的困難。

截殺危險進(jìn)程

當(dāng)確認(rèn)Windows系統(tǒng)中的確存在病毒進(jìn)程時，很多人會用任務(wù)管理器中的“結(jié)束進(jìn)程”命令，嘗試截殺這些病毒進(jìn)程，然而有的時候，系統(tǒng)卻提示我們不能結(jié)束指定進(jìn)程。遭遇這類問題時，難道我們只能眼睜睜地看著病毒進(jìn)程肆意發(fā)作，而無可奈何嗎？

手工截殺進(jìn)程

在Windows XP系統(tǒng)環(huán)境下，利用系統(tǒng)自帶的taskkill命令，就能查殺一些狡猾的病毒進(jìn)程。在手工查殺進(jìn)程之前，首先要打開系統(tǒng)的任務(wù)管理器窗口，切換到進(jìn)程列表頁面，將病毒進(jìn)程的具體名稱記憶下來，假設(shè)該名稱為“conime.exe”。其次逐一點擊“開始”|“運行”選項，切換到系統(tǒng)運行對話框，輸入“cmd”命令并回車，彈出MS-DOS工作窗口。在該窗口命令行中，輸入“taskkill /im conime.exe”命令，單擊回車鍵，當(dāng)Windows系統(tǒng)返回如圖3所示的結(jié)果信息時，那就表示指定進(jìn)程已被成功截殺了。

如果遇到更頑固不化的病毒進(jìn)程時，還能利用Windows系統(tǒng)自帶的“ntsd”命令，強制截殺所有病毒進(jìn)程，該命令除了不能截殺少數(shù)幾個系統(tǒng)核心進(jìn)程外，例如System、SMSS、CSRSS等進(jìn)程，其他一切進(jìn)程它都能搞定。在使用該命令截殺頑固病毒進(jìn)程時，首先要進(jìn)入系統(tǒng)任務(wù)管理器窗口，依次選擇“查看”|“選擇列”命令，切換到如圖4所示的設(shè)置對話框，選中“PID（進(jìn)程標(biāo)識符）”選項，確認(rèn)后返回系統(tǒng)進(jìn)程標(biāo)簽頁面，在這里將無法直接查殺的頑固病毒進(jìn)程PID記憶下來。

之后再次打開系統(tǒng)運行對話框，輸入“cmd”命令并回車，彈出MS-DOS工作窗口，輸入“ntsd -c q -p PID”命令，就能將特定PID的頑固病毒進(jìn)程殺死了。比方說，某病毒進(jìn)程PID為“1234”時，那么只要執(zhí)行“ntsd -c q -p 1234”命令，就能將頑固病毒進(jìn)程截殺掉了。

批量截殺進(jìn)程

很多狡猾的病毒木馬程序發(fā)作運行時，有時會在Windows系統(tǒng)的不同文件夾中，自動創(chuàng)建多個關(guān)聯(lián)進(jìn)程文件，利用任務(wù)管理器單打獨斗地管理進(jìn)程時，既很難將關(guān)聯(lián)進(jìn)程刪除干凈，又不利于提高工作效率。而借助KillProcess這款外力專殺工具，我們可以不費吹灰之力，將若干個分散在不同位置的病毒進(jìn)程高效截殺干凈。

打開KillProcess程序的主操作界面后，我們能在這里看到系統(tǒng)中所有的進(jìn)程選項，使用Ctrl功能鍵，將那些占用系統(tǒng)資源十分高的可疑進(jìn)程和病毒進(jìn)程全部選中，如圖5所示，用鼠標(biāo)右擊所有已被選中的進(jìn)程，執(zhí)行快捷菜單中的“Kill Process”命令，這時分散在不同位置處的關(guān)聯(lián)病毒進(jìn)程，就會被KillProcess程序自動截殺干凈了。當(dāng)然，將待截殺的若干個病毒進(jìn)程選中后，我們也能在主程序界面中直接點擊工具欄中的“Kill the selected Process”按鈕，選擇下拉菜單中的“Kill selected Process”命令，再按“是”按鈕，將所有選中的散亂病毒進(jìn)程在轉(zhuǎn)瞬之間截殺干凈。

一鍵截殺進(jìn)程

如果需要截殺的病毒進(jìn)程數(shù)量太多，例如同時要查殺幾十個，甚至上百個病毒進(jìn)程時，采用依次選中再殺死的方法，顯然要耗費很長的時間。能不能找到一種合適辦法，只要通過一鍵就能將Windows系統(tǒng)中所有無關(guān)的進(jìn)程截殺干凈呢？利用“進(jìn)程截殺器”工具，就能收獲這樣的截殺效果。

開啟“進(jìn)程截殺器”工具的運行狀態(tài)，在彈出的結(jié)束程序列表中（如圖6所示），我們會看到所有可能對系統(tǒng)運行速度有影響的進(jìn)程，都已經(jīng)被“進(jìn)程截殺器”智能分析選中，而不需要用戶手工選中，我們所要做的就是依照實際需求，將一些沒有必要刪除的進(jìn)程取消選中，再點擊程序界面中的“開始優(yōu)化”按鈕，等到優(yōu)化操作結(jié)束后，所有被選中的進(jìn)程都被“進(jìn)程截殺器”工具一鍵截殺了，這時我們能感覺到系統(tǒng)運行速度明顯快多了。

當(dāng)“進(jìn)程截殺器”工具處于智能分析狀態(tài)時，它會自動將QQ之類的可信進(jìn)程保留下來，要想為其他可信進(jìn)程授予免殺權(quán)限時，不妨逐一點擊“功能”、“手動添加必備進(jìn)程”選項，在其后彈出的進(jìn)程列表中選擇性地添加，這些手工添加的進(jìn)程選項，在日后的智能分析過程中，是不會被工具自動選中的。

倘若感覺到智能分析模式還不夠?qū)嵱脮r，不妨選中主界面底部區(qū)域的“極限模式”選項，并按下“開始優(yōu)化”按鈕，這樣“進(jìn)程截殺器”工具會自動將計算機中的所有非系統(tǒng)進(jìn)程選中。當(dāng)然，在執(zhí)行截殺操作時，該工具還會依次彈出提示對話框，詢問我們是否真的要刪除目標(biāo)進(jìn)程選項，以避免出現(xiàn)誤殺現(xiàn)象。

自動截殺進(jìn)程

有些危險進(jìn)程被截殺之后，還可能會“卷土重來”，這些頑固病毒進(jìn)程，除了會搶用寶貴的系統(tǒng)資源，還會強行跟隨系統(tǒng)自動啟動運行。為了高效截殺這種類型進(jìn)程，我們可以使用KillProcess工具記錄下它們的進(jìn)程名稱，然后將這些“無恥之徒”全部請進(jìn)頑固進(jìn)程黑名單，日后只要一鍵就能自動截殺所有特定的頑固進(jìn)程，以達(dá)到阻止他們反復(fù)發(fā)作運行的目的。

KillProcess工具啟動運行后，在其主界面中會顯示所有的進(jìn)程名稱，從列表中找到會反復(fù)發(fā)作運行的病毒進(jìn)程，用鼠標(biāo)右鍵單擊它們，從彈出的快捷菜單中選擇“Add to List”命令，這樣KillProcess工具會自動創(chuàng)建好進(jìn)程黑名單列表，并在默認(rèn)狀態(tài)下會將黑名單列表取名為“killlist.lst”，先前處于選中狀態(tài)的頑固病毒進(jìn)程將會自動出現(xiàn)在黑名單中。

對于那些沒有顯示在KillProcess進(jìn)程列表中的病毒進(jìn)程，只要按下主程序界面中的“Edit the Kill List”按鈕，進(jìn)入如圖7所示的黑名單進(jìn)程編輯界面，在“Add Process to Kill List”位置處輸入待截殺的頑固病毒進(jìn)程名稱，點擊“Add”按鈕，將其添加到到黑名單進(jìn)程列表中。按照相同的操作，將其他容易反復(fù)發(fā)作運行的進(jìn)程逐一加入到黑名單進(jìn)程列表中，最后按“OK”按鈕執(zhí)行設(shè)置保存操作。

日后，當(dāng)位于黑名單中的頑固病毒進(jìn)程嘗試發(fā)作運行時，它們會受到KillProcess工具的制約，只要按下對應(yīng)程序界面中的“Terminate Process in the Kill List”按鈕，確認(rèn)后就能自動將它們快速截殺干凈了。

有效管理進(jìn)程

1. 保留關(guān)鍵進(jìn)程

在Windows系統(tǒng)中進(jìn)行一些特殊操作時，可能需要消耗很多系統(tǒng)資源，這時如果能夠?qū)⑾到y(tǒng)中許多無關(guān)的進(jìn)程臨時關(guān)閉掉，或許會節(jié)省一些系統(tǒng)資源，那么系統(tǒng)運行起來自然就會更加流暢。如何才能實現(xiàn)這個目的呢？如果采用手工方法依次暫停眾多無關(guān)進(jìn)程選項時，一次兩次還是可以的，如果次數(shù)多了顯然就不合適了。而使用KillProcess工具，可以輕松化解上述難題，通過該工具獨特的保留關(guān)鍵進(jìn)程功能，我們能十分方便地為一些消耗系統(tǒng)資源很大的操作，提供相對“干凈”的進(jìn)程工作環(huán)境，以便提高系統(tǒng)工作效率。

例如，要是本地計算機安裝使用的是Windows XP系統(tǒng)，要將該系統(tǒng)中一些無關(guān)進(jìn)程快速暫停運行時，只要在KillProcess主程序界面中，打開“Current List”下拉列表，從中選擇Windows XP系統(tǒng)，這時對應(yīng)該系統(tǒng)的所有關(guān)鍵進(jìn)程會被列寫出來，同時會被自動選中，按下“Terminate Process in the Kill List”按鈕，再不停點擊“是”按鈕，那么KillProcess工具就會自動將Windows XP系統(tǒng)的幾個核心進(jìn)程保留下來，其他的進(jìn)程選項全部會被強行暫停運行。此時，一個相對“干凈”的進(jìn)程環(huán)境就被營造出來了，在該環(huán)境下進(jìn)行特殊操作，效率可能會高一些。

2. 智能調(diào)整進(jìn)程

大家知道，如果若干系統(tǒng)進(jìn)程同時啟動運行，勢必會消耗很多系統(tǒng)資源，嚴(yán)重時能造成有限的系統(tǒng)資源不夠分配，從而引起系統(tǒng)假死或進(jìn)程停止響應(yīng)故障。在系統(tǒng)資源不“富?！钡那闆r下，我們有必要對眾多進(jìn)程的運行優(yōu)先級進(jìn)行合理控制，讓它們有序錯開運行，以保證系統(tǒng)運行安全、平穩(wěn)。要做到這一點，不妨“請”Process Lasso工具幫忙，它能對所有系統(tǒng)進(jìn)程的運行優(yōu)先級進(jìn)行智能調(diào)整，確保為系統(tǒng)運行減負(fù)。

除了可以對進(jìn)程優(yōu)先級進(jìn)行動態(tài)調(diào)整外，我們還能根據(jù)實際需求，手工調(diào)整重要進(jìn)程的運行優(yōu)先級。在進(jìn)行這項操作時，不妨先開啟Process Lasso工具的運行狀態(tài)，在其后彈出的所有進(jìn)程列表頁面中，用鼠標(biāo)選中某個需要優(yōu)先啟動的重要進(jìn)程，并用右鍵單擊之，點擊快捷菜單中的“默認(rèn)優(yōu)先級（每次運行）”命令，這樣目標(biāo)進(jìn)程選項就會被自動調(diào)整為默認(rèn)優(yōu)先級，日后該進(jìn)程就能比其他進(jìn)程優(yōu)先啟動運行了。要想臨時性改變某個進(jìn)程的運行優(yōu)先級時，只要用鼠標(biāo)右鍵單擊目標(biāo)進(jìn)程選項，點擊如圖8所示快捷菜單中的“設(shè)置當(dāng)前優(yōu)先級”命令，再選擇下級菜單中的特定等級即可，當(dāng)然，該設(shè)置在系統(tǒng)重啟后會無效。