1.3 熟悉系统进程

技巧1 查看系统中运行的进程

电脑启动后，在系统中启动任意程序，系统都会在后台加载相应的进程。进程是系统或应用程序的一次动态执行，简单地说，它就是操作系统当前运行的程序的总称。系统进程控制着程序的各个方面，起着非常重要的作用，也正是因为它的这一特性，经常被用作入侵电脑的跳板，例如许多病毒就是伪装成系统进程在电脑中运行、进而破坏电脑系统的。

在电脑正常运行时，系统进程主要由系统管理计算机个体和完成各种操作所必需的程序和用户开启、执行的软件程序。我们可以通过Windows任务管理器对系统中运行的进程进行查看：用鼠标右键单击任务栏空白处，在弹出的菜单中单击“启动任务管理器”命令，打开Windows任务管理器窗口，然后切换到“进程”选项卡，即可看到当前系统中运行的进程了，在“描述”栏可看到对应进程的介绍。

此外，还可以通过“tasklist”命令查看系统进程：根据本书前面介绍的方法打开“命令提示符”窗口，在其中输入“tasklist”命令，然后按下Enter键即可。

技巧2 怎样查看进程起始位置

在Windows任务管理器窗口中关闭危险程序的进程，只是暂时终止该程序的运行，并不能将该危险程序彻底从电脑中清除，这无疑是一个治标不治本的办法。要想去除电脑的安全隐患，还必须查找出危险进程的起始位置。在Windows XP和Windows 7系统中查看进程起始位置的方法有所不同，下面分别为读者进行介绍。

1.在Windows XP中查看

在Windows XP系统中，我们可以通过使用“netstat-abnov”命令来查看危险进程的起始位置：在开始菜单中单击“运行”命令，在弹出的“运行”对话框中输入“cmd”命令。在接着弹出的命令提示符窗口中输入“netstat-abnov”命令，按下Enter键，在下方会显示出当前进程的详细信息，用户可根据这些信息查看进程对应的起始位置。

2.在Windows 7中查看

在Windows 7系统中，我们可以使用Windows任务管理器来查看危险进程的起始位置，具体操作方法如下。

01 同时按下“Ctrl+Shift+Esc”组合键打开Windows任务管理器，切换到“性能”选项卡，然后在打开的界面中单击“资源监视器”按钮，如下面左图所示。

02 打开“资源监视器”窗口，在“映像”列表框中勾选需要查看起始位置的进程，在下方展开“关联的模块”栏，即可查看该进程的相关信息，在“完整路径”栏可以看到该进程的起始位置，如下面右图所示。

技巧3 如何查看他人电脑中的系统进程

查看他人电脑中的系统进程又叫查看远程进程，这也是黑客的基本功。查看远程进程的方法是在“命令提示符”窗口中输入如下命令“tasklist/s 192.168.1.20 /u Administrator /p 000”，然后按下“Enter”键，即可显示他人电脑中运行的进程。

技巧4 如何判断系统进程是否正常

要对系统进程完全了解，对于一个普通电脑用户来说是有一定难度的，而如果不了解系统进程又无法辨别病毒和木马进程，这让很多用户感到非常头疼，下面就为大家解决这个问题。

通常情况下，电脑在刚装完操作系统时是最安全的，用户也会使用重装系统来解决很多系统问题。我们可以在刚装完操作系统时将系统进程记录下来，待怀疑有恶意进程时再拿出记录来对比，如确有异常，就执行关闭操作，具体方法如下。

01 系统安装完成后或者在电脑正常运行时，单击系统左下角的“开始”按钮，然后在弹出的“开始”菜单中依次单击“所有程序”→“附件”→“系统工具”→“系统信息”菜单命令。

02 在打开的“系统信息”窗口中依次展开“软件环境”→“正在运行任务”目录，在右侧打开的页面中可以看到当前的进程信息，然后在菜单栏依次单击“文件”→“导出”菜单命令。

03 在打开的“另存为”对话框中将进程信息另存为文本文件，然后单击“保存”按钮保存进程信息，待发现系统进程有异常时，打开该文本文件对比，然后关闭异常进程即可。

技巧5 关闭正在运行的进程

在查看系统进程的过程中，如果发现危险进程，应立即将其关闭。关闭进程的方法如下。

01 在“Windows任务管理器”窗口中选中要关闭的进程，然后单击“结束进程”按钮。

02 在弹出的对话框中单击“结束进程”按钮即可。

技巧6 新建系统进程

就像前文提示的一样，系统正常运行的进程一旦受到破坏，很可能导致系统无法正常工作，此时我们应该根据实际情况新建被破坏的或误删的进程。下面以新建“Explorer.exe”进程为例，介绍新建进程的方法，具体操作步骤如下。

01 在“Windows任务管理器”窗口中依次单击“文件”→“新建任务（运行…）”菜单命令。

02 在弹出的“创建新任务”对话框中，在“打开”的文本框中输入要新建的进程，本例输入“Explorer.exe”，然后单击“确定”按钮即可。

技巧7 查看隐藏的进程

在Windows任务管理器中，除了我们能够看到的进程外，还有一些隐藏的进程是我们看不到的，而这些进程就很有可能是病毒或木马进程。为了电脑系统的安全，我们有必要对隐藏的危险进程进行查看和关闭。

查看隐藏进程的方法很多，这里主要介绍通过使用“ECQ-PS”进程管理工具对隐藏进程进行查看和关闭，具体操作方法如下。

01 在网上下载“ECQ-PS”软件，然后启动其主程序，在打开的程序窗口中可以看到系统中所有的进程。双击某进程，可在右侧的窗格中看到该进程的详细信息。

02 在“ECQ-PS”程序窗口中，用户可在“类型”栏看到进程的类型，对于一些不明的进程将会以“可疑”类型显示，当确定其为危险程序时，可对其单击鼠标右键，然后在弹出的菜单中单击“强行结束进程”命令，关闭该进程。

技巧8 如何查杀病毒进程

在“Windows任务管理器”窗口中，某些病毒进程是无法使用选中后单击“结束进程”按钮来关闭的，此时就需要通过特殊的命令来执行关闭操作。顽固的病毒进程可以使用“taskkill”命令+PID值来关闭，具体操作步骤如下。

01 同时按下“Ctrl+Shift+Esc”组合键，在“Windows任务管理器”窗口中依次单击“查看”→“选择列”菜单命令。

02 在弹出的对话框中勾选“PID（进程标识符）”复选项，单击“确定”按钮，然后在返回的对话框中记录下可疑进程的PID值。

03 打开“命令提示符窗口”，在其中输入“askkill /pid xxxx（进程PID值）”，然后按下Enter键，即可将对应的进程关闭。

还可以通过特殊命令来查看和关闭端口：使用“Tasklist”命令查看系统进程时，可以看到进程的PID值，记录需要关闭进程对应的PID值，在“命令提示符”窗口中输入taskkill /pid xxxx（进程对应的PID值），然后按下Enter键即可关闭对应的进程。例如要关闭“QQMusic.exe”进程，而其对应的PID值为2444，则在“命令提示符”窗口中输入taskkill /pid 2444，然后按下Enter键即可。