剖析處理程序工具程式

出自KMU Wiki

(修訂版本間差異)
跳轉到: 導航, 搜索

在2007年12月31日 (一) 16:44所做的修訂版本


雖然管理人員可以透過Windows內的「處理程序」視窗,搭配「服務」元件來檢視系統內正在運行的各個執行程序之狀況,

但是一來操作上比較麻煩,二來,一些處理程序、尤其是頑強的惡意程式,並無法透過「處理程序」視窗加以停用或刪除。

當然,使用者可以透過Windows的「搜尋」功能,找到可疑的處理程序,然後直接加以刪除,不過操作上仍嫌麻煩,

因此,接下來將介紹另一個可方便瀏覽處理程序,並逕行刪除的便利工具-Procexp。

以下為Procexp工具的下載、執行及操作等相關步驟:

步驟1:下載

http://ccftp.kmu.edu.tw/MS_TechNet/ProcessExplorer/ProcessExplorer.zip

或至微軟 TechNet 網站中下載最新版本.

  • 安裝

該工具不需要安裝,不過第一次執行時,會出現軟體授權同意之詢問畫面,使用者只要點取“Agree”,便可立即啟動Procexp工具程式。

圖像:pe1.jpg

  • 如果使用者嫌每次都要點取Procexp.exe才可啟動該工具的方式太過麻煩,

可以直接進入Procexp工具的功能列,點取“Option\ Replace Task Manager”,

如此一來,即可完全取代「Windows工作管理員」;

換句話說,使用者只要同時按下“Ctrl+Alt+Delete”鍵,就能啟動 Procexp工具程式。

圖像:pe2.jpg


步驟2:查看運行中的處理程序

  • 從Procexp工具程式的主畫面來看,比起「Windows工作管理員」實在方便且親和許多,

使用者不但可從中了解每個程序相關的程序識別元號(PID)、CPU使用率,以及該程序服務內容的描述及所屬公司等資訊,

最方便的,莫過於該程式將系統服務程序和一般程序,分別以粉紅及天藍色加以區隔。

圖像:pe3.jpg


  • 使用者只要將滑鼠游標移至想確認的執行程序上,就會立即顯示該程序相對應的路徑位置及相關服務,

使用者可依照這些資訊,判斷該程序是否合法。

圖像:pe4.jpg


  • 如果使用者想要獲得某特定程序的更詳細資訊,也可以滑鼠左鍵雙擊某特定程序,即會跳出更詳細資訊之視窗。

首先進入的是“Image”標籤欄,該欄位會顯示該程序的所在路徑及執行檔名等訊息,

使用者若想了解該程序對應了哪些服務,可直接點取“Services”標籤欄。

圖像:pe5.jpg

  • 一些惡意程式多半會默默將資料往外傳送,為了確保可疑程序是否有此行徑,使用者可以滑鼠雙擊可疑程序後,

再切換至“TCP/IP”標籤欄,查看該程序網路傳送的狀況。

圖像:pe6.jpg

  • 若想進一步查詢特定程序呼叫了哪些DLL檔,可在選定某程序後,再點取Procexp程式上方圖示列中的“View DLLs”,

接著,該程式下方會自動分割顯示各種DLL檔的子視窗。

圖像:pe7.jpg

步驟3:刪除惡意程序

使用者可綜合前文介紹之「判斷合法及惡意程序的基本準則」內容,作為判斷並刪除惡意程序的參考。

如果使用者懷疑某特定程序,但又無法完全確定是否為惡意程式,可以直接在特定程序上點取滑鼠右鍵,

然後在下拉視窗中點選“Search Online”,接著,會自動啟動瀏覽器並羅列該程序之搜尋結果。

圖像:pe8.jpg

圖像:pe9.jpg


使用者一旦確定某個程序的確為惡意程式,即可直接在該程序上點擊滑鼠右鍵,

在出現的下拉視窗中選取“Kill Process”,即可刪除該檔。

圖像:pe10.jpg