〖图文教程〗反黑客级超强的任务管理器：Process Explorer

flyingfish42

级别: 光盘中级

发帖: 1140

飞翔币: 335

威望: 303

飞扬币: 8460

信誉值: 0

只看楼主更多操作 0 发表于: 2006-11-03

ProcessExplorer可谓是老牌的加强型任务管理器了，现在最新的中文版本已经是v9.25了.不算帮助文档的话，只有一个程序，只有496K，可谓超小体积，放在邮箱也好QQ盘也好软盘也好，放哪里都不碍事。
程序执行即可用，完全免安装免配置。
可以替换系统自带任务管理器，完全不需要事先停止Windows的系统文件保护(WFP或SFC)。

主界面。可以看到进程关系和进程基本信息。
列信息我只选择了最常用的“路径”和“窗口标题”、“描述”，实际上还可以选择更多，比如命令行、备注、公司名、CPU使用时间、开始时间、线程、句柄计数、页面/PF使用、内存使用、IO对象、以及句柄、Dll的信息。

可选列信息，我做了个动画。

我们以实例来介绍这个任务/进程管理器。
拿QQ开刀
首先看基本信息：

性能页的信息：
够全吧？

性能图像，包括CPU和PF使用率。
这个图像是QQ.exe进程的图像，而非全局图像。
windows自带的taskmgr只能看全局图像而不能看某个进程的图像。

进程包含的线程信息。在这里可以看线程堆栈以及结束线程。
QQ的线程还真多

TCP/IP没有内容，跳过不发了。
现在说下安全，在这里可以看进程是否越级

以及进程所处的系统的环境变量。一般都是系统变量，但有时候可能使用其他配置的变量，在这里可以一目了然。

然后，在主界面还可以看：
进程链接的Dll。
QQ进程链接的Dll非常的多，以实现它的影音播放、数据通讯、图片等等内容，这里只截取十分之一的内容，否则上传图片体积超标。

还可以查看进程打开的句柄。
你不知道一个进程都对注册表作了什么么？
是否有的时候看到硬盘狂转，打开windows自带的进程管理器却看到各个进程“似乎”都挺老实，CPU占用率都不高？是否抓不到让硬盘狂转的凶手，无法调试系统？在这里可以了。
依旧只帖几十分之一的内容，太多，贴不开。

再举个例子说明。
有时候我们中了毒，比如中了usign.dll的毒，这个dll被插进系统，会导致打开IE的时候附带打开一个广告跳窗。
我们知道了它的存在却无法奈何它，原因有2：1，它不是以进程启动，windows进程管理器找不到它更杀不掉它。2，我们不知道他挂接在哪里，杀不掉它就无法删除内存里的进程，清除不掉病毒。
原先我们几乎无法杀掉它，因为它不是进程，在windows进程管理器是找不到的，它是作为线程或模块挂接在其他的程序里，比如IE上。
现在我们有了Proexp，可以使用查找Dll功能方便得找到它并结束它然后删除他。
当然我机器里没有那个病毒，那就找个别的dll演示吧。点搜索后，稍等，dll就无处藏身了，我们可以转到QQ.exe里面去结束这个线程

得益于它强大的功能，我们有时候做一些事情就不需要再循规蹈矩。
举例来说：IE6的问题，输入顶级域名xxx后点Ctrl+Enter，本来应该补齐www.xxx.com，但却成了补齐www.xxx.co.cn或者www.xxx.com.cn，完全不符合我们的使用习惯和实际需求。
处理方法很简单，找到位于C:\%windir\system32下的browselc.dll，用ExeScope修改其中一个字段，然后覆盖回去即可。
但是问题来了，覆盖回去，提示正在占用，不准覆盖……按照平常的方法我们是重新启动，进入DOS下
然后覆盖，可问题又来了，我用的NTFS，DOS访问NTFS超级麻烦，就算进安全模式也提示无法覆盖，怎么办呢？
有了proexp后一切都好办了，搜索browselc.dll,会发现原来是windows外壳程序explorer.exe在调用它。我们结束explorer.exe就行了！
但结束explorer.exe就没有外壳了，怎么复制呢？简单，点击proexp界面上的运行按钮，就会出现一个文件和文件夹浏览器，在里面就可以完成所有操作：复制、粘贴到C:\winnt\syste32\，完全不会再提示文件被占用了。然后重新运行explorer.exe即可。

说一下替换任务管理器。
既然这么好用的管理器，我们就让他来代替默认的windows任务管理器吧。
把proexp.exe改名为taskmgr.exe然后替换之么？不行的，taskmgr.exe是系统文件保护程序，替换了马上就会被还原。但只要点击界面上如下选项，则可完成替换，以后不论输入taskmgr.exe还是Ctrl+alt+del，出现的都是proexp了。
但你完全不用担心换不回来了，因为它的替换并不是替换文件，而是替换文件呼叫的关联。实际上你的windows任务管理器仍然老老实实的呆在原地呢，什么时候想换回来，去掉主界面上的选项即可。

引用:
PS:最新简体中文版(本身就是绿色免安装版的,解压即可使用)的上传上来,方便需要的朋友下载.已经本人的卡吧和瑞星扫过毒,但还请希望大家下载后第一时间查毒养成良好的个人安全习惯..

转自龙族

[ 本帖最后由 flyingfish42 于 2006-11-3 15:14 编辑 ]

附件: