為進程管理傳遞正能量

技術應用

作者：馬振海

在Windows係統運行過程中，用戶或許會經常遇到文件窗口打開速度遲鈍或者係統桌麵突然假死現象。麵對各種運行不正常現象，用戶往往會下意識打開任務管理器窗口，在進程標簽頁麵中，對一些不正常的係統進程查殺或控製。可是，當發現Windows係統中的陌生進程數量增加很多時，按照常規方法管控它們，工作效率就不會很高。而且有的陌生進程還很頑固，普通方法根本奈何不了它們。這時，我們該如何為係統進程管理傳遞正能量，確保係統始終處於一種“幹淨”狀態，既安全又高效地運行呢？

找出危險進程

不少狡猾的惡意程序經常會精心偽裝，將有威脅的進程假冒成普通的係統進程，來躲開殺毒軟件或用戶的全麵“圍剿”。所以，要讓係統進程安全高效運行，首先要做的工作，自然就是判斷陌生進程是否安全，並將真正有安全威脅的進程及時從係統中揪出來。

識別危險等級

病毒木馬進程不同，它們對Windows係統造成的安全威脅等級也會不同，要是發現計算機中存在陌生進程“身影”時，相信用戶肯定很想了解它們的危險等級究竟有多大。使用TaskPatrol工具，就能幫助用戶直觀地識別出陌生進程的來龍去脈，準確判斷進程的危險等級；當確認陌生進程危險等級很高時，可以及時將十分危險的陌生進程刪除掉，以保證其不會繼續幹擾係統的安全穩定運行。

從Internet網絡中下載安裝好TaskPatrol程序，開啟它的運行狀態，進入對應程序主操作界麵。檢查“security rating”列信息，用戶能發現計算機係統中所有進程的安全危險等級，已經以進度條方式被直觀表達出來，按照從左向右的順序，不難看出每個進度條顏色由綠色漸漸變成紅色，而且在進程的進度條左側區域，還能看到所有程序進程的危險威脅係數，通過比較這些係數的大小，用戶更能直接地識別出哪些進程是安全的，哪些進程是危險的。正常情況下，某個進程的安全威脅係數越小時，那就表明對應進程的安全等級程度越高，Windows係統的所有核心進程，其安全威脅係數應該都為“0”才對。當看到某個陌生進程的安全威脅係數數值十分高時，我們應該毫不猶豫地認定它對係統的安全威脅十分巨大，為了不讓它繼續攻擊係統，不妨用鼠標右鍵單擊它，選擇快捷菜單中的“terminate process”選項，這樣TaskPatrol工具就能自動禁止它的啟動運行。

要想搞明白危險進程的破壞力在何處時，可以選中目標危險進程，並用鼠標右擊之，從彈出快捷菜單中執行“reanalyze”命令，那麼TaskPatrol工具就會對特定進程的危險性進行自動分析。除了通過右鍵菜單命令，分析危險進程的攻擊性外，也能在選中特定進程的情況下，選中主操作界麵底部分析欄位置處的“security analysis”選項，得到相關進程的安全分析結果。一般來說，危險程序的進程類型不同，它們對係統的破壞性也會不同，利用“process function”選項功能，可以判斷出危險進程是否有自動運行、分析、操作其他係統進程的本領，從而識別出它對Windows係統正常進程的控製力有多強。利用“monitoring functions”選項功能，用戶能了解到危險進程有沒有偷偷監視本領，比方說有的惡意進程可以悄悄將鍵盤輸入內容攔截下來，通過這裏的分析結果，用戶可以知道陌生進程對係統底層有沒有一定的控製力。利用“registry function”功能選項，用戶可以洞察出危險進程能否操縱控製係統注冊表，比方說能否對注冊表分支或鍵值內容進行編輯、查詢、訪問、刪除等。利用“file function”功能選項，用戶可以查明陌生進程是否對計算機文件有控製力，比方說對重要文件偷偷執行重命名、搜索、刪除、定位、複製、移動、修改等操作。利用“internet function”功能選項，可以判定危險進程能否影響計算機網絡連接功能等。

判斷安全類型

從安全性角度來看，我們可以將危險進程的安全性分成未知安全、不安全、一般安全、非常安全等類型，Windows係統的核心進程應該劃歸為非常安全類型，安裝在計算機中的所有應用程序進程默認會被劃分為一般安全類型，病毒木馬進程應該劃歸為不安全類型，那些沒有經過微軟數字簽名認證或存在BUG的設備驅動程序，常常被劃歸為未知安全類型。那麼麵對Windows係統中的眾多進程，如何才能快速有效地判斷出本地計算機中的每一個進程，究竟屬於什麼安全類型呢？Security Process Explorer這款專業工具就能幫助我們識別出進程的安全類型，它通過不同的顏色色塊，標識每個進程的不同安全類型，日後隻要觀察顏色色塊，就能直觀識別出各個進程屬於哪種安全類型了。比方說，該工具利用空白色塊標識未知安全進程類型，用綠中帶紅色塊標識一般安全進程類型，用純綠色色塊標識安全進程類型，用純紅色色塊標識不安全進程類型。

開啟Security Process Explorer工具的運行狀態後，計算機中的所有程序進程都會被自動列寫出來。在這裏，我們不難看出不同安全類型的進程，使用了不同的顏色色塊，通過觀察顏色色塊，就能十分輕鬆地揪出潛藏在本地計算機中可能有安全風險的陌生進程。比方說，要是看到計算機中潛藏有若幹個標識為紅色色塊的進程時，那就意味著本地計算機或許已受到病毒木馬程序的攻擊，為了查看這類不安全類型進程的詳細信息，隻要用鼠標右鍵單擊紅色色塊進程選項，點擊快捷菜單中的“詳細信息”命令，彈出不安全進程的詳細信息查看對話框。在該對話框中，用戶能查看到危險進程的許多狀態信息，包括具體的進程名稱、進程開發公司名稱、進程標識ID以及進程運行優先級等信息。選擇“用到的模塊”標簽，我們可以在目標標簽設置頁麵中，發現到危險進程究竟訪問了本地計算機中的哪些動態鏈接庫文件，通過這些內容，我們能夠準確識別出危險進程到底是不是病毒木馬進程了。當確認某個進程是不安全進程時，隻要用鼠標選中它，點擊“屏蔽進程”按鈕，將選中進程的運行狀態立即禁止掉，同時將其添加到進程運行屏蔽列表中，保證這些危險進程日後不能自動開啟運行。