问1、请问什么是进程，进程有哪些类型，哪些进程是系统启动运行时的必需进程？
    答：进程其实指的是应用程序在系统中的一次执行过程，每运行一个应用程序时，系统就会自动启动一个对应该程序的进程。进程一般分为两种类型，一种是系统进程，另外一种是用户进程，其中所有系统进程都是用来维护操作系统各个功能正常运行的，它们都需要处于运行之中，而不允许被自由停用，不然操作系统将不能正常启动运行。正常来说，Win2000以上版本系统必须要开启csrss.exe、lsass.exe、winlogon.exe、explorer.exe、spoolsv.exe、svchost.exe这几个进程。

问2、从安全性角度来看，系统进程一般分为未知安全、不安全、一般安全、非常安全这几类，其中系统核心进程多属于非常安全类型，常见应用程序进程属于一般安全类型，病毒木马程序进程属于不安全类型，那些没有通过微软数字签名认证或存在BUG的驱动程序属于未知安全类型。但是上面分类没有严格界定标准，请问能否找到一种办法，直观地识别出每一个进程究竟属于哪种安全类型呢？
    答：可以请Security Process Explorer工具来帮忙！只要在该程序界面中，仔细观察每个进程颜色色块，就能识别出它们的安全类型了。比方说，该程序会用纯红色色块标识不安全类型进程，用纯绿色色块标识安全类型进程，用绿中带红色块标识一般安全类型进程，利用空白色块标识未知安全类型进程。打开Security Process Explorer程序界面后，所有系统进程会被自动搜索显示出来，同时使用不同颜色色块标识，对照颜色标志就能直观地找出本地系统中可能存在的安全威胁了。比方说，要是看到系统中有红色色块进程时，那就意味着系统可能已经感染了病毒木马，为了获取危险进程的详细信息，还能右击不安全类型的进程选项，执行右键菜单中的“详细信息”命令，弹出病毒木马进程的详细信息查看页面。在这里，就能查看到不安全进程的运行优先级、公司名称、进程标识ID、进程具体名称等信息了。选择“用到的模块”标签，在对应标签页面中，可以查看到不安全进程调用了哪些动态链接库文件，通过这些信息，有利于识别出不安全进程究竟是不是病毒木马进程了。对于已经确认了的不安全进程，可以将其选中，同时单击“屏蔽进程”按钮，强行结束它们的运行状态，并将它们添加到屏蔽列表中，阻止它们无法跟随Windows系统自动启动。要是从已有信息中，还无法识别出不安全进程是否是病毒木马时，不妨上网搜索它们的更完整信息，从而识别出不安全进程的攻击性到底有多大，并搜索出清除它们的解决办法。要搜索不安全进程的网上信息时，可以单击“更多信息”按钮，随后屏幕上会出现一个网页窗口，该窗口中会显示对应进程的所有信息内容，包括用户对它的评价信息等。

问3、近日，笔者启动自己的计算机时，发现系统音量有点不正常，尝试点击任务栏右下方的音量图标后，系统屏幕上竟然弹出了若干个音量控制图标。立即通过Crtl+Alt+Del组合键打开系统任务管理器，看到进程标签页面中包含了百十个sndvol32.exe进程，尽管它们消耗的CPU资源不是很多，不过系统内存资源却被消耗很多，怎样快速关闭这么多进程呢？
    答：考虑到这类进程没有工作窗口，不能利用任务栏来关闭组，如果在系统任务管理器界面中依次删除，又会消耗很多时间。事实上，利用Windows系统自带的taskkill工具，可以轻松批量关闭那些失控的进程。在进行这项操作时，依次单击“开始”、“运行”命令，在弹出的系统运行对话框中，执行“cmd”命令，切换到DOS命令行工作窗口，在该窗口中先使用“taskkill /？”命令，熟悉一下该命令的使用方法，了解到通过“/f”参数能强制关闭系统进程，通过“/im”参数可以指定要关闭的进程名称。之后，在命令行提示符下尝试执行“taskkill /f /im sndvol32.exe”命令，发现百十个sndvol32.exe进程瞬间就被关闭了，显然这种关闭进程的方法真是高效。同样地，对于其他无法在任务管理器中直接关闭的失控进程来说，我们也可以使用taskkill工具批量关闭它们。例如，如果IE浏览器突然失去任何响应，在任务管理器窗口中也不能关闭它时，只要在DOS命令行中输入“taskkill /f /im iexplore.exe”命令并回车即可。

问4、在Win2000以上版本系统环境中，利用其内置的Windows任务管理器程序，可以很方便地查看每一个进程的详细信息，比方说进程消耗CPU资源和内存资源的多少、进程的调用者名称、进程的具体编号等。可是，在Win9x之类的低版本操作系统中，用户却不能利用系统自有的功能，来查看系统中正在运行的进程详细信息，只能查看到处于运行状态的进程名称，请问如何让低版本系统也能查看到进程的详细信息呢？
    答：只要从网上下载获得第三方工具“Windows任务管理器”，将其正确安装到Win9x或WinMe操作系统中，启动运行该程序后，一个与任务管理器完全一样的界面就出现了，在该界面中用户就能查看系统中正在运行进程的详细信息了，通过这些信息或许能识别潜藏在系统中的病毒和木马程序。

问5、适当暂停一些无关紧要的服务进程，能有效提高Windows系统的运行效能。一般情况下，用户只能暂停本地系统中的服务进程，那么有没有办法远程暂停其他系统中的服务进程呢？
    答：可以利用“逍遥游网络大管家”之类的专业工具，来远程暂停服务进程。首先下载安装好“逍遥游网络大管家”工具，从系统“开始”菜单中启动运行它，随后该工具就会自动对整个局域网进行搜索，并将所有在线的主机名称都显示出来。用鼠标右击目标主机系统名称，逐一点选右键菜单中的“远程操作管理”、“任务查看禁用”命令，切换到客户端任务管理器设置框，在这里能看到目标主机系统所有正在运行的服务进程，选中需要暂停的某个进程名称，按下“结束任务”选项按钮，被选中的进程就会被暂停运行了。如果想控制某个服务进程被继续使用时，只要先选中这个服务进程，按下“锁定对象”选项按钮即可，以后想继续使用该服务进程时，再按下“解锁对象”按钮就OK了。

问6、一些狡猾的病毒木马，时常会通过伪装之术，来将病毒进程模仿成普通进程，以躲避杀毒软件或用户手工的查杀。那么，能否找到一种办法，来快速发现伪装的危险进程，并准确判断进程的危险等级呢？
    答：通过TaskPatrol进程管理工具，用户就能一眼看穿系统进程的来龙去脉，并有效判断出进程的危险等级！在识别危险进程时，先开启运行TaskPatrol程序，从主程序面的“security rating”列中，用户能看到所有进程的威胁程度都以进度条方式被显示了出来，按照从左向右的顺序，进度条颜色会由绿色渐变成红色，并且每个进程的安全等级数值也会被标示出来，根据这些数值大小就可以弄清楚所有进程的安全危险等级了。正常情况下，某进程安全数值越小，就说明它的安全性越高，所有核心系统进程安全等级全为“0”。对于安全数值高的进程来说，它们是系统中的潜在威胁，我们可以右击它，执行右键菜单中的“terminate process”命令，关闭它们的运行状态，防止它们威胁系统安全。
    要想识别某个进程究竟有多危险时，可以右击该进程名称，从右键菜单中选择“reanalyze”选项，TaskPatrol程序就能分析该进程的安全程度了。例如，利用程序的“monitoring functions”功能，用户能识别特定进程是否具有监视特征，比方说有的病毒木马程序可以拦截键盘输入，在这里用户可以看出该进程对系统底层控制力到底有多大。利用程序的“file function”功能，用户可以分析出指定进程有没有重命名、删除、定位、修改、查询、复制文件等功能，从而识别出指定进程对文件系统的管理力有多强。利用程序的“process function”功能，可以分析出指定进程有没有分析、运行、操作其他进程的本领，从而识别出该进程对其他进程的操控力有多深。

问7、一些顽固的病毒进程，往往在任务管理器窗口中使用“结束进程”命令，是无法被结束的，即使使用taskkill工具有时也无法关闭它们，这该如何是好呢？
    答：此时可以尝试使用Windows系统的另外一个内置命令——ntsd，来强行结束顽固病毒进程，该命令基本能对付一切进程。在使用该命令关闭病毒进程之前，必须先搜索到病毒进程的具体进程号。任务管理器窗口默认是不显示具体进程号的，用户可以先在系统任务管理器中，依次点击“查看”、“选择列”命令，选中其后界面中的“PID（进程标识符）”选项，确认之后返回到系统进程列表页面，这样就能查看到病毒进程的具体PID了。下面切换到系统运行对话框中，输入“cmd”命令并回车，弹出MS-DOS工作窗口，在命令提示符状态执行“ntsd -c q -p PID”命令，就能强行结束指定PID的病毒进程了。比方说，如果看到病毒进程PID为“123”时，那么输入“ntsd -c q -p 123”命令，就能强行结束指定病毒进程了。

问8、不少DLL木马都是利用Rundll32.exe进程载入到Windows系统中的，要是能知道Rundll32.exe进程当前究竟向Windows系统导入了哪些DLL文件时，说不定就能将潜藏的DLL木马找出来了，请问如何查看Rundll32.exe进程加载的DLL文件信息呢？
    答：利用Windows系统内置的WMIC命令可以很轻松做到这一点，具体查看步骤为：依次单击“开始”、“运行”命令，弹出系统运行框，输入“WMIC”命令，按回车键后，Windows系统会自动安装WMIC，同时打开MS-DOS工作窗口，将DOS命令提示符变成“wmic:root\cli>”，之后在该命令提示符下输入“process where[description="rundll32.exe"]”命令并回车后，就能看到Rundll32.exe进程导入的所有DLL文件了。同样地，要是想查看其他进程导入了哪些DLL文件时，只要将上述命令中的“rundll32.exe”换成指定进程名称即可。要是在“wmic:root\cli>”提示符下，仅输入“process”命令时，可以查看所有活动进程的命令行参数，通过该方法有时能查看到任务管理器中不能显示的隐藏进程。

问9、遇到陌生进程时，用户都想获取该进程的详细信息，不过，任务管理器中显示出来的进程信息比较简单，请问如何快速获取活动进程的所有信息？
    答：利用Windows系统自带的系统信息查看功能就能做到这一点，遗憾的是该方法很少有人使用。在使用该方法查看进程详细信息时，首先打开系统“开始”菜单，从中逐一点选“所有程序”、“附件”、“系统信息”选项，进入本地计算机系统信息列表界面，其次在该列表界面的左侧子窗格中，将鼠标定位到“系统摘要”、“软件环境”、“正在运行任务”节点上，在目标节点下我们就能查看到所有活动进程的ID标识号、优先级、路径、名称、开始时间、最小工作设置、最大工作设置、版本信息等内容。特别是利用“路径信息”，用户还能直观地识别类似“Svchost.exe”这类系统进程的真实面貌。要是看到有伪装的系统进程存在时，应该将它的进程ID记忆下来，之后在任务管理器窗口中，利用其中的结束进程命令将伪装的进程结束掉，以避免伪装进程给本地系统带来安全威胁。

问10、有的病毒进程支持自我复制功能，它在启动运行时调用的进程数常常不止一个，要是强行结束其中一个，它又会被其他关联进程自动生成，请问如何结束这类病毒进程？
    答：要结束这类顽固进程，可以利用任务管理器界面中的“结束进程树”命令来实现。比方说，用户可以在系统任务管理器界面中，点选“进程”标签，在对应标签设置页面中，选中其中一个病毒进程，用鼠标右击该进程名称，从弹出的右键菜单中选择“结束进程树”命令，就能自动将病毒调用的所有相关进程全部结束了。

问11、如果看到系统存在陌生进程，用户可能很想知道该陌生进程究竟是哪个用户在调用，可是打开任务管理器的进程标签页面后，发现其中没有“用户名”列表信息，请问如何找回消失的“用户名”信息？
    答：首先打开任务管理器界面中的进程标签页面，依次单击菜单栏中的“查看”、“选择列”命令，检查其后界面中的“用户名”选项是否处于选中状态，一般来说，选中“用户名”选项后，就能在进程标签设置页面中见到“用户名”列表信息了。如果上述设置完成后，用户还是不能看到系统进程的“用户名”信息时，不妨单击“开始”、“运行”命令，在系统运行文本框中执行“services.msc”命令，切换到到系统服务列表窗口，从中找到“Terminal Service”服务选项，用鼠标双击该服务选项，弹出“Terminal Service”服务属性对话框，在该对话框的常规选项设置页面中，先检查“Terminal Service”服务是否已经停止运行了，要是看到该服务被停止运行时，应该立即按下“启动”按钮将其重新启动运行，这样用户就能在系统进程页面中查看到陌生进程的使用者信息了。

问12、打开系统进程标签页面后，有时能看到若干个svchost进程，请问这些进程作用相同吗，为什么系统中会同时出现这么多名称相同的进程呢？如何识别出危险的svchost进程呢？
    答：不相同！Microsoft主要是借助svchost.exe进程运行系统动态链接库文件的，并通过该方式开启系统服务。有的病毒木马程序为了躲避杀毒软件的追杀，往往会将恶意文件伪装成svchost进程。为了能识别出有危险的svchost进程，可以通过Svchost Process Analyzer这款专业进程分析程序来帮忙，利用它的svchost进程识别功能，就能轻松识别出svchost进程是否安全了。在进行识别操作时，先启动运行Svchost Process Analyzer程序，之后该程序会自动对本地正在运行的所有svchost进程进行扫描分析，很快分析出来的结果信息就会被显示出来。要是某个svchost进程有危险，那么用户会看到该进程是以红颜色凸出标识的，所以用户一旦看到红颜色的svchost进程，就能识别出该svchost进程是有危险的进程，一定要对它执行更进一步的安全检测操作。如果要查看svchost进程的详细分析信息，只要单击结果界面中的“Detail”按钮，就能看到该进程的作用、运行路径以及其他一些信息了。

问13、有时，计算机系统会将某个进程重复加载若干次，请问为什么会出现这种不正常的现象？
    答：这种不正常现象往往是由系统内存资源不足造成的。Windows系统在运行应用程序时，一定要将应用程序先加载到内存中，不过物理内存的容量毕竟有限，如果运行的应用程序数量比较多时，可能会出现内存装不下的现象。此时，Windows系统会自动将暂时用不到的应用程序交换到硬盘中，不过要是不凑巧的话，在某个时刻若干个应用程序突然并发运行时，物理内存会在瞬间周转不过来，从而进入死循环状态，这就有可能引起某个进程重复加载若干次的不正常现象。除此而外，还有两种因素能造成上面的现象：一是应用程序自身存在BUG，二是Windows系统遭遇到了病毒的攻击。

问14、计算机运行时间长了后，系统会生成若干个进程，而很多进程一点作用也没有，相反还会消耗系统宝贵资源，影响系统运行性能。为此，很多用户常常利用手工方式来关闭无用进程，可是这种操作方式工作量很大，不利于提高工作效率，而且也能关闭干净。请问如何快速关闭所有无用进程，还系统一个相对“干净”的工作环境呢？
    答：KillProcess工具可以帮助用户实现目的。首先下载安装好该工具程序，打开该程序主界面后，系统所有进程会被自动搜索显示出来，按下“Current List”下拉按钮，选择从下拉列表中的操作系统类型。比方说，本地系统如果使用的是WinXP操作系统，那么只要从下拉列表中选择Windows XP选项，KillProcess程序就可以自动列写出该系统的所有进程了，其中绿色勾号进程是系统核心进程，用户日后只要看看进程前面是否有绿色勾号，就能识别出它们的重要性了。为了节省资源，用户在关闭那些专门抢用系统资源而没有作用的进程时，只要在KillProcess主程序界面中，利用“Add to List”命令生成进程黑名单列表，将核心进程之外的进程全部加入到该列表中，再单击“Terminate Process in the Kill List”按钮，就能将几个核心进程保留下来，将其他进程全自动关闭掉，这样本地系统就会处于“干净”运行状态。此外，该工具还可以批量删除顽固病毒进程。考虑到不少病毒木马运行发作后，会在系统后台生成多个关联的进程，通过KillProcess进程管理程序，可以很方便地将多个散乱的并相互关联的病毒进程结束掉。在结束多个关联进程时，可以先选中不正常的多个病毒进程或无效进程，右击这些被选中的进程，从右键菜单中选择“Kill Process”命令即可。

文章如转载，请注明转载自：http://www.5iadmin.com/post/1045.html