马振海
在Windows系统运行过程中,用户或许会经常遇到文件窗口打开速度迟钝或者系统桌面突然假死现象。面对各种运行不正常现象,用户往往会下意识打开任务管理器窗口,在进程标签页面中,对一些不正常的系统进程查杀或控制。可是,当发现Windows系统中的陌生进程数量增加很多时,按照常规方法管控它们,工作效率就不会很高。而且有的陌生进程还很顽固,普通方法根本奈何不了它们。这时,我们该如何为系统进程管理传递正能量,确保系统始终处于一种“干净”状态,既安全又高效地运行呢?
找出危险进程
不少狡猾的恶意程序经常会精心伪装,将有威胁的进程假冒成普通的系统进程,来躲开杀毒软件或用户的全面“围剿”。所以,要让系统进程安全高效运行,首先要做的工作,自然就是判断陌生进程是否安全,并将真正有安全威胁的进程及时从系统中揪出来。
识别危险等级
病毒木马进程不同,它们对Windows系统造成的安全威胁等级也会不同,要是发现计算机中存在陌生进程“身影”时,相信用户肯定很想了解它们的危险等级究竟有多大。使用TaskPatrol工具,就能帮助用户直观地识别出陌生进程的来龙去脉,准确判断进程的危险等级;当确认陌生进程危险等级很高时,可以及时将十分危险的陌生进程删除掉,以保证其不会继续干扰系统的安全稳定运行。
从Internet网络中下载安装好TaskPatrol程序,开启它的运行状态,进入对应程序主操作界面,如图1所示。检查“security rating”列信息,用户能发现计算机系统中所有进程的安全危险等级,已经以进度条方式被直观表达出来,按照从左向右的顺序,不难看出每个进度条颜色由绿色渐渐变成红色,而且在进程的进度条左侧区域,还能看到所有程序进程的危险威胁系数,通过比较这些系数的大小,用户更能直接地识别出哪些进程是安全的,哪些进程是危险的。正常情况下,某个进程的安全威胁系数越小时,那就表明对应进程的安全等级程度越高,Windows系统的所有核心进程,其安全威胁系数应该都为“0”才对。当看到某个陌生进程的安全威胁系数数值十分高时,我们应该毫不犹豫地认定它对系统的安全威胁十分巨大,为了不让它继续攻击系统,不妨用鼠标右键单击它,选择快捷菜单中的“terminate process”选项,这样TaskPatrol工具就能自动禁止它的启动运行。
要想搞明白危险进程的破坏力在何处时,可以选中目标危险进程,并用鼠标右击之,从弹出快捷菜单中执行“reanalyze”命令,那么TaskPatrol工具就会对特定进程的危险性进行自动分析。除了通过右键菜单命令,分析危险进程的攻击性外,也能在选中特定进程的情况下,选中主操作界面底部分析栏位置处的“security analysis”选项,得到相关进程的安全分析结果。一般来说,危险程序的进程类型不同,它们对系统的破坏性也会不同,利用“process function”选项功能,可以判断出危险进程是否有自动运行、分析、操作其他系统进程的本领,从而识别出它对Windows系统正常进程的控制力有多强。利用“monitoring functions”选项功能,用户能了解到危险进程有没有偷偷监视本领,比方说有的恶意进程可以悄悄将键盘输入内容拦截下来,通过这里的分析结果,用户可以知道陌生进程对系统底层有没有一定的控制力。利用“registry function”功能选项,用户可以洞察出危险进程能否操纵控制系统注册表,比方说能否对注册表分支或键值内容进行编辑、查询、访问、删除等。利用“file function”功能选项,用户可以查明陌生进程是否对计算机文件有控制力,比方说对重要文件偷偷执行重命名、搜索、删除、定位、复制、移动、修改等操作。利用“internet function”功能选项,可以判定危险进程能否影响计算机网络连接功能等。
判断安全类型
从安全性角度来看,我们可以将危险进程的安全性分成未知安全、不安全、一般安全、非常安全等类型,Windows系统的核心进程应该划归为非常安全类型,安装在计算机中的所有应用程序进程默认会被划分为一般安全类型,病毒木马进程应该划归为不安全类型,那些没有经过微软数字签名认证或存在BUG的设备驱动程序,常常被划归为未知安全类型。那么面对Windows系统中的众多进程,如何才能快速有效地判断出本地计算机中的每一个进程,究竟属于什么安全类型呢?Security Process Explorer这款专业工具就能帮助我们识别出进程的安全类型,它通过不同的颜色色块,标识每个进程的不同安全类型,日后只要观察颜色色块,就能直观识别出各个进程属于哪种安全类型了。比方说,该工具利用空白色块标识未知安全进程类型,用绿中带红色块标识一般安全进程类型,用纯绿色色块标识安全进程类型,用纯红色色块标识不安全进程类型。
开启Security Process Explorer工具的运行状态后,计算机中的所有程序进程都会被自动列写出来,如图2所示。在这里,我们不难看出不同安全类型的进程,使用了不同的颜色色块,通过观察颜色色块,就能十分轻松地揪出潜藏在本地计算机中可能有安全风险的陌生进程。比方说,要是看到计算机中潜藏有若干个标识为红色色块的进程时,那就意味着本地计算机或许已受到病毒木马程序的攻击,为了查看这类不安全类型进程的详细信息,只要用鼠标右键单击红色色块进程选项,点击快捷菜单中的“详细信息”命令,弹出不安全进程的详细信息查看对话框。在该对话框中,用户能查看到危险进程的许多状态信息,包括具体的进程名称、进程开发公司名称、进程标识ID以及进程运行优先级等信息。选择“用到的模块”标签,我们可以在目标标签设置页面中,发现到危险进程究竟访问了本地计算机中的哪些动态链接库文件,通过这些内容,我们能够准确识别出危险进程到底是不是病毒木马进程了。当确认某个进程是不安全进程时,只要用鼠标选中它,点击“屏蔽进程”按钮,将选中进程的运行状态立即禁止掉,同时将其添加到进程运行屏蔽列表中,保证这些危险进程日后不能自动开启运行。
当利用Security Process Explorer工具自身的力量,还无法准确识别出危险进程是否为病毒木马程序时,不妨上网搜索危险进程名称,来获取它的更详细信息,以便进一步判断出危险进程的危害性在什么地方,同时查询出彻底禁止危险进程运行的解决办法。将列写在主界面中的危险进程选中,点击“更多信息”按钮,打开新的网页窗口,该窗口会将危险进程的所有详细信息查找显示出来,包括其他用户使用该进程后的评价内容等,当然这些内容基本都以英文方式显示,英文水平不高的用户访问起来,或许有一定的困难。
截杀危险进程
当确认Windows系统中的确存在病毒进程时,很多人会用任务管理器中的“结束进程”命令,尝试截杀这些病毒进程,然而有的时候,系统却提示我们不能结束指定进程。遭遇这类问题时,难道我们只能眼睁睁地看着病毒进程肆意发作,而无可奈何吗?
手工截杀进程
在Windows XP系统环境下,利用系统自带的taskkill命令,就能查杀一些狡猾的病毒进程。在手工查杀进程之前,首先要打开系统的任务管理器窗口,切换到进程列表页面,将病毒进程的具体名称记忆下来,假设该名称为“conime.exe”。其次逐一点击“开始”|“运行”选项,切换到系统运行对话框,输入“cmd”命令并回车,弹出MS-DOS工作窗口。在该窗口命令行中,输入“taskkill /im conime.exe”命令,单击回车键,当Windows系统返回如图3所示的结果信息时,那就表示指定进程已被成功截杀了。
如果遇到更顽固不化的病毒进程时,还能利用Windows系统自带的“ntsd”命令,强制截杀所有病毒进程,该命令除了不能截杀少数几个系统核心进程外,例如System、SMSS、CSRSS等进程,其他一切进程它都能搞定。在使用该命令截杀顽固病毒进程时,首先要进入系统任务管理器窗口,依次选择“查看”|“选择列”命令,切换到如图4所示的设置对话框,选中“PID(进程标识符)”选项,确认后返回系统进程标签页面,在这里将无法直接查杀的顽固病毒进程PID记忆下来。
之后再次打开系统运行对话框,输入“cmd”命令并回车,弹出MS-DOS工作窗口,输入“ntsd -c q -p PID”命令,就能将特定PID的顽固病毒进程杀死了。比方说,某病毒进程PID为“1234”时,那么只要执行“ntsd -c q -p 1234”命令,就能将顽固病毒进程截杀掉了。
批量截杀进程
很多狡猾的病毒木马程序发作运行时,有时会在Windows系统的不同文件夹中,自动创建多个关联进程文件,利用任务管理器单打独斗地管理进程时,既很难将关联进程删除干净,又不利于提高工作效率。而借助KillProcess这款外力专杀工具,我们可以不费吹灰之力,将若干个分散在不同位置的病毒进程高效截杀干净。
打开KillProcess程序的主操作界面后,我们能在这里看到系统中所有的进程选项,使用Ctrl功能键,将那些占用系统资源十分高的可疑进程和病毒进程全部选中,如图5所示,用鼠标右击所有已被选中的进程,执行快捷菜单中的“Kill Process”命令,这时分散在不同位置处的关联病毒进程,就会被KillProcess程序自动截杀干净了。当然,将待截杀的若干个病毒进程选中后,我们也能在主程序界面中直接点击工具栏中的“Kill the selected Process”按钮,选择下拉菜单中的“Kill selected Process”命令,再按“是”按钮,将所有选中的散乱病毒进程在转瞬之间截杀干净。
一键截杀进程
如果需要截杀的病毒进程数量太多,例如同时要查杀几十个,甚至上百个病毒进程时,采用依次选中再杀死的方法,显然要耗费很长的时间。能不能找到一种合适办法,只要通过一键就能将Windows系统中所有无关的进程截杀干净呢?利用“进程截杀器”工具,就能收获这样的截杀效果。
开启“进程截杀器”工具的运行状态,在弹出的结束程序列表中(如图6所示),我们会看到所有可能对系统运行速度有影响的进程,都已经被“进程截杀器”智能分析选中,而不需要用户手工选中,我们所要做的就是依照实际需求,将一些没有必要删除的进程取消选中,再点击程序界面中的“开始优化”按钮,等到优化操作结束后,所有被选中的进程都被“进程截杀器”工具一键截杀了,这时我们能感觉到系统运行速度明显快多了。
当“进程截杀器”工具处于智能分析状态时,它会自动将QQ之类的可信进程保留下来,要想为其他可信进程授予免杀权限时,不妨逐一点击“功能”、“手动添加必备进程”选项,在其后弹出的进程列表中选择性地添加,这些手工添加的进程选项,在日后的智能分析过程中,是不会被工具自动选中的。
倘若感觉到智能分析模式还不够实用时,不妨选中主界面底部区域的“极限模式”选项,并按下“开始优化”按钮,这样“进程截杀器”工具会自动将计算机中的所有非系统进程选中。当然,在执行截杀操作时,该工具还会依次弹出提示对话框,询问我们是否真的要删除目标进程选项,以避免出现误杀现象。
自动截杀进程
有些危险进程被截杀之后,还可能会“卷土重来”,这些顽固病毒进程,除了会抢用宝贵的系统资源,还会强行跟随系统自动启动运行。为了高效截杀这种类型进程,我们可以使用KillProcess工具记录下它们的进程名称,然后将这些“无耻之徒”全部请进顽固进程黑名单,日后只要一键就能自动截杀所有特定的顽固进程,以达到阻止他们反复发作运行的目的。
KillProcess工具启动运行后,在其主界面中会显示所有的进程名称,从列表中找到会反复发作运行的病毒进程,用鼠标右键单击它们,从弹出的快捷菜单中选择“Add to List”命令,这样KillProcess工具会自动创建好进程黑名单列表,并在默认状态下会将黑名单列表取名为“killlist.lst”,先前处于选中状态的顽固病毒进程将会自动出现在黑名单中。
对于那些没有显示在KillProcess进程列表中的病毒进程,只要按下主程序界面中的“Edit the Kill List”按钮,进入如图7所示的黑名单进程编辑界面,在“Add Process to Kill List”位置处输入待截杀的顽固病毒进程名称,点击“Add”按钮,将其添加到到黑名单进程列表中。按照相同的操作,将其他容易反复发作运行的进程逐一加入到黑名单进程列表中,最后按“OK”按钮执行设置保存操作。
日后,当位于黑名单中的顽固病毒进程尝试发作运行时,它们会受到KillProcess工具的制约,只要按下对应程序界面中的“Terminate Process in the Kill List”按钮,确认后就能自动将它们快速截杀干净了。
有效管理进程
1. 保留关键进程
在Windows系统中进行一些特殊操作时,可能需要消耗很多系统资源,这时如果能够将系统中许多无关的进程临时关闭掉,或许会节省一些系统资源,那么系统运行起来自然就会更加流畅。如何才能实现这个目的呢?如果采用手工方法依次暂停众多无关进程选项时,一次两次还是可以的,如果次数多了显然就不合适了。而使用KillProcess工具,可以轻松化解上述难题,通过该工具独特的保留关键进程功能,我们能十分方便地为一些消耗系统资源很大的操作,提供相对“干净”的进程工作环境,以便提高系统工作效率。
例如,要是本地计算机安装使用的是Windows XP系统,要将该系统中一些无关进程快速暂停运行时,只要在KillProcess主程序界面中,打开“Current List”下拉列表,从中选择Windows XP系统,这时对应该系统的所有关键进程会被列写出来,同时会被自动选中,按下“Terminate Process in the Kill List”按钮,再不停点击“是”按钮,那么KillProcess工具就会自动将Windows XP系统的几个核心进程保留下来,其他的进程选项全部会被强行暂停运行。此时,一个相对“干净”的进程环境就被营造出来了,在该环境下进行特殊操作,效率可能会高一些。
2. 智能调整进程
大家知道,如果若干系统进程同时启动运行,势必会消耗很多系统资源,严重时能造成有限的系统资源不够分配,从而引起系统假死或进程停止响应故障。在系统资源不“富裕”的情况下,我们有必要对众多进程的运行优先级进行合理控制,让它们有序错开运行,以保证系统运行安全、平稳。要做到这一点,不妨“请”Process Lasso工具帮忙,它能对所有系统进程的运行优先级进行智能调整,确保为系统运行减负。
除了可以对进程优先级进行动态调整外,我们还能根据实际需求,手工调整重要进程的运行优先级。在进行这项操作时,不妨先开启Process Lasso工具的运行状态,在其后弹出的所有进程列表页面中,用鼠标选中某个需要优先启动的重要进程,并用右键单击之,点击快捷菜单中的“默认优先级(每次运行)”命令,这样目标进程选项就会被自动调整为默认优先级,日后该进程就能比其他进程优先启动运行了。要想临时性改变某个进程的运行优先级时,只要用鼠标右键单击目标进程选项,点击如图8所示快捷菜单中的“设置当前优先级”命令,再选择下级菜单中的特定等级即可,当然,该设置在系统重启后会无效。