PROCEXP進(jìn)程管理器簡明使用教程

軟件下載http://nav./safetools/safe_tools/safe/procexp.rar

此工具可以查看當(dāng)前運行的程序（包括一些windows任務(wù)管理器不能看到的隱藏的進(jìn)程）,，并殺掉運行進(jìn)程,，直接運行程序如圖：

圖中各進(jìn)程以樹形結(jié)構(gòu)顯示，表示他們之間的依附關(guān)系,。比如我們可以看出,，SvcGuiHlpr.exe這個進(jìn)程是依附于AcSvc.exe這個進(jìn)程上的，如果我產(chǎn)殺死AcSvc.exe,，就會同時殺死SvcGuiHlpr.exe,。

Windows進(jìn)程分為兩種：一種是服務(wù)程序，一種是普通程序,。服務(wù)程序是由系統(tǒng)服務(wù)所產(chǎn)生的,，他們都依附于一個叫services.exe的進(jìn)程名下,；普通程序是由用戶手動運行起來的程序所產(chǎn)生的，如WINWORD.EXE,就是用戶運行WORD字處理器產(chǎn)生的,。如上圖實例,。

普通程序可以用windows自帶的任務(wù)管理器關(guān)閉，而服務(wù)程序只能通過服務(wù)管理器才能關(guān)閉,。然而PROCEXP可以同時殺死服務(wù)進(jìn)程和普通進(jìn)程,，

殺進(jìn)程的方法是：右鍵點擊需要殺死的進(jìn)程，選擇彈出菜單的“終止進(jìn)程”項即可,，PROCEXP除了可以殺死單個進(jìn)程外,，還可以殺死整個進(jìn)程樹。（PROCEXP殺死進(jìn)程的功能比較強大,，連Winlogon.exe都可以殺掉,，若你殺掉它，系統(tǒng)會自動當(dāng)機,，請謹(jǐn)慎使用),。如下圖：

使用其識別木馬程序的方法：

首先查看是否有可疑進(jìn)程，一些木馬使用了windows系統(tǒng)程序名,，例如：services.exe,，svchost.exe（這些文件在windows\system32目錄下，一般木馬會放在磁盤根目錄下,，或是windows目錄下）,，另一種情況是某些進(jìn)程會占用較大的CPU利用率。

看到可疑程序直接在列表中選中,，右鍵查看屬性,，或直接雙擊。

看程序的描述信息,，微軟程序或其他正規(guī)程序的描述信息和版本信息一般都很詳細(xì),，若沒有版本信息則很可能是木馬程序，也有一些木馬寫了跟微軟類似的信息,，此時可以使用數(shù)字簽名校驗功能,，點擊“驗證”按鈕，若是微軟的程序會提示(已驗證),，如下圖：

對于一般的程序,，Explorer.exe啟動的程序都可以殺掉的，一般不會引起系統(tǒng)問題,。有時電腦會突然彈出消息框或錯誤框,，但又不知道是那個程序彈出的，可以選擇如圖按鈕按住鼠標(biāo)左鍵,，把鼠標(biāo)放在彈出的對話框上,，抬起鼠標(biāo)左鍵工具會自動定位當(dāng)運行的程序上,。

在程序的屬性對話框的TCP/IP屬性頁，我們還可以看到程序訪問的網(wǎng)絡(luò)情況,，如果是木馬或蠕蟲病毒,，一般都會打開端口向外發(fā)送數(shù)據(jù)包。

如上圖,，我們演示了查看MSN即時通訊軟件打開的網(wǎng)絡(luò)端口的情況,。這里面我們可以看到它所使用的網(wǎng)絡(luò)協(xié)議，與遠(yuǎn)程哪些主機發(fā)生的通訊,，目前連接狀態(tài)等信息。

另外,，木馬程序一般不會打開WINDOWS窗口,，我們可以通過查看某可疑進(jìn)程能否切換到對應(yīng)窗口的辦法來檢查它是否正常。方法：雙擊打開進(jìn)程屬性后,，在“映像”標(biāo)簽中點擊“切換到此程序”按鈕,，如果屬于正常的普通程序進(jìn)程，系統(tǒng)會自動切換到程序?qū)?yīng)的窗口上,，如果提示“未找到此進(jìn)程的可見窗口”,，則該進(jìn)程很可能就是木馬了。當(dāng)然,，使用這一方法時,，需要綜合分析，因為WINDOWS系統(tǒng)中,，畢竟還是有很多進(jìn)程,，尤其是服務(wù)進(jìn)程是不會產(chǎn)生WINDOWS窗口的。如下圖：

可以查看進(jìn)程使用了那些動態(tài)庫

首先按鍵盤的Ctrl+D組合鍵,，打開查看動態(tài)鏈接庫DLL的窗口,，然后選擇某個進(jìn)程，此時,，我們就可以在程序中看到該進(jìn)程所使用的DLL動態(tài)庫文件信息了,。如下圖：

發(fā)現(xiàn)可疑程序，不能確認(rèn)它是否是病毒或木馬時,，我們還可以在進(jìn)程名上點擊右鍵后,，選擇“Google”項，直接打開IE幫你搜索網(wǎng)上關(guān)于此程序的信息,，這樣可以確認(rèn)程序是否是木馬,。

使用PROCEXP需要分析并得到答案的幾個要點：

1、  查看是否有可疑進(jìn)程,？尤其是否有隱藏進(jìn)程,？

2,、  要分析出這個進(jìn)程是系統(tǒng)服務(wù)還是普通程序產(chǎn)生的？

3,、  進(jìn)程是否產(chǎn)生了WINDOWS窗口,？

4、  如果是服務(wù)進(jìn)程,，那么它對應(yīng)的系統(tǒng)服務(wù)名是什么,？

5、  進(jìn)程對應(yīng)的程序文件及路徑,？

6,、  進(jìn)程占用CPU和MEM的情況如何？

7,、  進(jìn)程的版本信息是否正規(guī),？

8、  進(jìn)程是否產(chǎn)生了網(wǎng)絡(luò)行為,？

9,、  在分析莫名的彈出窗口時，要充分利用PROCEXP的“根據(jù)窗口查找對應(yīng)進(jìn)程”的功能,；

10,、充分利用網(wǎng)絡(luò)資源查找相關(guān)信息。

此簡明教程,，僅起到拋磚引玉的作用,，關(guān)于其中的各項詳細(xì)功能，請大家自己多多研究,，進(jìn)程分析對查找病毒有莫大的幫助,，同時對進(jìn)程的分析也并不是一項簡單的事情，需要掌握很多的綜合知識,，大家可以充分利用網(wǎng)絡(luò)和GOOGLE搜索工具,，查找自己所要了解的信息。