剖析處理程序工具程式

出自KMU Wiki

(修訂版本間差異)

跳轉到: 導航, 搜索

當前修訂版本

雖然管理人員可以透過Windows內的「處理程序」視窗，搭配「服務」元件來檢視系統內正在運行的各個執行程序之狀況，

但是一來操作上比較麻煩，二來，一些處理程序、尤其是頑強的惡意程式，並無法透過「處理程序」視窗加以停用或刪除。

當然，使用者可以透過Windows的「搜尋」功能，找到可疑的處理程序，然後直接加以刪除，不過操作上仍嫌麻煩，

因此，接下來將介紹另一個可方便瀏覽處理程序，並逕行刪除的便利工具－Procexp。

以下為Procexp工具的下載、執行及操作等相關步驟：

步驟1：下載

http://ccftp.kmu.edu.tw/MS_TechNet/ProcessExplorer/ProcessExplorer.zip

或至微軟 TechNet 網站中下載最新版本.

安裝

該工具不需要安裝，不過第一次執行時，會出現軟體授權同意之詢問畫面，使用者只要點取“Agree”，便可立即啟動Procexp工具程式。

如果使用者嫌每次都要點取Procexp.exe才可啟動該工具的方式太過麻煩，

可以直接進入Procexp工具的功能列，點取“Option\ Replace Task Manager”，

如此一來，即可完全取代「Windows工作管理員」；

換句話說，使用者只要同時按下“Ctrl＋Alt＋Delete”鍵，就能啟動 Procexp工具程式。

步驟2：查看運行中的處理程序

從Procexp工具程式的主畫面來看，比起「Windows工作管理員」實在方便且親和許多，

使用者不但可從中了解每個程序相關的程序識別元號（PID）、CPU使用率，以及該程序服務內容的描述及所屬公司等資訊，

最方便的，莫過於該程式將系統服務程序和一般程序，分別以粉紅及天藍色加以區隔。

使用者只要將滑鼠游標移至想確認的執行程序上，就會立即顯示該程序相對應的路徑位置及相關服務，

使用者可依照這些資訊，判斷該程序是否合法。

如果使用者想要獲得某特定程序的更詳細資訊，也可以滑鼠左鍵雙擊某特定程序，即會跳出更詳細資訊之視窗。

首先進入的是“Image”標籤欄，該欄位會顯示該程序的所在路徑及執行檔名等訊息，

使用者若想了解該程序對應了哪些服務，可直接點取“Services”標籤欄。

一些惡意程式多半會默默將資料往外傳送，為了確保可疑程序是否有此行徑，使用者可以滑鼠雙擊可疑程序後，

再切換至“TCP/IP”標籤欄，查看該程序網路傳送的狀況。

若想進一步查詢特定程序呼叫了哪些DLL檔，可在選定某程序後，再點取Procexp程式上方圖示列中的“View DLLs”，

接著，該程式下方會自動分割顯示各種DLL檔的子視窗。

步驟3：刪除惡意程序

使用者可綜合前文介紹之「判斷合法及惡意程序的基本準則」內容，作為判斷並刪除惡意程序的參考。

如果使用者懷疑某特定程序，但又無法完全確定是否為惡意程式，可以直接在特定程序上點取滑鼠右鍵，

然後在下拉視窗中點選“Search Online”，接著，會自動啟動瀏覽器並羅列該程序之搜尋結果。

使用者一旦確定某個程序的確為惡意程式，即可直接在該程序上點擊滑鼠右鍵，

在出現的下拉視窗中選取“Kill Process”，即可刪除該檔。

取自"http://wiki.kmu.edu.tw/index.php/%E5%89%96%E6%9E%90%E8%99%95%E7%90%86%E7%A8%8B%E5%BA%8F%E5%B7%A5%E5%85%B7%E7%A8%8B%E5%BC%8F"

2個分類: Windows XP問題 | Windows工作管理員

-[[Category:電腦及周邊]]
+<br> 雖然管理人員可以透過Windows內的「處理程序」視窗，搭配「服務」元件來檢視系統內正在運行的各個執行程序之狀況，
-[[Category:Windows問題]]
-[[Category:Windows工作管理員]]
-雖然管理人員可以透過Windows內的「處理程序」視窗，搭配「服務」元件來檢視系統內正在運行的各個執行程序之狀況，
 但是一來操作上比較麻煩，二來，一些處理程序、尤其是頑強的惡意程式，並無法透過「處理程序」視窗加以停用或刪除。
 該工具不需要安裝，不過第一次執行時，會出現軟體授權同意之詢問畫面，使用者只要點取“Agree”，便可立即啟動Procexp工具程式。
-[[圖像:pe1.jpg]]
+[[Image:Pe1.jpg|圖像:pe1.jpg]]
 * 如果使用者嫌每次都要點取Procexp.exe才可啟動該工具的方式太過麻煩，
 換句話說，使用者只要同時按下“Ctrl＋Alt＋Delete”鍵，就能啟動 Procexp工具程式。
-[[圖像:pe2.jpg]]
+[[Image:Pe2.jpg|圖像:pe2.jpg]]
+<br> 步驟2：查看運行中的處理程序
-步驟2：查看運行中的處理程序
+* 從Procexp工具程式的主畫面來看，比起「Windows工作管理員」實在方便且親和許多，
-*從Procexp工具程式的主畫面來看，比起「Windows工作管理員」實在方便且親和許多，
 使用者不但可從中了解每個程序相關的程序識別元號（PID）、CPU使用率，以及該程序服務內容的描述及所屬公司等資訊，
 最方便的，莫過於該程式將系統服務程序和一般程序，分別以粉紅及天藍色加以區隔。
-[[圖像:pe3.jpg]]
+[[Image:Pe3.jpg|圖像:pe3.jpg]]
+<br>
-*使用者只要將滑鼠游標移至想確認的執行程序上，就會立即顯示該程序相對應的路徑位置及相關服務，
+* 使用者只要將滑鼠游標移至想確認的執行程序上，就會立即顯示該程序相對應的路徑位置及相關服務，
 使用者可依照這些資訊，判斷該程序是否合法。
-[[圖像:pe4.jpg]]
+[[Image:Pe4.jpg|圖像:pe4.jpg]]
+<br>
-*如果使用者想要獲得某特定程序的更詳細資訊，也可以滑鼠左鍵雙擊某特定程序，即會跳出更詳細資訊之視窗。
+* 如果使用者想要獲得某特定程序的更詳細資訊，也可以滑鼠左鍵雙擊某特定程序，即會跳出更詳細資訊之視窗。
 首先進入的是“Image”標籤欄，該欄位會顯示該程序的所在路徑及執行檔名等訊息，
 使用者若想了解該程序對應了哪些服務，可直接點取“Services”標籤欄。
-[[圖像:pe5.jpg]]
+[[Image:Pe5.jpg|圖像:pe5.jpg]]
-*一些惡意程式多半會默默將資料往外傳送，為了確保可疑程序是否有此行徑，使用者可以滑鼠雙擊可疑程序後，
+* 一些惡意程式多半會默默將資料往外傳送，為了確保可疑程序是否有此行徑，使用者可以滑鼠雙擊可疑程序後，
 再切換至“TCP/IP”標籤欄，查看該程序網路傳送的狀況。
-[[圖像:pe6.jpg]]
+[[Image:Pe6.jpg|圖像:pe6.jpg]]
-*若想進一步查詢特定程序呼叫了哪些DLL檔，可在選定某程序後，再點取Procexp程式上方圖示列中的“View DLLs”，
+* 若想進一步查詢特定程序呼叫了哪些DLL檔，可在選定某程序後，再點取Procexp程式上方圖示列中的“View DLLs”，
 接著，該程式下方會自動分割顯示各種DLL檔的子視窗。
-[[圖像:pe7.jpg]]
+[[Image:Pe7.jpg|圖像:pe7.jpg]]
 步驟3：刪除惡意程序
 然後在下拉視窗中點選“Search Online”，接著，會自動啟動瀏覽器並羅列該程序之搜尋結果。
-[[圖像:pe8.jpg]]
+[[Image:Pe8.jpg|圖像:pe8.jpg]]
-[[圖像:pe9.jpg]]
+[[Image:Pe9.jpg|圖像:pe9.jpg]]
+<br> 使用者一旦確定某個程序的確為惡意程式，即可直接在該程序上點擊滑鼠右鍵，
-使用者一旦確定某個程序的確為惡意程式，即可直接在該程序上點擊滑鼠右鍵，
 在出現的下拉視窗中選取“Kill Process”，即可刪除該檔。
-[[圖像:pe10.jpg]]
+[[Image:Pe10.jpg|圖像:pe10.jpg]]
+[[Category:Windows_XP問題]]  [[Category:Windows工作管理員]]

剖析處理程序工具程式

出自KMU Wiki

當前修訂版本

檢視

個人工具

導航

搜索

工具箱