查看: 891 | 回覆: 0 | 電梯直達

公爵 | 2008-8-1 21:34:16

1樓

真真假假系統行程從行程搜尋木馬的蛛絲馬跡００１

對於行程(處理程序) 這個概念，許多電腦用戶都沒有給予太多關注。

在很多人印象裡，只知道結束行程可以殺死程序，至於哪些行程對應哪些程序，究竟什麼樣的行程該殺，什麼樣的行程不能殺這些問題很少考慮。這裡通過幾個實例為大家揭開行程的神秘面紗。

　　實例一：和行程的「表演者」交個朋友

　　很多時候，我們並沒有注意到系統中到底有多少行程。如果想瞭解行程的秘密，首先就必須和一些一般系統行程交個朋友，一旦掌握了它們，就能像偵探一樣迅速從行程名單中發現可疑的傢伙。

　　在Windows 2000/XP中，Ctrl+Shift+Esc組合鍵能快速彈出工作管理器，而Windows 9X為Ctrl+Alt+Del組合鍵。

　　1.「主角」行程

　　首先來熟悉一下系統中的基本行程，它們是系統執行的基本條件，一般情況下不能關閉它們，否則會導致系統崩潰。

　　Windows2000/XP：smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe(可以同時存在多個)、spoolsv.exe、explorer.exe、System Idle Process；

　　Windows 9x：msgsrv32.exe、mprexe.exe、mmtask.tsk、kenrel32.dll。

　　你知道嗎

　　行程與程序

　　簡單地說，每啟動一個程序，就啟動了一個行程。在Windows 3.x中，行程是最小執行服務機構。在Windows9X/2000/XP中，每個行程還可以啟動幾個執行緒，比如每下載一個文件可以單獨開一個執行緒。在Windows9X/2000/XP中，執行緒是最小服務機構。

程序是永存的，行程是暫時的。舉一個例子說：如果程序是劇本，那麼表演程序就是行程；如果程序是菜譜，那麼烹調程序就是行程。

　　人鬼情未了——Svchost.exe

　　它位於系統目錄的System32資料夾，是從動態連接庫(DLL)執行服務的一般性宿主行程。在工作管理器中，可能會看到多個Svchost.exe在執行，不要大驚小怪，這可能是多個DLL文件在使用它。

不過，正因為如此，它也成為了病毒利用的對象，以前的「藍色程式碼」病毒就是一例。另外，如果感染了衝擊波病毒，系統也會提示「Svchost.exe出現錯誤」。

　　如果要檢視哪些服務正在使用Svchost.exe，對於Windows2000可從其安裝光碟的SupportToolsSupport.cab壓縮包中，將Tlist.exe解壓縮至任意目錄，接著在「命令提示字元」中進入Tlist.exe所在目錄，輸入「tlist -s」並Enter鍵(「tlist pid」指令可看到詳細資料)。

而在Windows XP則直接輸入「Tasklist /SVC」檢視行程訊息(「Tasklist /fi "PID eq processID"」則可看到詳細資料)。