让任务管理下岗的“小兵”
软件世界
很多朋友喜欢通过系统进程来来辨析病毒或木马程序,但系统自带的任务管理器由于功能有限,此时就显得有些力不从心。笔者找到了一个可以替代任务管理器的“小兵”──Security Task Manager(下面简称为STM),利用它所提供的详细进程信息,我们可以更方便地查找出可疑的进程,以确保系统的安全。
Security Task Manager 档案
软件信息:1226KB/共享软件
下载地址:ftp://ftp.neuber.com/pub/taskmanager16.zip
软件亮点:能比系统自带的任务管理器显示更多的系统进程信息。
一、列出全部进程
在Windows的任务管理器中,我们可以通过当中的应用程序和进程两个功能标签来查看和了解正在运行的程序信息,不过它当中提供的信息相当有限,这对于部分试图通过任务管理器来辨析可疑程序或进程的用户来说实在是一个很大的缺陷,STM则正好弥补了这方面的不足。
启动软件后,在进程列表区中会详细列出所有正在运行的进程,当中不但包括了在任务栏和系统托盘上的程序,即使是DLL文件(程序的动态链接库)以及一些驱动程序、服务组件等(这些进程在任务管理器中可能不会显示,但它们有可能影响着系统的安全和稳定)也无一漏网,让你完全掌握计算机的运行情况。
点击CPU(CPU占用情况)或Memory(内存占用情况),可让进程按资源占用的情况来简单排序,这样就能轻易地识别出一些资源占用不正常的进程,便于我们进行下一步的判断。
提示:点击工具栏上的“Windows processes ”图标,STM还会进一步搜索并显示更多的隐藏进程,其详尽程度足以令人吃惊(很多恶意程序的进程在系统自带的任务管理器中可能并不会显示)。
二、仔细辨析进程信息
有了详细进程清单,接下来就是对进程进行逐一分析了。
用鼠标随意点击任一进程,可以在进程列表区中通过观察它的Name(文件名称)、Rating(安全级别)、CPU(CPU占用情况)、Memory(内存占用情况)、File(文件的所在位置)、Title(标题和描述)等来了解每个进程的进一步信息,辨析可疑进程或后门程序。
以svchost.exe进程为列,由于在Windows 2000/XP系统中,svchost.exe进程提供了很多系统服务,因此一些病毒想以各种途径伪装成svchost.exe进程,以达到浑水摸鱼的目的。如果要了解每个svchost.exe进程到底提供了什么系统服务 ,任务管理器是无法提供的,但STM却能完全满足我们的需要。
先点击“File”功能列对文件进行排序,找出“svchost.exe”后就能通过描述栏的介绍来了解每个svchost.exe进程的具体情况(图2)。
提示:软件所显示的所有信息并不是每个人都关心的,你可以根据个人的实际需要,点击文件的“View ”菜单来自由选择显示的项目。
除了能够直接查看到每个进程的安全级别(在“Rating”列中以红色进程条表示),每当选择任意一个进程,还可以在进程描述区看到进程的简单描述以及一个名为“Properties”的功能栏。功能栏中用不同的颜色直观地表达出该进程的安全等级(红色表示危险,绿色表示安全,方块越 多表示级别越高,这是STM的一个最大特色),而且在功能栏中的信息会随着所选择进程的不同而自动侦测显示。
提示:安全级别、Title(标题和描述)以及详细信息描述区是我们判断进程是否正常的重要参考依据,只要善于利用这三方面的信息。即使新手也可以比较容易地辨别出进程是否可疑(例如查看是否具有隐藏属性、是否存在监视键盘输入的可能等)。
譬如笔者的电脑进程列表中有“QQHooK.dll”,它主要作用是在用户设定的时间内检测QQ客户端是否有按键或鼠标动作,然后把QQ自动设为不同状态(离开、在线等)。由于它的工作原理与木马或间谍程序十分类似,因此STM给它的安全级别定为82(即这属于一个高危的DLL 文件),同时在“Property”功能栏中也可以发现STM对它的描述与它的工作特征完全吻合,把它定性为高危程序是十分正确的。
当然,QQHooK.dll本身是安全的,但STM所给出的这种参考信息相当有用,可以让我们快速发现值得怀疑的进程,方便我们做进一步的判断。
三、快速搜索进程
有时我们怀疑系统可能感染了当前流行的病毒,如果已经知道这种病毒产生的特征进程,就可以利用STM的搜索功能快速检查电脑中是否有这个进程。
按下“Ctrl+F”快捷键,然后在搜索栏中输入关键字(该关键字既可以是进程的名称,也可以文件目录,甚至是它的描述)进行搜索(如果有多个类似进程,会一一提示你继续搜索),并将搜索结果以醒目的蓝色标示出来。
提示:你还可以用鼠标右击进程,在弹出的菜单中选择“comment”并输入注释 内容,对STM标示为高危的进程,如果你能确认该进程是安全的,也可以在这里更改它的安全级别(图3),另外根据以后注释也能很容易找到该进程。
四、隔离可疑进程
一旦发现某个进程比较陌生或感觉可疑,此时除了利用前面的方法判断外,还可以点击工具栏上的“Google”图标并确定,软件就会带领你到www.neuber.com上查看该进程的信息,以协助你作进一步的判断。
如果要关闭进程,点击“Remove”图标或按下“Delete”键,然后在弹出窗口中选择“End Process”(图4)即可。对于可疑进程,则建议选择“Move file to quarantine”,这样在关闭进程的同时把文件从原有目录中删除并移动到专用的隔离区,以策安全。
提示:如果需要把文件从隔离区中恢复到原来目录,只要打开“Quarantine”图标,选择文件后就能进行删除或恢复的操作。