一,什麼是進程?
進程也就是當前計算機運行的程序,包括前臺的和後臺的。在XP中,進程主要分爲關鍵進程,應用程序進程,服務進程以及後臺程序進程。關鍵進程也叫系統進程,是指操作系統自身必須要執行的程序,在一般情況下不允許用戶結束。應用程序進程就不用說了,當然是指當前運行的應用程序。服務進程是系統進程的擴展,包括網絡服務和本地服務,主要是提供給用戶方便的操作。後臺程序進程指隱藏運行的軟件,什麼監控軟件啦,掃描軟件啦,***程序啦,病毒啦,這一類都是。將基本進程列出如來,供大家研究和參考。
二,基本進程都有哪些?
System Idle Process:
Windows頁面內存管理進程,該進程擁有0級優先。它作爲單線程運行在每個處理器上,並在系統不處理其他線程的時候分派處理器的時間。它的cpu佔用率越大表示可供分配的CPU資源越多,數字越小則表示CPU資源緊張。
Windows頁面內存管理進程,該進程擁有0級優先。它作爲單線程運行在每個處理器上,並在系統不處理其他線程的時候分派處理器的時間。它的cpu佔用率越大表示可供分配的CPU資源越多,數字越小則表示CPU資源緊張。
ALG.EXE:
這是一個應用層網關服務用於網絡共享。它一個網關通信插件的管理器,爲“Internet連接共享服務”和“Internet連接防火牆服務”提供第三方協議插件的支持。
這是一個應用層網關服務用於網絡共享。它一個網關通信插件的管理器,爲“Internet連接共享服務”和“Internet連接防火牆服務”提供第三方協議插件的支持。
csrss.exe:
Client/Server Runtime ServerSubsystem,客戶端服務子系統,用以控制Windows圖形相關子系統。正常情況下在WindowsNT4/2000/XP/2003系統中只有一個CSRSS.EXE進程,正常位於System32文件夾中,若以上系統中出現兩個(其中一個位於Windows文件夾中),或在Windows 9X/Me系統中出現該進程,則是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。另外,目前新浪利用了系統漏洞傳播的一個類似於病毒的小插件,它會產生名爲nmgamex.dll、sinaproc327.exe、csrss.exe三個常駐文件,並且在系統啓動項中自動加載,在桌面產生一個名爲“新浪遊戲總動園”的快捷方式,不僅如此,新浪還將Nmgamex.dll文件與系統啓動文件rundll32.exe進行綁定,並且僞造系統文件csrss.exe,產生一個同名的文件與系統綁定加載到系統啓動項內,無法直接關閉系統進程後刪除。手工清除方法:先先修改註冊表,清除名爲啓動項:NMGameX.dll、csrss.exe,然後刪除System32NMGameX.dll、System32sinaproc327.exe和WindowsNMWizardA14.exe三個文件,再修改Windows文件夾中的任意一個文件名,從新啓動計算機後刪除修改過的csrss.exe文件。
Client/Server Runtime ServerSubsystem,客戶端服務子系統,用以控制Windows圖形相關子系統。正常情況下在WindowsNT4/2000/XP/2003系統中只有一個CSRSS.EXE進程,正常位於System32文件夾中,若以上系統中出現兩個(其中一個位於Windows文件夾中),或在Windows 9X/Me系統中出現該進程,則是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。另外,目前新浪利用了系統漏洞傳播的一個類似於病毒的小插件,它會產生名爲nmgamex.dll、sinaproc327.exe、csrss.exe三個常駐文件,並且在系統啓動項中自動加載,在桌面產生一個名爲“新浪遊戲總動園”的快捷方式,不僅如此,新浪還將Nmgamex.dll文件與系統啓動文件rundll32.exe進行綁定,並且僞造系統文件csrss.exe,產生一個同名的文件與系統綁定加載到系統啓動項內,無法直接關閉系統進程後刪除。手工清除方法:先先修改註冊表,清除名爲啓動項:NMGameX.dll、csrss.exe,然後刪除System32NMGameX.dll、System32sinaproc327.exe和WindowsNMWizardA14.exe三個文件,再修改Windows文件夾中的任意一個文件名,從新啓動計算機後刪除修改過的csrss.exe文件。
ddhelp.exe:
DirectDraw Helper是DirectX這個用於圖形服務的一個組成部分,DirectX幫助程序。
DirectDraw Helper是DirectX這個用於圖形服務的一個組成部分,DirectX幫助程序。
dllhost.exe:
DCOM DLL Host進程支持基於COM對象支持DLL以運行Windows程序。如果該進程常常出錯,那麼可能感染Welchia病毒。
DCOM DLL Host進程支持基於COM對象支持DLL以運行Windows程序。如果該進程常常出錯,那麼可能感染Welchia病毒。
explorer.exe:
Windows Explorer用於控制Windows圖形Shell,包括開始菜單、任務欄,桌面和文件管理。這是一個用戶的shell,在我們看起來就像任務條,桌面等等。或者說它就是資源管理器,不相信你在運行裏執行它看看。它對Windows系統的穩定性還是比較重要的,而紅碼也就是找它的麻煩,在c和d根下創建explorer.exe。
Windows Explorer用於控制Windows圖形Shell,包括開始菜單、任務欄,桌面和文件管理。這是一個用戶的shell,在我們看起來就像任務條,桌面等等。或者說它就是資源管理器,不相信你在運行裏執行它看看。它對Windows系統的穩定性還是比較重要的,而紅碼也就是找它的麻煩,在c和d根下創建explorer.exe。
inetinfo.exe:
IIS Admin Service Helper,InetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用於Debug調試除錯。IIS服務進程,藍碼正是利用的inetinfo.exe的緩衝區溢出漏洞。
IIS Admin Service Helper,InetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用於Debug調試除錯。IIS服務進程,藍碼正是利用的inetinfo.exe的緩衝區溢出漏洞。
internat.exe:
Input Locales,它主要是用來控制輸入法的,當你的任務欄沒有“EN”圖標,而系統有internat.exe進程,不妨結束掉該進程,在運行裏執行internat命令即可。這個輸入控制圖標用於更改類似國家設置、鍵盤類型和日期格式。internat.exe在啓動的時候開始運行。它加載由用戶指定的不同的輸入點。輸入點是從註冊表的這個位置HKEY_USERS.DEFAULTKeyboard LayoutPreload 加載內容的。internat.exe 加載“EN”圖標進入系統的圖標區,允許使用者可以很容易的轉換不同的輸入點。當進程停掉的時候,圖標就會消失,但是輸入點仍然可以通過控制面板來改變。
Input Locales,它主要是用來控制輸入法的,當你的任務欄沒有“EN”圖標,而系統有internat.exe進程,不妨結束掉該進程,在運行裏執行internat命令即可。這個輸入控制圖標用於更改類似國家設置、鍵盤類型和日期格式。internat.exe在啓動的時候開始運行。它加載由用戶指定的不同的輸入點。輸入點是從註冊表的這個位置HKEY_USERS.DEFAULTKeyboard LayoutPreload 加載內容的。internat.exe 加載“EN”圖標進入系統的圖標區,允許使用者可以很容易的轉換不同的輸入點。當進程停掉的時候,圖標就會消失,但是輸入點仍然可以通過控制面板來改變。
lsass.exe:
本地安全權限服務控制Windows安全機制。管理 IP 安全策略以及啓動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序等。它會爲使用winlogon服務的授權用戶生成一個進程。這個進程是通過使用授權的包,例如默認的msgina.dll來執行的。如果授權是成功的,lsass就會產生用戶的進入令牌,令牌別使用啓動初始的shell。其他的由用戶初始化的進程會繼承這個令牌的。而windows活動目錄遠程堆棧溢出漏洞,正是利用LDAP 3搜索請求功能對用戶提交請求缺少正確緩衝區邊界檢查,構建超過1000個"AND"的請求,併發送給服務器,導致觸發堆棧溢出,使Lsass.exe服務崩潰,系統在30秒內重新啓動。這裏請記住該進程的正常路徑爲C:WINDOWSsystem32,一些病毒,如W32.Nimos.Worm病毒會在其它位置模仿LSASS.EXE來運行。
本地安全權限服務控制Windows安全機制。管理 IP 安全策略以及啓動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序等。它會爲使用winlogon服務的授權用戶生成一個進程。這個進程是通過使用授權的包,例如默認的msgina.dll來執行的。如果授權是成功的,lsass就會產生用戶的進入令牌,令牌別使用啓動初始的shell。其他的由用戶初始化的進程會繼承這個令牌的。而windows活動目錄遠程堆棧溢出漏洞,正是利用LDAP 3搜索請求功能對用戶提交請求缺少正確緩衝區邊界檢查,構建超過1000個"AND"的請求,併發送給服務器,導致觸發堆棧溢出,使Lsass.exe服務崩潰,系統在30秒內重新啓動。這裏請記住該進程的正常路徑爲C:WINDOWSsystem32,一些病毒,如W32.Nimos.Worm病毒會在其它位置模仿LSASS.EXE來運行。
mdm.exe:
Machine Debug Manager,Debug除錯管理用於調試應用程序和Microsoft Office中的Microsoft Script Editor腳本編輯器。Mdm.exe的主要工作是針對應用軟件進行排錯(Debug),說到這裏,扯點題外話,如果你在系統見到fff開頭的0字節文件,它們就是mdm.exe在排錯過程中產生一些暫存文件,這些文件在操作系統進行關機時沒有自動被清除,所以這些fff開頭的怪文件裏是一些後綴名爲CHK的文件都是沒有用的lj文件,可以任意刪除而不會對系統產生不良影響。對9X系統,只要系統中有Mdm.exe存在,就有可能產生以fff開頭的怪文件。可以按下面的方法讓系統停止運行Mdm.exe來徹底刪除以fff開頭的怪文件:首先按“Ctrl+Alt+Del”組合鍵,在彈出的“關閉程序”窗口中選中“Mdm”,按“結束任務”按鈕來停止Mdm.exe在後臺的運行,接着把Mdm.exe(在System目錄下)改名爲Mdm.bak。運行msconfig程序,在啓動頁中取消對“Machine Debug Manager”的選擇。這樣可以不讓Mdm.exe自啓動,然後點擊“確定”按鈕,結束msconfig程序,並重新啓動電腦。另外,如果你使用IE 5.X以上版本瀏覽器,建議禁用腳本調用(點擊“工具→Internet選項→高級→禁用腳本調用”),這樣就可以避免以fff開頭的怪文件再次產生。
Machine Debug Manager,Debug除錯管理用於調試應用程序和Microsoft Office中的Microsoft Script Editor腳本編輯器。Mdm.exe的主要工作是針對應用軟件進行排錯(Debug),說到這裏,扯點題外話,如果你在系統見到fff開頭的0字節文件,它們就是mdm.exe在排錯過程中產生一些暫存文件,這些文件在操作系統進行關機時沒有自動被清除,所以這些fff開頭的怪文件裏是一些後綴名爲CHK的文件都是沒有用的lj文件,可以任意刪除而不會對系統產生不良影響。對9X系統,只要系統中有Mdm.exe存在,就有可能產生以fff開頭的怪文件。可以按下面的方法讓系統停止運行Mdm.exe來徹底刪除以fff開頭的怪文件:首先按“Ctrl+Alt+Del”組合鍵,在彈出的“關閉程序”窗口中選中“Mdm”,按“結束任務”按鈕來停止Mdm.exe在後臺的運行,接着把Mdm.exe(在System目錄下)改名爲Mdm.bak。運行msconfig程序,在啓動頁中取消對“Machine Debug Manager”的選擇。這樣可以不讓Mdm.exe自啓動,然後點擊“確定”按鈕,結束msconfig程序,並重新啓動電腦。另外,如果你使用IE 5.X以上版本瀏覽器,建議禁用腳本調用(點擊“工具→Internet選項→高級→禁用腳本調用”),這樣就可以避免以fff開頭的怪文件再次產生。
rpcss.exe:
Windows 的RPC端口映射進程處理RPC調用(遠程模塊調用)然後把它們映射給指定的服務提供者。它不是在裝載解釋器時或引導時啓動,如果使用中有問題,可以直接在在註冊表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices添加"字符串值",定向到"C:WINDOWSSYSTEMRPCSS"即可。
Windows 的RPC端口映射進程處理RPC調用(遠程模塊調用)然後把它們映射給指定的服務提供者。它不是在裝載解釋器時或引導時啓動,如果使用中有問題,可以直接在在註冊表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices添加"字符串值",定向到"C:WINDOWSSYSTEMRPCSS"即可。
services.exe:
Windows Service Controller,管理Windows服務。大多數的系統核心模式進程是作爲系統進程在運行。打開管理工具中的服務,可以看到有很多服務都是在調用service.exe。
Windows Service Controller,管理Windows服務。大多數的系統核心模式進程是作爲系統進程在運行。打開管理工具中的服務,可以看到有很多服務都是在調用service.exe。
smss.exe:
Session Manager Subsystem,該進程爲會話管理子系統用以初始化系統變量,MS-DOS驅動名稱類似LPT1以及COM,調用Win32殼子系統和運行在Windows登陸過程。它是一個會話管理子系統,負責啓動用戶會話。這個進程是通過系統進程初始化的並且對許多活動的,包括已經正在運行的Winlogon,Win32(Csrss.exe)線程和設定的系統變量作出反映。在它啓動這些進程後,它等待Winlogon或者Csrss結束。如果這些過程時正常的,系統就關掉了。如果發生了什麼不可預料的事情,smss.exe就會讓系統停止響應(掛起)。要注意:如果系統中出現了不只一個smss.exe進程,而且有的smss.exe路徑是"%WINDIR%SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒,這是一種Windows下的PE病毒,它採用VB6編寫,是一個自動訪問某站點的***病毒。該病毒會在註冊表中多處添加自己的啓動項,還會修改系統文件WIN.INI,並在[WINDOWS]項中加入"RUN" = "%WINDIR%SMSS.EXE"。手工清除時請先結束病毒進程smss.exe,再刪除%WINDIR%下的smss.exe文件,然後清除它在註冊表和WIN.INI文件中的相關項即可。
Session Manager Subsystem,該進程爲會話管理子系統用以初始化系統變量,MS-DOS驅動名稱類似LPT1以及COM,調用Win32殼子系統和運行在Windows登陸過程。它是一個會話管理子系統,負責啓動用戶會話。這個進程是通過系統進程初始化的並且對許多活動的,包括已經正在運行的Winlogon,Win32(Csrss.exe)線程和設定的系統變量作出反映。在它啓動這些進程後,它等待Winlogon或者Csrss結束。如果這些過程時正常的,系統就關掉了。如果發生了什麼不可預料的事情,smss.exe就會讓系統停止響應(掛起)。要注意:如果系統中出現了不只一個smss.exe進程,而且有的smss.exe路徑是"%WINDIR%SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒,這是一種Windows下的PE病毒,它採用VB6編寫,是一個自動訪問某站點的***病毒。該病毒會在註冊表中多處添加自己的啓動項,還會修改系統文件WIN.INI,並在[WINDOWS]項中加入"RUN" = "%WINDIR%SMSS.EXE"。手工清除時請先結束病毒進程smss.exe,再刪除%WINDIR%下的smss.exe文件,然後清除它在註冊表和WIN.INI文件中的相關項即可。
snmp.exe:
Microsoft SNMP Agent,Windows簡單的網絡協議代理(SNMP)用於監聽和發送請求到適當的網絡部分。負責接收SNMP請求報文,根據要求發送響應報文並處理與WinsockAPI的接口。
Microsoft SNMP Agent,Windows簡單的網絡協議代理(SNMP)用於監聽和發送請求到適當的網絡部分。負責接收SNMP請求報文,根據要求發送響應報文並處理與WinsockAPI的接口。
spool32.exe:
Printer Spooler,Windows打印任務控制程序,用以打印機就緒。
Printer Spooler,Windows打印任務控制程序,用以打印機就緒。
stisvc.exe:
Still Image Service用於控制掃描儀和數碼相機連接在Windows。
Still Image Service用於控制掃描儀和數碼相機連接在Windows。
svchost.exe
Service Host Process是一個標準的動態連接庫主機處理服務。Svchost.exe文件對那些從動態連接庫(DLL)中運行的服務來說是一個普通的主機進程名。Svhost.exe文件定位在系統的Windowssystem32文件夾下。在啓動的時候,Svchost.exe檢查註冊表中的位置來構建需要加載的服務列表。這就會使多個Svchost.exe在同一時間運行。Windows 2000一般有2個Svchost進程,一個是RPCSS(Remote Procedure Call)服務進程,另外一個則是由很多服務共享的一個Svchost.exe;而在windows XP中,則一般有4個以上的Svchost.exe服務進程;Windows 2003 server中則更多。Svchost.exe是一個系統的核心進程,並不是病毒進程。但由於Svchost.exe進程的特殊性,所以病毒也會千方百計的***Svchost.exe。通過察看Svchost.exe進程的執行路徑可以確認是否中毒。如果你懷疑計算機有可能被病毒感染,Svchost.exe的服務出現異常的話通過搜索Svchost.exe文件就可以發現異常情況。一般只會在C:WindowsSystem32目錄下找到一個Svchost.exe程序。如果你在其他目錄下發現Svchost.exe程序的話,那很可能就是中毒了。
Service Host Process是一個標準的動態連接庫主機處理服務。Svchost.exe文件對那些從動態連接庫(DLL)中運行的服務來說是一個普通的主機進程名。Svhost.exe文件定位在系統的Windowssystem32文件夾下。在啓動的時候,Svchost.exe檢查註冊表中的位置來構建需要加載的服務列表。這就會使多個Svchost.exe在同一時間運行。Windows 2000一般有2個Svchost進程,一個是RPCSS(Remote Procedure Call)服務進程,另外一個則是由很多服務共享的一個Svchost.exe;而在windows XP中,則一般有4個以上的Svchost.exe服務進程;Windows 2003 server中則更多。Svchost.exe是一個系統的核心進程,並不是病毒進程。但由於Svchost.exe進程的特殊性,所以病毒也會千方百計的***Svchost.exe。通過察看Svchost.exe進程的執行路徑可以確認是否中毒。如果你懷疑計算機有可能被病毒感染,Svchost.exe的服務出現異常的話通過搜索Svchost.exe文件就可以發現異常情況。一般只會在C:WindowsSystem32目錄下找到一個Svchost.exe程序。如果你在其他目錄下發現Svchost.exe程序的話,那很可能就是中毒了。
taskmon.exe:
Windows Task Optimizer,windows任務優化器監視你使用某個程序的頻率,並且通過加載那些經常使用的程序來整理優化硬盤。它的功能是監視程序的執行情況並隨時報告。能夠監測所有在任務欄中以窗口方式運行的程序,可打開和結束程序,還可直接調出關閉系統對話框。
Windows Task Optimizer,windows任務優化器監視你使用某個程序的頻率,並且通過加載那些經常使用的程序來整理優化硬盤。它的功能是監視程序的執行情況並隨時報告。能夠監測所有在任務欄中以窗口方式運行的程序,可打開和結束程序,還可直接調出關閉系統對話框。
tcpsvcs.exe:
TCP/IP Services Application支持透過TCP/IP連接局域網和Internet。
winlogon.exe:
Windows Logon Process,Windows NT用戶登陸程序。這個進程是管理用戶登錄和退出的。而且winlogon在用戶按下CTRL+ALT+DEL時就激活了,顯示安全對話框。介紹:Microsoft Windows系統進程。在任務管理器中會看到這項進程,屬於正常系統進程。
TCP/IP Services Application支持透過TCP/IP連接局域網和Internet。
winlogon.exe:
Windows Logon Process,Windows NT用戶登陸程序。這個進程是管理用戶登錄和退出的。而且winlogon在用戶按下CTRL+ALT+DEL時就激活了,顯示安全對話框。介紹:Microsoft Windows系統進程。在任務管理器中會看到這項進程,屬於正常系統進程。
conime.exe:
Console IME(IME控制檯),conime.exe是輸入法編輯器,允許用戶使用標準鍵盤就能輸入複雜的字符與符號。它也是病毒光顧的常客,是否有毒,關鍵看它是否不可中止或無規律自動激活,如果是,那就是被病毒感染了。
Console IME(IME控制檯),conime.exe是輸入法編輯器,允許用戶使用標準鍵盤就能輸入複雜的字符與符號。它也是病毒光顧的常客,是否有毒,關鍵看它是否不可中止或無規律自動激活,如果是,那就是被病毒感染了。
iexplore.exe:
Microsoft Internet Explorer網絡瀏覽器透過HTTP訪問WWW萬維網。如果你沒開IE,卻也有這個進程,要注意可能是感染了Backdoor.Aphexdoor病毒。
TIMPlatform.exe:
QQ外部應用開發接口管理程序,TIMPlatform.exe是QQ和Tencent Messenger共同使用的外部應用開發接口管理程序,屬於QQ 2004不可或缺的底層核心模塊。如果刪除該程序,QQ將喪失與周邊功能模塊以及外部應用程序相互調用的功能。該文件可有被QQ白骨精病毒所感染,並且將原文件改名爲TIMP1atform.exe(l改成了1)。請先結束本進程,然後刪除TIMPlatform.exe,再將TIMP1atform.exe改爲TIMPlatform.exe即可。QQ白骨精病毒是一種用VC編寫的發送QQ尾巴和盜取信息的***病毒,它通過在QQ上發送以誘惑性文字爲名的EXE文件(如:超級MM,超級FLASH,請你笑納.EXE)來傳播。病毒會搜索QQ好友並自動發送病毒文件,並盜取被感染的電腦中的QQ密碼。若中了此病毒請用KavQQ最新版殺毒。
Microsoft Internet Explorer網絡瀏覽器透過HTTP訪問WWW萬維網。如果你沒開IE,卻也有這個進程,要注意可能是感染了Backdoor.Aphexdoor病毒。
TIMPlatform.exe:
QQ外部應用開發接口管理程序,TIMPlatform.exe是QQ和Tencent Messenger共同使用的外部應用開發接口管理程序,屬於QQ 2004不可或缺的底層核心模塊。如果刪除該程序,QQ將喪失與周邊功能模塊以及外部應用程序相互調用的功能。該文件可有被QQ白骨精病毒所感染,並且將原文件改名爲TIMP1atform.exe(l改成了1)。請先結束本進程,然後刪除TIMPlatform.exe,再將TIMP1atform.exe改爲TIMPlatform.exe即可。QQ白骨精病毒是一種用VC編寫的發送QQ尾巴和盜取信息的***病毒,它通過在QQ上發送以誘惑性文字爲名的EXE文件(如:超級MM,超級FLASH,請你笑納.EXE)來傳播。病毒會搜索QQ好友並自動發送病毒文件,並盜取被感染的電腦中的QQ密碼。若中了此病毒請用KavQQ最新版殺毒。
wuauclt.exe:
Automatic Updates自動升級,Wuauclt.exe是主管Windows自動升級的系統進程。可以在線檢測最近Windows更新。如果你沒有開啓自動升級的話就不會有這項進程了,而且就算你開啓了它,它也不是任何時候都開啓的。Wuauclt.exe佔用的資源也不算太小。運行時內存佔用達到了6m 左右,好在自動升級不是每時每刻開着的。但是如果你關閉了這個程序的話,wscenfy.exe就會啓動。
Automatic Updates自動升級,Wuauclt.exe是主管Windows自動升級的系統進程。可以在線檢測最近Windows更新。如果你沒有開啓自動升級的話就不會有這項進程了,而且就算你開啓了它,它也不是任何時候都開啓的。Wuauclt.exe佔用的資源也不算太小。運行時內存佔用達到了
wscenfy.exe:
微軟的安全中心的通知程序。在XP打上SP2後纔有,一般在在你係統安全設置存在風險的時候就會出現
微軟的安全中心的通知程序。在XP打上SP2後纔有,一般在在你係統安全設置存在風險的時候就會出現
三,關閉任務管理器關不了的進程
問:怎麼才能關掉一個用任務管理器關不了的進程?我前段時間發現我的機子裏多了一個進程,只要開機就在,我用任務管理器卻怎麼關也關不了。
答1:殺進程很容易,隨便找個工具都行。比如IceSword。關鍵是找到這個進程的啓動方式,不然下次重啓它又出來了。順便教大家一招狠的。其實用Windows自帶的工具就能殺大部分進程:
c:\>ntsd -c q -p PID
只有System、SMSS.EXE和CSRSS.EXE不能殺。前兩個是純內核態的,最後那個是Win32子系統,ntsd本身需要它。ntsd從2000開始就是系統自帶的用戶態調試工具。被調試器附着(attach)的進程會隨調試器一起退出,所以可以用來在命令行下終止進程。使用ntsd自動就獲得了debug權限,從而能殺掉大部分的進程。ntsd會新開一個調試窗口,本來在純命令行下無法控制,但如果只是簡單的命令,比如退出(q),用-c參數從命令行傳遞就行了。NtsdNtsd 按照慣例也向軟件開發人員提供。只有系統開發人員使用此命令。有關詳細信息,請參閱 NTSD 中所附的幫助文件。用法:開個cmd.exe窗口,輸入:
ntsd -c q -p PID
把最後那個PID,改成你要終止的進程的ID。如果你不知道進程的ID,任務管理器-進程選項卡->查看->選擇列->勾上"PID(進程標識符)",然後就能看見了。
答2:xp下還有兩個好東東tasklist和tskill。tasklist能列出所有的進程,和相應的信息。tskill能查殺進程,語法很簡單:tskill 程序名!!
答1:殺進程很容易,隨便找個工具都行。比如IceSword。關鍵是找到這個進程的啓動方式,不然下次重啓它又出來了。順便教大家一招狠的。其實用Windows自帶的工具就能殺大部分進程:
c:\>ntsd -c q -p PID
只有System、SMSS.EXE和CSRSS.EXE不能殺。前兩個是純內核態的,最後那個是Win32子系統,ntsd本身需要它。ntsd從2000開始就是系統自帶的用戶態調試工具。被調試器附着(attach)的進程會隨調試器一起退出,所以可以用來在命令行下終止進程。使用ntsd自動就獲得了debug權限,從而能殺掉大部分的進程。ntsd會新開一個調試窗口,本來在純命令行下無法控制,但如果只是簡單的命令,比如退出(q),用-c參數從命令行傳遞就行了。NtsdNtsd 按照慣例也向軟件開發人員提供。只有系統開發人員使用此命令。有關詳細信息,請參閱 NTSD 中所附的幫助文件。用法:開個cmd.exe窗口,輸入:
ntsd -c q -p PID
把最後那個PID,改成你要終止的進程的ID。如果你不知道進程的ID,任務管理器-進程選項卡->查看->選擇列->勾上"PID(進程標識符)",然後就能看見了。
答2:xp下還有兩個好東東tasklist和tskill。tasklist能列出所有的進程,和相應的信息。tskill能查殺進程,語法很簡單:tskill 程序名!!