小進程也有大智慧

“進程”是我們日常操作經常遇到的一個名詞，用戶只需同時按下“Ctrl+Alt+Del”鍵，即可在彈出的任務管理器查看本機中的全部進程。系統中有各種各樣的進程，有些是正常的系統進程，有些則可能是惡意進程，我們如何判別又如何阻止它們呢？

快速判斷進程善惡

“進程”顯示了所有當前正在運行的進程，包括應用程序、后臺服務等。用戶在任務管理器中可以看到進程的名稱、類型、程序所在路徑、CPU和內存占用值、磁盤讀取與寫入速度、網絡流量使用狀況等多種參數。當用戶的電腦出現諸如程序未響應、CPU占用率過高等常見問題時，只需關閉未響應進程即可解決相應的問題。

不過，對于電腦初學者而言，如果判斷一個進程的善惡，并不是件簡單的事情。在Windows XP時代，常駐系統中的進程通常不超過30個，而Windows 7及之后的系統，默認啟動的進程就高達60個以上。用戶很難記住這么多進程，而最簡單的獲取進程方法就是網絡搜索。在Windows 8的任務管理器中，右擊進程選擇“聯機搜索”，系統即可直接通過瀏覽器搜索該進程的相關信息（如圖1），如果是其他系統用戶，也可自行以進程名在百度、谷歌中搜索。另外也可借助一些工具來完成，比如AnVir Task Manager（下載地址：http：//www.anvir.com/download.htm），用戶只需運行該軟件，即可自動查找系統中的每個進程并快速找出惡意進程（如圖2）。

Tips

常用的電腦管家類工具（如QQ電腦管家、360安全衛士）都擁有進程優化類工具，不過筆者不建議大家用這類一鍵優化工具。因為此類工具會禁止如共享、打印、藍牙等非常用的進程啟動，但是當用戶偶爾使用這類功能，發現無法啟動時，很難想到是自己的優化工具在作怪。

從根源阻擊惡意進程

在殺毒手段日新月異的今天，我們已經看不到通過進程的方式進入系統的木馬病毒了，不過當我們打開任務管理器后，可能會發現自己的進程中被各種自動更新和廣告進程所占據。面對這些披著合法外衣的惡意進程當然是要阻止它了，不過很多頑固進程啟動非常詭秘，它通常和我們正常啟動的程序捆綁啟動，讓大家煩不勝煩。比如迅雷廣告進程、快播的后臺更新，即使用戶刪除了相應的程序文件后，它們仍然會通過主程序自動重新生成。對于這類頑固進程，我們可以使用另類方法將其攔截。

方法1：生成同名文件法

當用戶刪除那些正在開啟的文件時，會得到一個該程序被占用的提示窗口，用戶只有將其關閉才能執行刪除操作，所以我們也可以通過刪除進程的原文件再新建一個讓程序無法刪除的同名新文件來阻止生成新的程序（如圖3）。

實例解讀：阻止迅雷廣告進程

首先關閉迅雷的主程序，然后進入C：＼Program Files＼Thunder Network＼Thunder＼addins＼InMediaAddin文件夾，將ThunderMinisite.exe文件刪除。然后建立一個文件夾（是文件夾而不是文件），并將該文件夾命名為ThunderMinisite.exe，當迅雷檢查到服務器有新的廣告彈出時，就會因為程序無法刪除，而不再替換新的文件了（如圖4）。

方法2：權限攔截

許多討厭的廣告進程，為了避免自己被用戶手動關閉，通常都會借助系統自身的程序運行，其中最典型的就是IE的彈出窗口了。許多使用第三方瀏覽器的用戶會發現，自己桌面上彈出的廣告網站卻在使用IE彈窗。對于不使用IE的用戶，可以使用權限的方法阻止它的啟動，這樣就可以屏蔽IE彈窗了（但不會影響使用IE核心的瀏覽器）。

實例解讀：阻止IE彈窗

打開C：＼Program Files＼Internet Explorer，然后右擊iexplorer.exe文件并依次選擇“屬性/安全”標簽（如圖5），從“組或用戶名”列表框中選擇當前用戶對應的賬號名稱，并在對應用戶賬號的權限列表框中，將所有用戶對IE瀏覽器的訪問權限設置為“拒絕”（需要先取得文件所有權），最后單擊“確定”按鈕即可（如圖6）。

終止篇：結束惡意進程

對于很多頑固進程，如果它啟動后通過任務管理器并不能將其終止，此時可以使用其他方法將其終止。

方法1：命令行強行終止

NTSD是一個XP系統中自帶的進程強制終止工具，它可以強行終止除System、SMSS.EXE和CSRSS.EXE之外的所有進程。因此如果通過上述方法發現頑固惡意進程無法終止，可以嘗試啟動命令提示符，然后輸入：

ntsd -c q -p 進程名稱（如圖7）

方法2：批量關閉多個進程

如果有多個惡意進程需要一起關閉，可以使用系統自帶的taskill命令。首先打開任務管理器，單擊“查看/選擇列”，然后在打開的窗口勾選PID（如圖8）。

如果發現有多個惡意進程無法終止，首先打開任務管理器，切換到“進程”標簽后，記下這些進程的PID名稱，再以管理員身份啟動命令提示符，輸入下列的命令即可即可終止：

Taskkill /f /PID 1 /PID 2 /PID 3

當然也可以通過軟件工具來實現，比如上面介紹的AnVir Task Manager。許多木馬常常有兩個進程，殺掉一個進程后，另一個進程馬上又重新將它激活。這時只要在上述程序窗口中按住Ctrl，然后將木馬的兩個進程同時選中，最后點擊Kill process即可批量關閉，再進行后期處理就可以了。