最新消息:

学会察”颜”观”色” 确保电脑平安

好奇 爱 好奇 1792浏览 0评论 来自:电脑爱好者

电脑安全一直萦绕在老张身边的一道难题,由于刚接触电脑,已经有好次因为电脑中毒无法开机的情况了。所以,对于他这样的菜鸟来说,对病毒和木马的分辨是很吃力的。

其实,就目前的病毒而言,无论采用什么样的手段进行隐藏,其最终都会以进程或者服务的方式进驻系统,因此如何找到问题进程或服务则成了查找病毒的关键所在。面对那么多的系统进程和服务,老张如何才能有效地查找到问题所呢?老张的儿子给他介绍了下面几招,即使是菜鸟,只需学会察”颜”观”色”,也可以轻易地把问题解决。

第一招:简单查看,找蛛丝马迹

Security Process Explore是一款进程查看工具,与Windows自带任务管理器相比,其最大的特色在于对检查到的进程都标了颜色。其中纯绿色表示非常安全,纯红色表示极其危险,而绿中带红则表示存在安全风险,红色色块越长则表示危险性越大。对于安全级为空白的,则表示暂时无法判断其安全性。

当然就此判断进程是否有问题还不足以说明问题,因为有些病毒会采取注入到正常进程的方式,这时可以通过查看更加详细的进程信息来判断。只需选中可疑进程,鼠标右击,选择“详细信息”,在打开窗口中即可看到进程的名称、ID、优先级、公司名称等信息,单击“用到的模块”标签,还可以看到其调用的DLL文件等,如图1,以便于进一步识别进程,从而找到可疑进程。对于可疑的进程,可以单击窗口中的“屏蔽进程”按钮,即可将该进程添加到屏蔽列表并终止运行。被屏蔽的进程一般很难再启动。

1416964249650
图1

对于不熟悉的进程,除了将其直接屏蔽之外,还可求助于网络了解其相关信息,从而判断该进程的安全性。点击相关进程后,在窗口下方点击“更多信息”链接,之后会自动打开一个英文网页,即本软件公司官网,在该网页中可以看到用户对该进程的评价。不懂E文也没关系,只需单击浏览器上的“翻译”按钮,即可调用Google进行翻译,译文还挺不错呢。

第二招:术业专攻,svchost进程巧识别

相信大家在打开任务管理器的时候,会看到多个svchost.exe进程。那么这些svchost.exe进程是干嘛的?为什么跟其他进程不一样,会有多个呢?其实svchost.exe 是一个属于微软 Windows 操作系统的系统程序,用于执行 DLL 文件,系统的服务都是靠它来运行的。正因为这个原因,有很多病毒也喜欢伪装成svchost.exe 进程。我们如何来识别每一个svchost.exe进程是做什么的呢?而系统中出现的多个svchost.exe又哪个是安全的,哪个是不安全的呢?笔者这里介绍两款专门针对svchost.exe的小软件,让你学会雾里看花,把它看得清楚。

1.svchost进程分析器Svchost Process Analyzer

Svchost Process Analyzer是一个svchost进程分析程序,用来显示Windows操作系统上运行的svchost进程的详细信息,如图2。如果想要了解更详细的具体内容,可以单击“Details”按钮,此时会以不同的标识显示出详细svchost进程进程,其中红色的代表有问题的,需要检测其安全性。

1416964258936
图2

如果用户对于其安全性基本处于不了解的状态,则可以通过下载该公司出品的Security Task Manager 任务管理软件来检测其安全性。绿色代表是微软自带程序的,黄色的代表非微软公司的进程,但仍安全。还有一些灰色标志的,表示未激活的,可以单击该灰色按钮查看具体进程情况,SPA对其中的进程也进行了安全与否的标识。通过SPA的基本判断,我们可以对其标识为不安全的进程进行一些处理,以达到系统安全的目的。。

2.svchost viewer

svchost viewer是一款绿色软件,可以专门查看svchost.exe 运行的服务。解压到任意目录后就可以使用。首次运行svchost viewer后,会出现是否获得svchost.exe 信息的提示,点击“是”按钮,这时软件开始自动分析系统内当前运行的所有进程,稍等片刻就会以列表的形式显示出进程中svchost.exe的信息,如图3。点击左侧列表,可以在右侧窗口出现进行相关服务的详细描述,而且会提示服务的运行状态。

1416964264543
图3

如果svchost.exe不是系统重要进程,就会在下面的service can be stopped选项的后面看到有√ 标志,这就说明该svchost.exe进程可以关闭,从而节省系统资源。对于那些无用的svchost.exe进程指向的服务,也可以进行关闭。如果怀疑某个进程或不明确该进程功能,可以利用进程管理器查看该进程的PID号,然后在svchost viewer找到对应的PID值,打开相应子项,在右侧窗口中就可以查看到该进程的详细内容了。这些内容可能包括读取、写入数据大小、总线程数等。

另外需要注意的是,正常的svchost.exe进程都应该在windows\system32文件夹下,在其他的目录下,则很有可能被感染了病毒或木马。如果已确认某个进程有病毒,则可以通过ntsd命令对其进行强制删除。在命令行窗口下,输入ntsd -c q -p PID命令,将其强行删除即可,由于ntsd命令的功能强大,可以删除除system、SMSS和CSRSS.exe三个进程之外的所有进程,因此不会出现进程无法删除的问题。

总之,以上几款小软件各有千秋,前者侧重于整体的安全性,后者侧重于具体进程的检测,将两者结合起来并有效利用,可以成为电脑安全的哼哈二将。

转载请注明:好奇网 » 学会察”颜”观”色” 确保电脑平安

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址