小提示:如果大家要封杀可疑端口,可以使用Active Ports及DBPort之类的第三方端口工具。这两款软件均是图形化界面,操作方法非常类似。不仅可自动刷新进程,还能够立即关闭指定端口。
对于线程插入类木马的查杀,并非一件轻而易举的事,由于在配置插入进程时使用者可随意指定,因此,大家一定要安装杀毒软件并定期升级病毒库。
如果要手动查杀,则需要用户具有相当的知识水平与一定的经验积累。在此给大家推荐一款比较优秀的软件——进程间谍。利用它,可以查看窗口和子窗口句柄、ID、标题,以及父进程ID线程个数路径等,还可获知指定父进程的下属模块……我们要着重利用该程序的可查看DLL模块的功能,试图找出可疑的插入进程。
运行《进程间谍》程序后,查看“进程树”标签页,点击“刷新进程”按钮,而后选择左侧列表的进程,当选定一个进程后,程序开始处理相关信息。我们切换到当前右侧视图中的“模块”标签页(图7),在此显示了很多该进程中插入的DLL线程,包括“模块名”(需要着重查看)、“基地地址”、“大小”及“进入口”。大家从中即可仔细排查可疑线程,例如广外女生的DLL插入线程是“%/system32/gwboydll.dll”。
图 7
进程级别有高低
我们在使用MyIE 2浏览网页时,又同时运行了下载工具等。这种情况下,我们就可以通过相应的设置,使系统优先处理MyIE 2,为它分配更多的CPU资源。
按“Ctrl+Alt+Del”组合键,调出“Windows任务管理器”,查看“进程”标签页,选定其中希望优先处理的程序后,在其右键弹出菜单中选择“设置优先级→‘高’或‘高于标准’”(图8)。而其它在后台处理的程序,则可将进程设置为“低”或“低于标准”。
图 8
小提示:如果调节进程优先级别后,感觉CPU占用率过高,要实时还原为原来的级别,以免系统因资源耗尽而当机。
进程树的妙用
我们在“Windows任务管理器”中,可以看到在指定进程的右键弹出菜单中有一项“结束进程树”的选项(图9)。那么这个“进程树”是什么呢?
图 9
一个应用程序运行后,还可能调用其它的进程来执行操作,这一组进程就形成了一个进程树(进程树可能是多级的,并非只有一个层次的子进程)。该应用程序称之为父进程,其所调用的对象称之为子进程。当我们结束一个进程树后,即表示同时结束了其所属的所有子进程,此种方法常用于对可复制自身的木马进程的封杀。即当发现木马进程后,选择“结束进程树”。但是,Windows系统自身的任务管理器并不具备显示子进程的功能。我们可利用“Process Viewer”这款软件,实现详细查看进程树的目的。
运行“Process Viewer”程序后,在其主界面中将实时显示当前运行的进程。大家点击菜单栏上的“View→Process Tree”,在弹出对话框中即可以进程树的模式查看相关进程(图10)。
图 10
下面,笔者要提及一下其它实用功能。当你选择主界面中的指定进程后,点击菜单栏上的“Process→Startup Info”,在弹出对话框中大家将获知其启动信息,在“Start directory”选项中显示的是启动路径;在“Command Line”选项中显示的是命令行;在“Environment”中显示的是环境。
另外,如果你希望了解某个进程对应的是哪个应用程序或反之。则需要选择指定进程后,点击菜单栏上的“View→Applications”,在弹出对话框中就可查看。
封杀进程的另类方法
在上文中,我们已经提及了如何在“Windows任务管理器”中结束进程。但那只是常规方式,现在,我们就来玩玩别出心裁的非常规进程封杀方式。
【责编:John】
相关文章
相关产品和培训
文章评论
专题推荐
今日更新 认证培训 频道精选
您现在的位置: 
佚名
2008-1-10
