當(dāng)系統(tǒng)運行異常時，我們最直接的反應(yīng)就是打開任務(wù)管理器，來檢查是否有病毒木馬進程在搗亂?？捎袝r試圖關(guān)閉來歷不明的可疑進程時，卻面臨操作失敗的困擾。這些頑固的可疑進程采用各種對抗手段，讓用戶對其束手無策。其實，我們無需借助第三方安全工具，僅僅依靠系統(tǒng)的自帶功能，就可以讓這些令人厭惡的非法進程徹底失去活力。

　　1.提升權(quán)限，輕松關(guān)閉進程

　　在Windows的任務(wù)管理器中，之所以無法關(guān)閉頑固進程，究其根源在于權(quán)限不足。其實，在系統(tǒng)中還隱藏著一個“隱形”的超級管理員——SYSTEM賬戶，其權(quán)限甚至超過了Administrator賬戶。使用SYSTEM賬戶權(quán)限，可以隨意關(guān)閉頑固進程。在命令提示符窗口中執(zhí)行“sc Create SuperCMD binPath=”cmd/Kstart“type=own type=interact”命令，建立一個名為“SuperCMD”的交互服務(wù)。執(zhí)行“scstart SuperCMD”命令，來啟動該交互進程。之后系統(tǒng)會彈出交互式服務(wù)檢測窗口。

　　點擊其中的“查看消息”按鈕，可以以SYTEM賬戶身份打開命令提示符窗口。在其中執(zhí)行“taskmgr.exe”程序，就會以SYSTEM賬戶身份啟動任務(wù)管理器，這樣，就可以有效關(guān)停頑固進程了。操作完畢后，在交互式服務(wù)檢測窗口中點擊“立即返回”按鈕，回到正常操作界面。如果您使用的是XP系統(tǒng)，可以使用AT命令，來實現(xiàn)上述操作。方法是在CMD窗口中執(zhí)行“time/t”命令，來查看當(dāng)前的時間。假設(shè)當(dāng)前時間為上午8：59，執(zhí)行“at9：00/interactive taskmgr.exe”命令，就可以在上午九點啟動任務(wù)管理器進程。當(dāng)達到預(yù)設(shè)時間后，就會以SYSTEM賬戶身份啟動任務(wù)管理器了。

　　2.活用Taskkill命令，對付頑固進程

　　在系統(tǒng)中內(nèi)置了名為Taskkill的工具，可以幫助您清理頑固進程。當(dāng)然，必須先確定目標(biāo)進程的ID號才行。在命令提示符窗口中執(zhí)行“tasklist/svc”命令，可以查看當(dāng)前所有進程的信息，包括映像名稱、PID號、服務(wù)等。這樣，可以清楚地看到目標(biāo)進程的PID號。也可以在CMD窗口中執(zhí)行“wmicprocesslist”命令，使用WMIC工具來查看進程信息。為了便于觀察，可以執(zhí)行諸如“wmic process list>c：procelist.txt”命令，將統(tǒng)計信息導(dǎo)出到“proce list.txt”文件中。使用記事本打開該文件，并取消自動換行功能，就可以完美瀏覽進程信息了。

　　也可以在任務(wù)管理器中打開“進程”面板，點擊菜單“查看→選擇列”項，確保選中“PID（進程標(biāo)識符）”項。在“進程”面板中就可以找到目標(biāo)進程的ID號了。例如，在命令行窗口中執(zhí)行“taskkill/PID1916”命令，就可以關(guān)閉PID為1916的進程。如果執(zhí)行“taskkill/PID進程ID/f/t”命令，可以強制關(guān)閉指定的進程，同時終止其啟用的所有子進程。Taskkill命令有一項絕活就是可以同時關(guān)閉多個進程，例如，當(dāng)需要清除ID號分別為3373、3428、4936等多個進程時，可以執(zhí)行“Taskkill/f/PID3376/PID3428/PID4936”命令，將其一并清除。

　　當(dāng)然，也可以按照進程名稱，執(zhí)行關(guān)閉操作。執(zhí)行“tasklist/im winserver32.exe/f”命令，就可以關(guān)閉名為“winserver32.exe”的進程。利用Taskkill命令，可以順藤摸瓜發(fā)現(xiàn)多進程守護型病毒木馬。例如執(zhí)行“taskkill/imdaemon.exe/t”命令，根據(jù)返回信息顯示該進程是屬于PID為736的子進程，該進程的名稱為“syswd.exe”，執(zhí)行“taskkill/imsyswd.exe/t”命令，發(fā)現(xiàn)其是PID為1560進程的子進程，經(jīng)查PID為1560的進程名為“sersec.exe”。這些進程相互守護，無法逐個進行關(guān)閉。執(zhí)行“taskkill/imdaemon.exe/imsyswd.exe/imsersec.exe/f”命令，就可以將其一網(wǎng)打盡。

　　使用Taskkill命令，還可以快速清除所有失去響應(yīng)的進程，執(zhí)行“taskkill/fi”statuse qnot responding“”即可。有時，當(dāng)發(fā)現(xiàn)了某個DLL木馬后，卻無法將其對應(yīng)的DLL木馬文件刪除，究其原因，在于該DLL木馬插入到了某個合法進程中。對此，可以執(zhí)行“taskkill/fi”moduleseqwinspool.dll“”命令，來關(guān)閉所有調(diào)用“winspool.dll”的進程，假設(shè)“winspool.dll”為木馬DLL文件。這樣，就可以輕松刪除DLL木馬文件了。

　　3.終極利器ntsd命令

　　對于一些很霸道的進程，使用Taskkill命令未必有效。不過，在ntsd命令面前，對付這些霸道進程根本不在話下。Ntsd命令其實是一個系統(tǒng)調(diào)試工具，除了系統(tǒng)自身的管理進程，Ntsd命令可謂無堅不摧。按照上述談到的方法確定需要清除的進程ID號，假設(shè)為5100，在命令行窗口中執(zhí)行“ntsd–cq–p5100”，就可以將其終結(jié)掉。其中的“-c”參數(shù)表示執(zhí)行Debug級別的命令，“q”參數(shù)表示執(zhí)行結(jié)束后退出，“-p”參數(shù)后面跟隨具體的進程ID。當(dāng)然，也可以針對進程名稱進行操作，例如想關(guān)閉名為“windll.exe”的進程，可以執(zhí)行“ntsd–cq–pnwindll.exe”，就可以將其關(guān)停。當(dāng)然，對于系統(tǒng)提供的“system”、“SMSS.exe”、“Csrss.exe”、“l(fā)sass.exe”等核心進程不要隨意關(guān)閉。注意，Windows7沒有提供ntsd命令，可以從網(wǎng)上下載該工具，之后將其復(fù)制到“C：WindowsSystem32”文件夾中，就可以自由使用了。下載地址：http：//www.pc6.com/softview/SoftView_25612.html#download。

　　4.使用“偏方”對付頑固進程

　　對于某些比較特別的進程，如果使用常規(guī)方法無法應(yīng)對，可以在任務(wù)管理器中的“映像路徑名稱”列中查看其存儲位置，之后找到對應(yīng)的程序文件，在其屬性窗口中打開“安全”面板，點擊“編輯”按鈕，在彈出窗口中的“組或用戶名”列表中選擇當(dāng)前的賬戶（例如“Administrator”），在“拒絕”列中勾選所有項目。這樣重啟系統(tǒng)之后，該程序就無法運行了，之后就可以將其刪除。如果在操作時，出現(xiàn)失敗的情況，可能是這些文件受到名為TrustedInstaller賬戶的保護。為了讓當(dāng)前賬戶擁有對其控制權(quán)，可以在命令提示符窗口中先切換到這些文件所屬目錄中，執(zhí)行“takeown/f*/A/R”和“icacls*/t/grant：reveryone：f”命令，就獲得了所需的操作權(quán)限。

　　也可以利用映像劫持技術(shù)，來對付狡猾的惡意進程。假設(shè)其名稱為“secsvc.exe”，使用記事本編輯以下內(nèi)容：

　　Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptionssecsvc.exe]“debugger”=“nofile.exe”

　　將該文件保存為“norun.reg”，雙擊該文件就可以為“secsvc.exe”創(chuàng)建映像劫持，當(dāng)重啟系統(tǒng)后該程序試圖啟動時，系統(tǒng)會“錯誤地”執(zhí)行根本不存在的“nofile.exe”程序，從而達到阻止該進程運行的目的。

　　文/劉景云

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……