掌控Windows进程的利器

Process Explorer

现在很多电脑用户都已经知道了反间谍软件程序，反病毒程序，防火墙程序以及其他可以保证Windows顺利工作的基本工具。（如果你还不了解，可以看看我们为电脑初学者准备的安全指南）

但是，如果你的电脑忽然变得相当迟钝，而通过Windows任务管理器你发现lsass.exe 或者 svchost.exe进程的CPU占用率达到99，你该怎么判断它是一个合法的进程还是恶意软件的一部分呢？如果你经常遇到这种问题，我就向你推荐一款免费的小工具Process Explorer。这款软件的开发者Mark Russinovich就是曾经在安全领域轰动一时的Sony CD rootkit问题的发现人。

虽然我们可以选择让Process Explorer代替Windows自带的任务管理器，但是我并不推荐这种做法。对我来说，这两个工具有不同的用途。Windows自带的任务管理器主要用来强制关闭某个进程，或者快速检查哪个进程在耗费你的CPU资源。而Process Explorer则可以明确的显示出系统载入的DLL程序以及服务。另外，Windows资源管理器也是恶意软件攻击的目标之一，因此一旦发生这种情况，Process Explorer就成为任务管理器的替代品。

默认设置下，Process Explorer会将活动进程按照树状结构显示出来，包括进程间的父子关系，进程ID号，CPU使用率，进程说明文字，以及进程的开发公司。在Process Explorer的工具栏上点击右键，并选择"Select Columns..."，用户可以选择希望显示出来的进程信息项目，比如进程的版本，路径，签名，Windows窗口，Windows状态，以及其他信息。在进程表中，用户可以方便地关闭进程，甚至可以逐个的中止进程以便分析系统问题。

通过在View菜单下选择"Show Lower Pane"或者通过Ctrl+L快捷键，用户可以打开程序下部的小窗口。当用户选择了某一进程后，下部的这个窗口会显示出与该进程有关的DLL或句柄，包括注册表键值，对应的文件，目录，以及相关事件。通过View菜单中的"Lower Pane View"选项或者通过Ctrl+D 或 Ctrl+H快捷键可以切换小窗口中分别显示DLL或者句柄。

PrcView在简单的界面中显示了大量实用信息。
(Credit: CNET Networks)

Process Explorer并不是惟一一款可以帮助用户了解Windows系统进程的软件。Computer Technology也推出了一款优秀的免费软件PrcView（Process Viewer的简写）。PrcView界面简单，但是所提供的信息却相当丰富，除了常规的系统信息，比如内存使用，文件路径，ID，用户名以外，还包括进程监视器Process Monitor。它可以记录系统启动以来全部开始和停止的进程信息。

这些DLL和句柄的细节可以帮助用户了解进程的实际动作，但是这也需要用户对于电脑知识以及注册表方面有所了解才可以。而有一款进程工具是专门针对安全领域的，这就是我最后要介绍的Security Task Manager，这是A. & M. Neuber推出的一款共享软件。

Secure Task Manager 提供每个进程的安全评估等级
(Credit: CNET Networks)

Security Task Manager可以和以上两款软件一样列出用户系统中的活动进程，但是除了显示出进程的相关信息外，这款软件还对每个进程给出了安全等级。需要解释的是，Security Task Manager并不是根据间谍软件或者病毒软件来划分进程的安全等级，而是像垃圾邮件过滤器一样根据进程的行为特征来判断它的危险程度。与前两种软件相比，Security Task Manager的界面并不是特别直观和简洁，另外它也不是免费软件，但是这款软件所提供的快速安全性分级方式是非常有价值的，尤其是与其他一些更专业的分析工具结合起来使用，可以很快发现系统存在的问题。