第二课计算机病毒查杀之进程篇一.docxVIP

计算机病毒查杀之进程篇（一）进程的查看进程，在上一节课我们说过了，狭义上的进程指正在执行中的程序。那么系统中有哪些程序正在执行呢？我们先来看看下图1.1：通过系统自带的“任务管理器”可以使我们查看系统当前运行的进程，我们同时按下“Ctrl Alt Del”三个键或在桌面下文的任务栏按右键，选择“任务管理器”，都可以打开任务管理器的窗口，也就是图1.1看到的。大家看到上图，有24个进程呢，怎么来区分它们的好坏呢？上面的信息又是什么意思呢？首先，我们要看的信息是可以选择的，在上面的菜单项依次选择“查看”-“选择列”并勾选里面的列就可以了。我们主要关心的是前面五个，即：映像名称、PID、CPU、CPU时间、内存使用。下面依次进行介绍：映像名称：即进程所对应的同名程序名字。其中有两个进程例外，“System”代表系统，没有对应的同名程序；“System Idle Process”代表空闲进程，也没有对应的同名程序，它占据了CPU的空闲时间。PID：英文缩写，即进程的ID，是一个唯一的数字，唯一的代表一个进程。CPU：即该进程当前消耗CPU的百分比，如果某个进程正在工作，那么CPU一列的数值一定是非零，工作量越大，它的值越大。但“System Idle Process”进程除外，它的数值越大，说明当前系统就越空闲，所有进程的CPU一列的数值相加等于100% CPU占用。我们可以依据此列查看哪些进程正在工作，哪些进程是空闲的。因为前面说过，同一CPU在同一时间只能处理一个工作，所以如果某一进程长时间大量占用CPU，那么将会导致其它进程得不到或得到很少的CPU时间来处理，使系统反应速度严重迟缓。这时我们就可以考虑结束霸占CPU不放的进程，并尽量查明原因。CPU时间：自运行起该进程占用的全部CPU时间，此数值越大说明工作时间越长，注意，不是运行时间而是工作时间，如果运行后，进程只是等待而没有工作，那么此时间也会很小。因此可以据此判断，当我们没有使用某个程序，但却显示该程序占用了大量的CPU时间，那很可能就是某个病毒程序或进程正在偷偷地使用该程序了。内存使用：标明了该进程使用的内存数量，我们知道系统中的内存数量是有限的，当某一进程大量占用内存时，就会导致系统或者其它进程可用内存量减少，造成系统运行速度变慢。在某些情况下，可依此来找出系统变慢的原因，并尽量使用占用内存小的程序来提高系统的性能。要在这些进程中区分系统进程和非系统进程，靠系统自带的任务管理器是很难的，因此要借助专业的安全辅助工具。我们看下图1.2：上图是安全辅助工具狙剑查看进程时的样子，启动狙剑，并选择“进程管理”就可以打开进程管理页面，与任务管理器相比，多了几个状态栏:（1）进程ID：进程的标识符，正常情况下是唯一的，是用于表示进程唯一的象征。但是有些RootKit程序会更改此PID达到保护和隐藏自己，“狙剑”能轻松地检测到此类程序，并在“状态”栏有相应的标识。（2）父ID：即进程的创建者。此项可以方便我们识别伪装成系统同名的一些病毒木马，通过此项判断出异常。（3）用户名：表示进程的权限，表示了程序运行在哪个用户上。此项也可以察看一些伪装成系统同名的病毒木马，当我们察看到一些进程名称和系统进程同名但是进程用户又不是System用户时，我们就需要注意了，再通过“父ID”就可以大致判断此进程是否为恶意程序了。（4）进程路径：进程对应的文件路径，此项可以排查一些伪装系统进程的程序，从而使伪装系统进程的木马病毒无所遁形。比如：smss.exe的进程ID是448，父ID是4，那么，我们就可以知道，smss.exe是由进程ID为4的system进程启动的，而smss.exe又启动了csrss.exe与　winlogon.exe，接着由winlogon.exe启动了lsass.exe与services.exe。注意，有的进程并没有看到父进程，比如：Explorer.exe它的父ID是：1572,但进程中并没有进程ID为1572的进程。这是因为系统在初始化时还有一个程序会自动运行，那就是Userinit.exe这个程序负责用户初始化工作，并负责启动Explorer.exe，而工作完成后，它就退出运行了，所以进程中并没有它。而有些病毒是通过感染Userinit.exe来启动的，由于Userinit.exe启动后就退出了，所以通过查看进程很难发现问题，这问题我们将在”自启动项”一篇中详细讲解。以上就是系统启动的顺序，从System开始，依次启动了几个进程，正常情况下，上面这几个进程都是系统关键进程，结束它们的运行将导至系统出现问题。有些同学对开机以后系统都做了些什么比较感兴趣，而这对系统不能启动时的故障查明也有帮助，可以通过判断系统停在了哪个环节来断定是哪个部分出了问题，在这里，我们就对系统的启动