007_PROCEXP进程管理器简明使用教程.doc

PROCEXP进程管理器简明使用教程软件下载/safetools/safe_tools/safe/procexp.rar此工具可以查看当前运行的程序（包括一些windows任务管理器不能看到的隐藏的进程），并杀掉运行进程，直接运行程序如图：图中各进程以树形结构显示，表示他们之间的依附关系。比如我们可以看出，SvcGuiHlpr.exe这个进程是依附于AcSvc.exe这个进程上的，如果我产杀死AcSvc.exe，就会同时杀死SvcGuiHlpr.exe。Windows进程分为两种：一种是服务程序，一种是普通程序。服务程序是由系统服务所产生的，他们都依附于一个叫services.exe的进程名下；普通程序是由用户手动运行起来的程序所产生的，如WINWORD.EXE,就是用户运行WORD字处理器产生的。如上图实例。普通程序可以用windows自带的任务管理器关闭，而服务程序只能通过服务管理器才能关闭。然而PROCEXP可以同时杀死服务进程和普通进程，杀进程的方法是：右键点击需要杀死的进程，选择弹出菜单的“终止进程”项即可，PROCEXP除了可以杀死单个进程外，还可以杀死整个进程树。（PROCEXP杀死进程的功能比较强大，连Winlogon.exe都可以杀掉，若你杀掉它，系统会自动当机，请谨慎使用)。如下图：使用其识别木马程序的方法：首先查看是否有可疑进程，一些木马使用了windows系统程序名，例如：services.exe，svchost.exe（这些文件在windowssystem32目录下，一般木马会放在磁盘根目录下，或是windows目录下），另一种情况是某些进程会占用较大的CPU利用率。看到可疑程序直接在列表中选中，右键查看属性，或直接双击。看程序的描述信息，微软程序或其他正规程序的描述信息和版本信息一般都很详细，若没有版本信息则很可能是木马程序，也有一些木马写了跟微软类似的信息，此时可以使用数字签名校验功能，点击“验证”按钮，若是微软的程序会提示(已验证)，如下图：对于一般的程序，Explorer.exe启动的程序都可以杀掉的，一般不会引起系统问题。有时电脑会突然弹出消息框或错误框，但又不知道是那个程序弹出的，可以选择如图按钮按住鼠标左键，把鼠标放在弹出的对话框上，抬起鼠标左键工具会自动定位当运行的程序上。在程序的属性对话框的TCP/IP属性页，我们还可以看到程序访问的网络情况，如果是木马或蠕虫病毒，一般都会打开端口向外发送数据包。如上图，我们演示了查看MSN即时通讯软件打开的网络端口的情况。这里面我们可以看到它所使用的网络协议，与远程哪些主机发生的通讯，目前连接状态等信息。另外，木马程序一般不会打开WINDOWS窗口，我们可以通过查看某可疑进程能否切换到对应窗口的办法来检查它是否正常。方法：双击打开进程属性后，在“映像”标签中点击“切换到此程序”按钮，如果属于正常的普通程序进程，系统会自动切换到程序对应的窗口上，如果提示“未找到此进程的可见窗口”，则该进程很可能就是木马了。当然，使用这一方法时，需要综合分析，因为WINDOWS系统中，毕竟还是有很多进程，尤其是服务进程是不会产生WINDOWS窗口的。如下图：可以查看进程使用了那些动态库首先按键盘的Ctrl+D组合键，打开查看动态链接库DLL的窗口，然后选择某个进程，此时，我们就可以在程序中看到该进程所使用的DLL动态库文件信息了。如下图：发现可疑程序，不能确认它是否是病毒或木马时，我们还可以在进程名上点击右键后，选择“Google”项，直接打开IE帮你搜索网上关于此程序的信息，这样可以确认程序是否是木马。使用PROCEXP需要分析并得到答案的几个要点：1、 查看是否有可疑进程？尤其是否有隐藏进程？2、 要分析出这个进程是系统服务还是普通程序产生的？3、 进程是否产生了WINDOWS窗口？4、 如果是服务进程，那么它对应的系统服务名是什么？5、 进程对应的程序文件及路径？6、 进程占用CPU和MEM的情况如何？7、 进程的版本信息是否正规？8、 进程是否产生了网络行为？9、 在分析莫名的弹出窗口时，要充分利用PROCEXP的“根据窗口查找对应进程”的功能；10、 充分利用网络资源查找相关信息。此简明教程，仅起到抛砖引玉的作用，关于其中的各项详细功