簡單地說，進程是程序在計算機上的一次執(zhí)行活動。當你運行一個程序，你就啟動了一個進程。進程又分為系統(tǒng)進程和用戶進程。系統(tǒng)進程主要用于完成操作系統(tǒng)的功能，而QQ、Foxmail等應(yīng)用程序的進程就是用戶進程。

　　進程的重要性體現(xiàn)在可以通過觀察它，來判斷系統(tǒng)中到底運行了哪些程序，以及判斷系統(tǒng)中是否入駐了非法程序。正確地分析進程能夠幫助我們在殺毒軟件不起作用時，手動除掉病毒或木馬。

　　瞭望進程

　　如何知道系統(tǒng)中目前有哪些進程？在Windows98/Me/2000/XP/2003中，按下“Ctrl+Alt+Delete”組合鍵就可以直接查看進程，或打開“Windows 任務(wù)管理器”的“進程”選項來查看進程。通常來說，系統(tǒng)常見的進程有winlogon.exe，services.exe，explorer.exe，svchost.exe等。要熟悉進程，首先就要熟悉最常見的系統(tǒng)進程，這樣當發(fā)現(xiàn)其它奇怪的進程名（如HELLO，GETPASSWORD，WINDOWSSERVICE等等）時就方便判斷了。
　
常規(guī)殺滅進程法

　　1.有的進程在進程選項中無法刪除，這時可以打開注冊表編輯器（在“開始→運行”中鍵入regedit），找到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下面的鍵，將可疑的選項刪除。

　　2.另外，還可以通過系統(tǒng)的“管理工具”里面的“服務(wù)”查看目前的全部進程。這里重點要看服務(wù)中啟動選項為“自動”的那部分進程，檢查它們的名字、路徑以及登錄賬戶、服務(wù)屬性的“恢復(fù)“里面有沒有重啟計算機的選項（有些機器不斷屬性的重新啟動的秘密就在這里）。一旦發(fā)現(xiàn)可疑的名字需要馬上禁止此進程的運行。

　　而要徹底刪除這些程序進程可以用下面的辦法：

　　打開注冊表編輯器,展開分支“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”,在右側(cè)窗格中顯示的就是本機安裝的服務(wù)項，如果要刪除某項服務(wù)，只要刪除注冊表中相關(guān)鍵值即可。

　　3.除了上面兩種方法，我們還可以先查看這個進程文件所在的路徑和名稱。重啟系統(tǒng)，按F8鍵進入安全模式，然后在安全模式下刪除這個程序。

　　這里，筆者編寫了容易被大家認出來的非法進程服務(wù)（系統(tǒng)進程）舉例說明：HELLO-WORLD SERVICE 1。我們可以輕松地在進程列表和“服務(wù)”中找到它。根據(jù)上面的方法，我們可以把這個進程殺掉或禁用。

　　不少病毒和木馬是以用戶進程的形式出現(xiàn)的，所以大部分人認為“病毒是不可能獲得‘SYSTEM’權(quán)限的”。其實，這是個錯誤的想法，很多病毒或木馬也能獲得SYSTEM權(quán)限，并偽裝成系統(tǒng)進程出現(xiàn)在你面前。所以這類病毒就相當容易迷惑人，遇到這種情況，只有不斷提高并關(guān)注系統(tǒng)安全方面的知識，才能準確判斷該進程是否安全。












--------------------------------------------------------------------------------

 



　　一款好的防火墻并不能發(fā)現(xiàn)所有病毒；一個好的殺毒軟件并不能殲滅所有的帶毒程序！遇到這些情況我們該做何處理呢？很簡單——手工殺毒。而要論到手工殺毒，就不能不提到系統(tǒng)進程的妙用了。 

　　進程、病毒？
 
　　書上說：“進程為應(yīng)用程序的運行實例，是應(yīng)用程序的一次動態(tài)執(zhí)行?！笨此聘呱睿覀兛梢院唵蔚乩斫鉃椋核遣僮飨到y(tǒng)當前運行的執(zhí)行程序。在系統(tǒng)當前運行的執(zhí)行程序里包括：系統(tǒng)管理計算機個體和完成各種操作所必需的程序；用戶開啟、執(zhí)行的額外程序，當然也包括用戶不知道，而自動運行的非法程序(它們就有可能是病毒程序)。

　　危害較大的可執(zhí)行病毒同樣以“進程”形式出現(xiàn)在系統(tǒng)內(nèi)部(一些病毒可能并不被進程列表顯示，如“宏病毒”)，那么及時查看并準確殺掉非法進程對于“手工殺毒有起著關(guān)鍵性的作用。

　　操作系統(tǒng)如何打開進程列表？

　　要通過進程列表查看系統(tǒng)是否染毒，必須打開當前的執(zhí)行程序進程列表，Microsoft的每種系統(tǒng)都有相應(yīng)的打開方法，但能夠顯示的能力卻因(系統(tǒng))不同，有所差異：

　　1.　Windows 98 /Me系統(tǒng)

　　打開系統(tǒng)進程的方式很簡單，快捷鍵“Ctrl+Alt+Delete”(如圖1)，這個窗口大家應(yīng)該比較熟悉，使用Windows系統(tǒng)的用戶都知道用這個方法來關(guān)閉程序，不過它同樣用于顯示系統(tǒng)進程，只是Windows 98系統(tǒng)較初級，對進程的顯示局限于名稱，且里面所顯示的還有打開的文件及目錄名，查看時易混淆。Windows Me的進程打開方式和Windows 98相同。

　　Windows 9x系統(tǒng)打開的進程列表混亂且不完全，顯然不便于查看系統(tǒng)的具體進程狀況，所以建議使用一些工具程序來為Windows 9x系統(tǒng)顯示進程，如“Windows優(yōu)化大師”，在“優(yōu)化大師”的“系統(tǒng)安全優(yōu)化”項內(nèi)打開“進程管理”，在圖2所示的“Windows 進程管理”窗口內(nèi)，可以詳細查看當前計算機所運行的所有進程，及具體程序所在的位置，這樣更方便完成后面要介紹的如何利用進程進行查毒、殺毒。

　　2.　Windows 2000/ XP/2003系統(tǒng)

　　Windows 2000、Windows XP、Windows 2003打開進程窗口的方式與Windows 9x系統(tǒng)相同，只是三鍵后打開的是“Windows 任務(wù)管理器”窗口，需要選擇里面的“進程”項。Windows 2000系統(tǒng)只顯示具體進程的全名，占用的內(nèi)存量；Windows XP、Windows 2003系統(tǒng)相比Windows 2000會顯示該進程歸屬于那個用戶下，如操作系統(tǒng)所必須的基礎(chǔ)程序，會在后面的“用戶名”內(nèi)顯示為“SYSTEM”，由用戶另外開啟的程序則用戶名為當前的系統(tǒng)登錄用戶名。

　　通過進程發(fā)現(xiàn)、處理病毒

　　在介紹具體的查毒和殺毒前，筆者先回答開篇提出的兩個問題。為什么殺毒軟件并不能全面的查找和殺掉病毒？首先，病毒防火墻是通過對程序進行反匯編，然后與自己的病毒庫進行對比來查找病毒，如果病毒較新，而殺毒軟件又未能及時升級便不能識別病毒。其次，殺毒軟件在發(fā)現(xiàn)病毒后，如果是獨立的可執(zhí)行病毒程序，會選擇直接刪除的處理方式，而病毒如果被當作進程執(zhí)行了，殺毒軟件就無能為力了，因為它沒有功能和權(quán)限先停止掉系統(tǒng)的這些進程，被當作進程執(zhí)行的程序是不能被刪除的(這也是大家在刪除一個程序時，提示該程序正在被使用不能刪除的原因)。所以在使用殺毒軟件殺毒時，才會有殺毒完成后，又出現(xiàn)病毒提示的原因。

　　回到原來話題上！通過進程如何發(fā)現(xiàn)和殺掉病毒呢？由前面的知識介紹可知，Windows 9X和Windows 2000系統(tǒng)只能顯示進程的名稱，這對判斷該進程是否是病毒還不夠，如果要準確的斷定病毒，最好使用前面介紹的“Windows優(yōu)化大師”來查看進程程序的源路徑，如果是“C:\windows\system”下的一些未知的“EXE”那便極有病毒的可能性了。Windows XP和Windows 2003系統(tǒng)，進程后會有“用戶名”的顯示，病毒是不可能獲得“SYSTEM”權(quán)限的，所以應(yīng)注意“用戶名”是當前登錄用戶的進程，一旦發(fā)現(xiàn)是病毒，可以立即“殺掉”。這里介紹兩個技巧：

　　1.發(fā)現(xiàn)可疑進程后，利用Windows的查找功能，查找該進程所在的具體路徑，通過路徑可以知道該進程是否合法，譬如由路徑“C:\Program Files\3721\assistse.exe”知道該程序是3721的進程，是合法的。

　　2.在對進程是否病毒拿不定主意時，可以復(fù)制該進程的全名，如：“xxx.exe”到googl.com或baidu.com這樣的全球搜查引擎上進行搜查，如果是病毒會有相關(guān)的介紹網(wǎng)頁。

　　確定了該進程是病毒，首先應(yīng)該殺掉該進程，對于Windows 9x系統(tǒng)，選中該進程后，點擊下面的“結(jié)束任務(wù)”按鈕，Windows 2000、Windows XP、Windows 2003系統(tǒng)則在進程上單擊右鍵在彈出菜單上選擇“結(jié)束任務(wù)”?！皻⒌簟边M程后找到該進程的路徑刪除掉即可，完成后最好在進行一次殺毒，這樣就萬無一失了。

　　一次利用進程殺毒的具體過程是這樣的：“通過進程名及路徑判斷是否病毒——殺掉進程——刪除病毒程序”，為了讓讀者更好的判斷進程，在這里補充一些Windows的進程資料給大家：

　　進程名