从进程辩病毒

现在病毒无处不在，只要上网，就很容易感染病毒。全靠杀毒软件也是不行的，有时还要靠我们自己动手。一般我们都喜欢打开windowns自带的任务管理器，看看有异常的进程，就关闭它。这对防范木马和病毒大有裨益！不过有一些可疑进程，在任务管理器中却无法杀除，这该怎么办呢？ 我推荐一个进程管理工具：Procexp。它是一款增强型的任务管理器，你可以使用它方便地管理你的程序进程，能强行关闭任何程序(包括系统级别的不允许随便终止的“顽固”进程)。除此之外，它还详尽地显示计算机信息：CPU、内存使用情况，DLL、句柄信息，很酷的曲线图等。如图一所示。它还可以看见这个正在运行的程序是哪个公司的，如果你感觉，不是系统重要的进程，又不是你打开的程序，哪你可以毫不犹豫的关闭它。你选中一个进程，就可以看到它是哪个路径下的，如图二所示。好多病毒都喜欢把自己的进程名改为svchost.exe。你可以选中它，看它的路径是不是在system32下。如果不是，你可以关闭它。你要关闭一个进程，就选中它，然后右键，选终止进程即可。如图三所示。还有很多进程很顽固，你结束掉了，它又出来了。这样的多数不是单独的进程，而是作为一个动态链接库，挂到你系统的正常进程底下，这就非常隐蔽，但也是有办法的。对于利用rundll32.exe启动的病毒DLL还是比较容易发现的，只要利用procexp查看rundll32.exe进程到底调用了哪些DLL就可以掌握。例如选中一个进程，右键属性。弹出一个一个窗口，选线程，你就可以知道它调用哪些文件。就可以根据情况终止它。如图四所示。还可以看到这个进程有了哪些句柄，点击工具栏的查看→显示下级窗格。如图五所示。procexp功能强大，我只介绍了一些基本功能，还有很多功能等着你的发现！