剖析處理程序工具程式
出自KMU Wiki
在2007年12月31日 (一) 16:44所做的修訂版本
雖然管理人員可以透過Windows內的「處理程序」視窗,搭配「服務」元件來檢視系統內正在運行的各個執行程序之狀況,
但是一來操作上比較麻煩,二來,一些處理程序、尤其是頑強的惡意程式,並無法透過「處理程序」視窗加以停用或刪除。
當然,使用者可以透過Windows的「搜尋」功能,找到可疑的處理程序,然後直接加以刪除,不過操作上仍嫌麻煩,
因此,接下來將介紹另一個可方便瀏覽處理程序,並逕行刪除的便利工具-Procexp。
以下為Procexp工具的下載、執行及操作等相關步驟:
步驟1:下載
http://ccftp.kmu.edu.tw/MS_TechNet/ProcessExplorer/ProcessExplorer.zip
或至微軟 TechNet 網站中下載最新版本.
- 安裝
該工具不需要安裝,不過第一次執行時,會出現軟體授權同意之詢問畫面,使用者只要點取“Agree”,便可立即啟動Procexp工具程式。
- 如果使用者嫌每次都要點取Procexp.exe才可啟動該工具的方式太過麻煩,
可以直接進入Procexp工具的功能列,點取“Option\ Replace Task Manager”,
如此一來,即可完全取代「Windows工作管理員」;
換句話說,使用者只要同時按下“Ctrl+Alt+Delete”鍵,就能啟動 Procexp工具程式。
步驟2:查看運行中的處理程序
- 從Procexp工具程式的主畫面來看,比起「Windows工作管理員」實在方便且親和許多,
使用者不但可從中了解每個程序相關的程序識別元號(PID)、CPU使用率,以及該程序服務內容的描述及所屬公司等資訊,
最方便的,莫過於該程式將系統服務程序和一般程序,分別以粉紅及天藍色加以區隔。
- 使用者只要將滑鼠游標移至想確認的執行程序上,就會立即顯示該程序相對應的路徑位置及相關服務,
使用者可依照這些資訊,判斷該程序是否合法。
- 如果使用者想要獲得某特定程序的更詳細資訊,也可以滑鼠左鍵雙擊某特定程序,即會跳出更詳細資訊之視窗。
首先進入的是“Image”標籤欄,該欄位會顯示該程序的所在路徑及執行檔名等訊息,
使用者若想了解該程序對應了哪些服務,可直接點取“Services”標籤欄。
- 一些惡意程式多半會默默將資料往外傳送,為了確保可疑程序是否有此行徑,使用者可以滑鼠雙擊可疑程序後,
再切換至“TCP/IP”標籤欄,查看該程序網路傳送的狀況。
- 若想進一步查詢特定程序呼叫了哪些DLL檔,可在選定某程序後,再點取Procexp程式上方圖示列中的“View DLLs”,
接著,該程式下方會自動分割顯示各種DLL檔的子視窗。
步驟3:刪除惡意程序
使用者可綜合前文介紹之「判斷合法及惡意程序的基本準則」內容,作為判斷並刪除惡意程序的參考。
如果使用者懷疑某特定程序,但又無法完全確定是否為惡意程式,可以直接在特定程序上點取滑鼠右鍵,
然後在下拉視窗中點選“Search Online”,接著,會自動啟動瀏覽器並羅列該程序之搜尋結果。
使用者一旦確定某個程序的確為惡意程式,即可直接在該程序上點擊滑鼠右鍵,
在出現的下拉視窗中選取“Kill Process”,即可刪除該檔。
3個分類: 電腦及周邊 | Windows問題 | Windows工作管理員