社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
发帖 回复
« 返回列表
  • 1013阅读
  • 0回复

[共享]教你如何关闭恶意进程

 楼层直达
bfhuhh
级别: 光盘见习
发帖
172
飞翔币
31
威望
6
飞扬币
574
信誉值
0
只看楼主 更多操作 0 发表于: 2012-05-15
— 本帖被 霸王硬上弓 执行压帖操作(2012-05-18) —
教你如何关闭恶意进程
  1.关闭任务管理器杀不了的进程
    发现任务管理器的进程列表中有一些可疑进程,用任务管理器却无法杀掉,该怎么办呢?Windows xp/2003的任务管理器是一个非常有用的工具,能让你看到系统中正在运行哪些程序(进程),只要你平时多看任务管理器中的进程列表,熟悉系统的基本进程,就可以随时发现可疑进程,这对防范木马和病毒大有裨益!
哪些系统进程不能关掉
    Windows运行的时候,会启动多个进程。只要你按下“Ctrl+Alt+Del”键打开任务管理器,点击“查看” /选择列,勾选“PID(进程标识符)”,然后单击“进程”标签,即可看到这些进程。不过有一些进程个人根本用不到,例如Systray.exe(显示系统托盘小喇叭图标)、Ctfmon.exe(微软Office输入法)、WinAMPa.exe等,我们完全可以禁止它们,这样做并不会影响系统的正常运行。
关闭任务管理器杀不了的进程
如果你在任务管理器中无法关闭某个可疑进程,可以使用下面的方法强行关闭,注意不要杀掉进程表中的系统核心进程:
(1).使用Windows XP/2000自带的工具
从Windows 2000开始,Windows系统就自带了一个用户调试工具Ntsd,它能够杀掉大部分进程,因为被调试器附着的进程会随调试器一起退出,所以只要你在命令行下使用Ntsd调出某进程,然后退出Ntsd即可终止该进程,而且使用Ntsd会自动(ghost520.net)获得Debug权限,因此Ntsd能杀掉大部分的进程。
操作方法:单击“开始” /程序/附件/命令提示符,输入命令:ntsd –c q –p PID(把最后那个PID,改成你要终止的进程的PID)。在进程列表中你可以查到某个进程的PID,例如我们要关闭Explorer.exe进程,输入:ntsd –c q –p 408 即可。
以上参数-p表现后面跟随的是进程PID,-c q 表示执行退出Ntsd的调试命令,从命令行把以上参数传递过去就行了。
(2).使用专门的软件来杀进程
任务管理器杀不掉的进程,你可以使用专门的软件关闭。有很多软件可以杀进程,例如进程杀手、IceSWord、柳叶擦眼等。
2. 查看隐藏进程和远程进程
    在系统任务管理中,除了一些我们可以看得见的xp进程外,还有一些隐藏进程是我们不能直接看到的,而这些进程就有可能是病毒木马。但是进程看不见,那怎么知道有没有木马呢?对付非常规的进程,我们当然要采用非常规的手段。
(1).查看隐藏进程
    查看隐藏进程有很多方法。推荐大家下载“隐藏进程管理工具”,来完成对隐藏进程的查看和管理。运行其中的“ECQ-PS.exe”文件,在打开的窗口中可以看到系统中所有的进程列表。
在每个进程后面,可以看到此程序的线程有多少个,它主要关联的程序名和路径是什么,它是否为可疑程序,等等。对于提示为“可疑”的进程,在查看具体的文件路径后,当确认为是恶意程序时,可以选中此进程并单击鼠标右键,在弹出的快捷菜单中选择“强行结束进程”。
查看远程进程
     远程进程又是怎么回事呢?难道可以在自己的机器上查看别人电脑上运行的进程?
     查看远程电脑的进程是黑客的基本功,也是他们常干的事情,其实方法很简单,下面给大家介绍。
     在“命令提示符”窗口中输入如下类似(格式相同,IP地址要换)命令:
     Tasklist /s 192.100.100.10 /uAdministrator /p 123456
     在使用上述命令后,稍等片刻后就可以从所示信息中,得到远程电脑反馈回来的进程列表信息了。
     其中“/s”参数后的“192.100.100.10”是指要查看的远程系统的IP地址;“/u”参数后的“Administrator”是指Tasklist命令使用的用户账号;“/p”参数后的“123456”是指Administrator账户的密码。
     通过上面的命令可以得到远程电脑的进程列表,进而黑客们可以判断出自己植入的木马等程序是否在远程电脑上运行,怎么样,是不是很简单?
3.杀死病毒进程
     有的时候,发现任务管理器有可疑进程,但是无法结束进程,该怎么办呢?这类进程还是比较多的,虽然不能直接结束进程,但是我们完全可以换一种思路来结束这些进程,达到殊途同归的效果。
     在“Windows任务管理器”中,在切换到“进程”标签页后,单击“查看-选择列”菜单,在弹出的窗口中单击勾选“PID(进程标识符)”项。
     接着在“命令提示符”窗口中,就可以使用ntsd命令进行进程关闭操作了,除了System等纯内核态、ntsd命令本身需要的进程不能关闭,其他的任意进程都可以强制关闭。
     假设现在要关闭PID为1404的,那么在“命令提示符”窗口中,使用“ntsd –c q –p 1404”的命令就可以了。如果要关闭进程,那么只需将上述命令的1404换成相应的PID号即可。
     此外,也可以使用命令“Taskkill /im 进程名”在DOS下杀除进程,如“Taskkill /im Explorer.exe”。
 
分享到 淘江湖 新浪 QQ微博 QQ空间 开心 人人 豆瓣 网易微博 百度 鲜果 白社会 飞信
回复 引用
举报
发帖 回复
« 返回列表