WindowsVista或Windows7中的任務(wù)管理器Windows任務(wù)管理器提供了有關(guān)計(jì)算機(jī)性能的信息，并顯示了計(jì)算機(jī)上所運(yùn)行的程序和進(jìn)程的詳細(xì)信息，可以顯示最常用的度量進(jìn)程性能的單位；如果連接到網(wǎng)絡(luò)，那么還可以查看網(wǎng)絡(luò)狀態(tài)并迅速了解網(wǎng)絡(luò)是如何工作的，今天，我們就來(lái)全面了解任務(wù)管理器的方方面面。［編輯本段］從啟動(dòng)任務(wù)管理器開(kāi)始1Ctrl+Alt+Del最常見(jiàn)的方法啟動(dòng)任務(wù)管理器的方法：在Windows98或更高版本中，使用Ctrl+Alt+Delete組合鍵就可以直接調(diào)出。不過(guò)如果接連按了兩次的話(huà)，可能會(huì)導(dǎo)致Windows系統(tǒng)重新啟動(dòng)，假如此時(shí)還未保存數(shù)據(jù)的話(huà)，恐怕就欲哭無(wú)淚了。在Windows2000中點(diǎn)擊Ctrl+Alt+Delete組合鍵后點(diǎn)“任務(wù)管理器”。在WindowsXP中點(diǎn)擊Ctrl+Alt+Delete或是Ctrl+Shift+Esc組合鍵后點(diǎn)“任務(wù)管理器”。也可以用鼠標(biāo)右鍵點(diǎn)擊任務(wù)欄選擇“任務(wù)管理器”。也可以在開(kāi)始-運(yùn)行里輸入taskmgr.exe回車(chē)在WindowsVista中使用Ctrl+Shift+Esc組合鍵調(diào)出，也可以用鼠標(biāo)右鍵點(diǎn)擊任務(wù)欄選擇“任務(wù)管理器”。2其他好辦法其實(shí)，我們可以選擇一種更簡(jiǎn)單的方法，就是右鍵單擊任務(wù)欄的空白處，然后單擊選擇"任務(wù)管理器”命令。或者，按下“Ctrl+Shift+Esc”組合鍵也可以打開(kāi)任務(wù)管理器，趕快試試吧。當(dāng)然，你也可以為\Windows\System32\taskmgr.exe文件在桌面上建立一個(gè)快捷方式，然后為此快捷方式設(shè)置一個(gè)熱鍵，以后就可以一鍵打開(kāi)任務(wù)管理器了。小提示在WindowsXP中，如果未使用歡迎屏幕方式登錄系統(tǒng)，那么按下“Ctrl+Alt+Del”組合鍵，彈出的只是“Windows安全”窗口，必須選擇“任務(wù)管理器”才能夠打開(kāi)。［編輯本段］windows任務(wù)管理器有什么[1]任務(wù)管理器的用戶(hù)界面提供了文件、選項(xiàng)、查看、窗口、關(guān)機(jī)、幫助等六大菜單項(xiàng)，例如“關(guān)機(jī)”菜單下可以完成待機(jī)、休眠、關(guān)閉、重新啟動(dòng)、注銷(xiāo)、切換等操作，其下還有應(yīng)用程序、進(jìn)程、性能、聯(lián)網(wǎng)、用戶(hù)等五個(gè)標(biāo)簽頁(yè)，窗口底部則是狀態(tài)欄，從這里可以查看到當(dāng)前系統(tǒng)的進(jìn)程數(shù)、CPU使用比率、更改的內(nèi)存<容量等數(shù)據(jù)，默認(rèn)設(shè)置下系統(tǒng)每隔兩秒鐘對(duì)數(shù)據(jù)進(jìn)行 1次自動(dòng)更新，當(dāng)然你也可以點(diǎn)擊“查看-更新速度”菜單重新設(shè)置。1.應(yīng)用程序這里顯示了所有當(dāng)前正在運(yùn)行的應(yīng)用程序，不過(guò)它只會(huì)顯示當(dāng)前已打開(kāi)窗口的應(yīng)用程序，而QQ、MSNMessenger等最小化至系統(tǒng)托盤(pán)區(qū)的應(yīng)用程序則并不會(huì)顯示出來(lái)。你可以在這里點(diǎn)擊“結(jié)束任務(wù)”按鈕直接關(guān)閉某個(gè)應(yīng)用程序，如果需要同時(shí)結(jié)束多個(gè)任務(wù)，可以按住Ctrl鍵復(fù)選；點(diǎn)擊“新任務(wù)”按鈕，可以直接打開(kāi)相應(yīng)的程序、文件夾、文檔或Internet資源，如果不知道程序的名稱(chēng)，可以點(diǎn)擊“瀏覽”按鈕進(jìn)行搜索，其實(shí)這個(gè)“新任務(wù)”的功能看起來(lái)有些類(lèi)似于開(kāi)始菜單中的運(yùn)行命令。進(jìn)程這里顯示了所有當(dāng)前正在運(yùn)行的進(jìn)程，包括應(yīng)用程序、后臺(tái)服務(wù)等，那些隱藏在系統(tǒng)底層深處運(yùn)行的病毒程序或木馬程序都可以在這里找到，當(dāng)然前提是你要知道它的名稱(chēng)。找到需要結(jié)束的進(jìn)程名，然后執(zhí)行右鍵菜單中的 “結(jié)束進(jìn)程”命令，就可以強(qiáng)行終止，不過(guò)這種方式將丟失未保存的數(shù)據(jù)，而且如果結(jié)束的是系統(tǒng)服務(wù)，則系統(tǒng)的某些功能可能無(wú)法正常使用。Windows的任務(wù)管理器只能顯示系統(tǒng)中當(dāng)前進(jìn)行的進(jìn)程，而ProcessExplorer可以樹(shù)狀方式顯示出各個(gè)進(jìn)程之間的關(guān)系，即某一進(jìn)程啟動(dòng)了哪些其他的進(jìn)程，還可以顯示某個(gè)進(jìn)程所調(diào)用的文件或文件夾，如果某個(gè)進(jìn)程是Windows服務(wù)，則可以查看該進(jìn)程所注冊(cè)的所有服務(wù)，需要的朋友可以從/soft/17580.html下載。下載軟件可能會(huì)對(duì)您的計(jì)算機(jī)造成損害,強(qiáng)烈推薦以下批處理!當(dāng)前進(jìn)程路徑復(fù)制以下內(nèi)容到記事本,另存為path.bat@echooffwmicprocessgetexecutablepath>path.txtstartpath.txt當(dāng)前進(jìn)程調(diào)用的服務(wù)復(fù)制以下內(nèi)容到記事本,另存為svc.bat@echoofftasklist/svcset/pc=請(qǐng)輸入服務(wù)名:scgetdisplayname%c%pause%03.開(kāi)始-運(yùn)行-輸入services.msc自己進(jìn)去好好看看吧!3.性能從任務(wù)管理器中我們可以看到計(jì)算機(jī)性能的動(dòng)態(tài)概念，例如CPU和各種內(nèi)存的使用情況。CPU使用情況：表明處理器工作時(shí)間百分比的圖表，該計(jì)數(shù)器是處理器活動(dòng)的主要指示器，查看該圖表可以知道當(dāng)前使用的處理時(shí)間是多少。CPU使用記錄：顯示處理器的使用程序隨時(shí)間的變化情況的圖表，圖表中顯示的采樣情況取決于“查看”菜單中所選擇的“更新速度”設(shè)置值，“高”表示每秒2次，“正常”表示每?jī)擅?次，“低”表示每四秒1次，“暫停”表示不自動(dòng)更新。PF使用情況：PF是頁(yè)面文件pagefile的簡(jiǎn)寫(xiě)。但這個(gè)數(shù)字常常會(huì)讓人誤解，以為是系統(tǒng)當(dāng)時(shí)所用頁(yè)面文件大小。正確含義則是正在使用的內(nèi)存之和，包括物理內(nèi)存和虛擬內(nèi)存。那么如何得知實(shí)際所使用的頁(yè)面文件大小昵？一般用第三方軟件，比如PageFileMonitor，也可以通過(guò)windows控制臺(tái)來(lái)看。本人的頁(yè)面文件預(yù)設(shè)了。頁(yè)面文件使用記錄：顯示頁(yè)面文件的量隨時(shí)間的變化情況的圖表，圖表中顯示的采樣情況取決于“查看”菜單中所選擇的“更新速度”設(shè)置值。總數(shù)：顯示計(jì)算機(jī)上正在運(yùn)行的句柄、線程、進(jìn)程的總數(shù)。執(zhí)行內(nèi)存：分配給程序和操作系統(tǒng)的內(nèi)存，由于虛擬內(nèi)存的存在， “峰值”可以超過(guò)最大物理內(nèi)存，“總數(shù)”值則與“頁(yè)面文件使用記錄”圖表中顯示的值相同。句柄數(shù)：這個(gè)東東很專(zhuān)業(yè)的。會(huì)編程的人知道，我不懂，只知道被稱(chēng)作指針的指針，“線程數(shù)”指程序中能獨(dú)立運(yùn)行的部分，“進(jìn)程數(shù)”簡(jiǎn)單理解就是運(yùn)行的程序數(shù)目。物理內(nèi)存：計(jì)算機(jī)上安裝的總物理內(nèi)存，也稱(chēng)RAM,“可用數(shù)”物理內(nèi)存中可被程序使用的空余量。但實(shí)際的空余量要比這個(gè)數(shù)值略大一點(diǎn)，因?yàn)槲锢韮?nèi)存不會(huì)在完全用完后才去轉(zhuǎn)用虛擬內(nèi)存的。也就是說(shuō)這個(gè)空余量是指使用虛擬內(nèi)存(pagefile)前所剩余的物理內(nèi)存。“系統(tǒng)緩存”被分配用于系統(tǒng)緩存用的物理內(nèi)存量。主要來(lái)存放程序和數(shù)據(jù)等。一但系統(tǒng)或者程序需要，部分內(nèi)存會(huì)被釋放出來(lái)，也就是說(shuō)這個(gè)值是可變的。認(rèn)可用量總數(shù)：其實(shí)就是被操作系統(tǒng)和正運(yùn)行程序所占用內(nèi)存總和，包括物理內(nèi)存和虛擬內(nèi)存(pagefile)。它和上面的PF使用率是相等的。“限制”指系統(tǒng)所能提供的最高內(nèi)存量，包括物理內(nèi)存(RAM)和虛擬(pagefile)內(nèi)存。“峰值”指一段時(shí)間內(nèi)系統(tǒng)曾達(dá)到的內(nèi)存使用最高值。如果這個(gè)值接近上面的 “限制”的話(huà)，意味著要么你增加物理內(nèi)存，要么增加pagefile，否則系統(tǒng)會(huì)給你顏色看的！內(nèi)核內(nèi)存：操作系統(tǒng)內(nèi)核和設(shè)備驅(qū)動(dòng)程序所使用的內(nèi)存， “分頁(yè)數(shù)”是可以復(fù)制到頁(yè)面文件中的內(nèi)存，一旦系統(tǒng)需要這部分物理內(nèi)存的話(huà)，它會(huì)被映射到硬盤(pán)，由此可以釋放物理內(nèi)存；“未分頁(yè)”是保留在物理內(nèi)存中的內(nèi)存，這部分不會(huì)被映射到硬盤(pán)，不會(huì)被復(fù)制到頁(yè)面文件中。聯(lián)網(wǎng)這里顯示了本地計(jì)算機(jī)所連接的網(wǎng)絡(luò)通信量的指示，使用多個(gè)網(wǎng)絡(luò)連接時(shí)，我們可以在這里比較每個(gè)連接的通信量，當(dāng)然只有安裝網(wǎng)卡后才會(huì)顯示該選項(xiàng)。用戶(hù)這里顯示了當(dāng)前已登錄和連接到本機(jī)的用戶(hù)數(shù)、標(biāo)識(shí)（標(biāo)識(shí)該計(jì)算機(jī)上的會(huì)話(huà)的數(shù)字ID）、活動(dòng)狀態(tài)（正在運(yùn)行、已斷開(kāi)）、客戶(hù)端名，可以點(diǎn)擊“注銷(xiāo)”按鈕重新登錄，或者通過(guò)“斷開(kāi)”按鈕連接與本機(jī)的連接，如果是局域網(wǎng)用戶(hù)，還可以向其他用戶(hù)發(fā)送消息呢。［編輯本段］windows任務(wù)管理器之特別任務(wù)其實(shí)，任務(wù)管理器除了終止任務(wù)、結(jié)束進(jìn)程、查看性能外，它還可以完成很多更高級(jí)的特別任務(wù)呢。下面，我們通過(guò)幾個(gè)實(shí)例來(lái)介紹任務(wù)管理器的擴(kuò)展應(yīng)用：實(shí)例一：同時(shí)最小化多個(gè)窗口切換到“應(yīng)用程序”標(biāo)簽頁(yè)，按住Ctrl鍵同時(shí)選擇需要同時(shí)最小化的應(yīng)用程序項(xiàng)目，然后點(diǎn)擊這些項(xiàng)目中的任意一個(gè)，從右鍵菜單中選擇“最小化”命令即可，這里同時(shí)還可以完成層疊、橫向平鋪、縱向平鋪等操作。實(shí)例二：降低BT軟件的資源占用率運(yùn)行BT軟件時(shí)，往往會(huì)占用大量的系統(tǒng)資源，你會(huì)看到硬盤(pán)燈不停閃爍并伴隨著飛速轉(zhuǎn)動(dòng)的噪音，此時(shí)無(wú)論是瀏覽網(wǎng)頁(yè)或是運(yùn)行其他應(yīng)用程序，肯定會(huì)有系統(tǒng)停滯的感覺(jué)。打開(kāi)“任務(wù)管理器-進(jìn)程”窗口，選擇BT軟件的進(jìn)程名，然后從右鍵菜單中選擇“設(shè)置優(yōu)先級(jí)”命令，這里可以選擇實(shí)時(shí)、高、高于標(biāo)準(zhǔn)、標(biāo)準(zhǔn)、低于標(biāo)準(zhǔn)、低等不同級(jí)別，請(qǐng)根據(jù)實(shí)際情況進(jìn)行設(shè)置，例如設(shè)置為“低于標(biāo)準(zhǔn)”可以降低進(jìn)程的優(yōu)先級(jí)別，從而讓W(xué)indows為其他進(jìn)程分配更多的資源。實(shí)例三：打造增強(qiáng)版本的任務(wù)管理器有熱心網(wǎng)友從Longhorn中將任務(wù)管理器剝離出來(lái)并提供下載，我們可以借此來(lái)打造一個(gè)增強(qiáng)版本的任務(wù)管理器。解壓縮下載文件，會(huì)得到Taskkill.exe、Tasklist.exe、Taskmgr.exe等3個(gè)文件，首先覆蓋\Windows\System32\Dllcahe\下的同名文件，覆蓋前請(qǐng)事先備份源文件，接下來(lái)繼續(xù)覆蓋\Windows\System32\下的同名文件，當(dāng)彈出“Windows文件保護(hù)”對(duì)話(huà)框時(shí)，選擇“取消”按鈕。更換后的任務(wù)管理器不僅程序圖標(biāo)發(fā)生了變化，右擊進(jìn)程，可以發(fā)現(xiàn)在右鍵菜單中增加了打開(kāi)所在目錄、創(chuàng)建轉(zhuǎn)儲(chǔ)文件兩個(gè)命令，而“查看-選擇列”中增加了命令行、映像路徑兩個(gè)項(xiàng)目，前者可以查看所顯示的進(jìn)程是否被偽裝，后者則可以查看進(jìn)程的文件路徑。實(shí)例四：打開(kāi)處理器的超線程P4處理器的超線程技術(shù)（Hyper-ThreadingTechnology）其實(shí)是相當(dāng)于將一顆處理器分為兩個(gè)虛擬的處理器，簡(jiǎn)單地說(shuō)，實(shí)現(xiàn)超線程需要處理器、主板、操作系統(tǒng)三方面的支持。如果你使用的是WindowsXP/Server2003，而且確定自己的主板和處理器支持超線程，那么可以切換到“性能”標(biāo)簽頁(yè)，如果這里顯示兩個(gè)CPU使用記錄圖表的話(huà)，說(shuō)明你的處理器確確實(shí)實(shí)已經(jīng)打開(kāi)超線程。當(dāng)然，我們也可以在開(kāi)機(jī)信息中查看超線程支持情況，一般會(huì)顯示 CPU1、CPU2兩個(gè)處理器名稱(chēng)，或者啟動(dòng)后進(jìn)入“設(shè)備管理器”，這樣同樣會(huì)顯示兩個(gè)處理器的信息。實(shí)例五：禁用任務(wù)管理器任務(wù)管理器可以完成如此強(qiáng)大的任務(wù)，如果你使用的是公用計(jì)算機(jī)，而又不希望他人私自操作任務(wù)管理器，可以在“開(kāi)始-運(yùn)行”框中鍵入Gpedit.msc命令打開(kāi)組策略窗口，找到“本地計(jì)算機(jī)策略-用戶(hù)配置-管理模板-系統(tǒng)-Ctrl+Alt+Del選項(xiàng)”項(xiàng)，然后在右側(cè)窗口中選擇“刪除任務(wù)管理器”項(xiàng)，將其設(shè)置為“已啟用”，以后按下“Ctrl+Alt+Del”組合鍵時(shí)就無(wú)法操作任務(wù)管理器了。當(dāng)然，通過(guò)文中提到的其他兩個(gè)方法還是可以正常操作任務(wù)管理器的，一勞永逸的解決辦法是為T(mén)askmgr.exe文件設(shè)置用戶(hù)授權(quán)，當(dāng)然必須使用NTFS文件系統(tǒng)才行，呵呵。也可以修改注冊(cè)表來(lái)禁用：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system新建Dword值：DisableTaskMgr=1（禁用）DisableTaskMgr=O（解禁）小知識(shí)句柄：用來(lái)惟一標(biāo)識(shí)資源（例如文件中注冊(cè)表項(xiàng)）的值，以便程序可以訪問(wèn)它。線程：在運(yùn)行程序指令的進(jìn)程的對(duì)象，線程允許在進(jìn)程中進(jìn)行并發(fā)操作，并使一個(gè)進(jìn)程能夠在不同處理器上同時(shí)運(yùn)行其程序的不同部分。進(jìn)程：一個(gè)可執(zhí)行程序（例如資源管理器）或者一種服務(wù)（例如MSTask）當(dāng)任務(wù)管理器的界面出現(xiàn)不正常，如性能.進(jìn)程的切換欄不見(jiàn)了，無(wú)法最大化最小化時(shí)等等時(shí)，你可以采取以下措施恢復(fù)如無(wú)管理器的界面。操作如下：在邊框上空白處雙擊即可！！Windows系統(tǒng)的任務(wù)管理器是大家經(jīng)常會(huì)用到的一個(gè)程序，通常它主要被用來(lái)管理計(jì)算機(jī)進(jìn)程或者查看計(jì)算機(jī)實(shí)時(shí)的工作狀態(tài)。實(shí)際上它還有不少的妙用。奇招一：在網(wǎng)吧也能“運(yùn)行”在網(wǎng)吧“混”的朋友們都知道，網(wǎng)吧的機(jī)子通常來(lái)說(shuō)都會(huì)將運(yùn)行對(duì)話(huà)框屏蔽掉，如果大家碰上某些情況需要使用運(yùn)行對(duì)話(huà)框就只能束手無(wú)策了。其實(shí)這個(gè)時(shí)候任務(wù)管理器能被臨時(shí)用來(lái)代替運(yùn)行對(duì)話(huà)框的作用。先按住“Ctrl+Alt+Del”組合鍵嘗試一下能否調(diào)出任務(wù)管理器，能調(diào)出就好辦了，我們依次點(diǎn)擊任務(wù)管理器的菜單“文件-新建任務(wù)”，彈出“創(chuàng)建新任務(wù)”（圖1）窗口，輸入內(nèi)容試試看，它跟運(yùn)行對(duì)話(huà)框效果相同啊！奇招二：快速刷新注冊(cè)表許多軟件在安裝后會(huì)提示我們需要重新啟動(dòng)才能讓軟件正常使用，其實(shí)大部分時(shí)候這些軟件只是在“小題大做”，因?yàn)橹貑H僅是為了讓注冊(cè)表更新而已，我們可以利用任務(wù)管理器來(lái)更快地讓軟件生效。方法為：在“進(jìn)程”選項(xiàng)卡中用鼠標(biāo)選擇“explorer.exe”進(jìn)程，然后點(diǎn)擊右下角的“結(jié)束進(jìn)程”按鈕將它結(jié)束，這個(gè)時(shí)候桌面顯示消失了。不必驚慌，我們?cè)?“創(chuàng)建新任務(wù)”窗口中輸入“explorer.exe”。運(yùn)行即可讓桌面恢復(fù)顯示，同時(shí)計(jì)算機(jī)的注冊(cè)表也會(huì)被更新，現(xiàn)在軟件就能正常使用了。奇招三：優(yōu)化游戲運(yùn)行許多朋友都和筆者一樣還在使用1GB以下的內(nèi)存，所以當(dāng)我們玩3D游戲的時(shí)候就會(huì)覺(jué)得運(yùn)行有些卡，這個(gè)時(shí)候除了使關(guān)閉游戲以外的所有程序以外，似乎再?zèng)]有其他節(jié)省內(nèi)存的辦法了，其實(shí)我們可以在運(yùn)行游戲前先在任務(wù)管理器中結(jié)束“explorer.exe”進(jìn)程，因?yàn)樗诤芏嗲闆r下可都是內(nèi)存耗用大戶(hù)，結(jié)束它可為我們的游戲增加幾十MB的可用內(nèi)存，游戲效果當(dāng)然會(huì)有更多改善。不過(guò)此時(shí)沒(méi)了桌面顯示，啟動(dòng)游戲的方法也有所改變，我們需要打開(kāi)“文件-新建任務(wù)”，然后點(diǎn)擊“瀏覽”按鈕進(jìn)入游戲目錄載入游戲主程序，點(diǎn)擊“確定”即可運(yùn)行游戲。在W2K/XP中，同時(shí)按下Ctrl+Alt+Del鍵，可以打開(kāi)Windows任務(wù)管理器，單擊“進(jìn)程”，可以看到很多正在運(yùn)行的EXE進(jìn)程：【SystemIdleProcess】：這是關(guān)鍵進(jìn)程，只有16kB,循環(huán)統(tǒng)計(jì)CPU的空閑度，這個(gè)值越大越好。該進(jìn)程不能被結(jié)束，該進(jìn)程似乎沒(méi)低于過(guò)25%，大多數(shù)情況下保持50%以上。【system】:system是windows頁(yè)面內(nèi)存管理進(jìn)程，擁有0級(jí)優(yōu)先。（當(dāng)system后面出現(xiàn).exe時(shí)是netcontroller木馬病毒生成的文件，出現(xiàn)在c:\\windows目錄下，建議將其刪除。）【explorer】：explorer.exe控制著標(biāo)準(zhǔn)的用戶(hù)界面、進(jìn)程、命令和桌面等。explorer.exe總是在后臺(tái)運(yùn)行，根據(jù)系統(tǒng)的字體、背景圖片、活動(dòng)桌面等情況的不同，通常會(huì)消耗5.8MB到36MB內(nèi)存不等。（explorer.exe和InternetExplorer可不同）【IEXPLORE】：iexplore.exe是Microsoft對(duì)因特網(wǎng)的主要編程器.，這個(gè)微軟視窗應(yīng)用讓你暢游網(wǎng)絡(luò)有了地方。iexplore.exe是非常必要的過(guò)程,不應(yīng)終止,除非懷疑造成問(wèn)題。它的作用是加快我們?cè)僖淮未蜷_(kāi)IE的速度，當(dāng)關(guān)閉所有IE窗口時(shí)，它將依然在后臺(tái)運(yùn)行。當(dāng)我們用它上網(wǎng)沖浪時(shí)，占有7.3MB甚至更多的內(nèi)存，內(nèi)存隨著打開(kāi)瀏覽器窗口的增加也增多。【ctfmon】：這是安裝了WinXP后，在桌面右下角顯示的語(yǔ)言欄。如果不希望它出現(xiàn)，可通過(guò)下面的步驟取消：控制面板－區(qū)域和語(yǔ)言選項(xiàng)－語(yǔ)言－詳細(xì)信息－文字服務(wù)和輸入語(yǔ)言－（首選項(xiàng)）語(yǔ)言欄－語(yǔ)言欄設(shè)置－把在桌面上顯示語(yǔ)言欄的勾取消。這樣會(huì)為你節(jié)省4MB多的內(nèi)存。【wowexec】：用于支持16位操作系統(tǒng)的關(guān)鍵進(jìn)程,不能終止。【csrss】：這是Windows的核心部份之一，全稱(chēng)為ClientServerProcess。這個(gè)只有4K的進(jìn)程經(jīng)常消耗3MB到6MB左右的內(nèi)存，不能終止,建議不要修改此進(jìn)程。【dovldr32】：為了節(jié)省內(nèi)存，可以將禁止，它占用大約 2.3MB到2.6MB的內(nèi)存。【winlogon】：這個(gè)進(jìn)程處理登錄和注銷(xiāo)任務(wù)，事實(shí)上，這個(gè)進(jìn)程是必需的，它的大小和你登錄的時(shí)間有關(guān)。【services】：services.exe是微軟windows操作系統(tǒng)的一部分。用于管理啟動(dòng)和停止服務(wù)。該進(jìn)程也會(huì)處理在計(jì)算機(jī)啟動(dòng)和關(guān)機(jī)時(shí)運(yùn)行的服務(wù)。這個(gè)程序?qū)δ阆到y(tǒng)的正常運(yùn)行是非常重要的,該進(jìn)程系統(tǒng)禁止結(jié)束。【svchost】:Svchost.exe是屬于微軟windows操作系統(tǒng)的系統(tǒng)程序，用于執(zhí)行dll文件。這個(gè)程序?qū)δ阆到y(tǒng)的正常運(yùn)行是非常重要的。開(kāi)機(jī)出現(xiàn)“GenericHostProcessforWin32Services遇到問(wèn)題需要關(guān)閉”一般都是說(shuō)的這個(gè)進(jìn)程找不到dll文件所致。【msmsgs】：這是微軟的WindowsMessengr（即時(shí)通信軟件）著名的MSN進(jìn)程，在WinXP的家庭版和專(zhuān)業(yè)版里面綁定的，如果你還運(yùn)行著Outlook和MSNExplorer等程序，該進(jìn)程會(huì)在后臺(tái)運(yùn)行支持所有這些微軟號(hào)稱(chēng)的很Cool的，NET功能等新技術(shù)。【msn6】：這是微軟在WinXP里面的MSN瀏覽器進(jìn)程，當(dāng)msmsgs.exe運(yùn)行后才有這個(gè)進(jìn)程。【Point32】：這是安裝了特殊的鼠標(biāo)軟件（Intellimouse等等）后啟動(dòng)的等程序，這不是系統(tǒng)必須的進(jìn)程，通過(guò)用戶(hù)許可協(xié)議安裝。由于在WinXP里面內(nèi)建了很多鼠標(biāo)新功能，所以，就沒(méi)有必要在系統(tǒng)后臺(tái)運(yùn)行，既浪費(fèi)1.1MB到1.6MB的內(nèi)存，還要在任務(wù)欄占個(gè)地方！【spoolsv】:用于將windows打印機(jī)任務(wù)發(fā)送給本地打印機(jī),關(guān)閉以后一會(huì)又自己開(kāi)開(kāi)。【Promon】：這是Intel系列網(wǎng)卡配置和安裝的程序，在任務(wù)欄顯示圖標(biāo)控制程序，占據(jù)大約656KB到1.1MB的內(nèi)存。【smss】：只有45KB的大小卻占據(jù)著300KB到2MB的內(nèi)存空間，這是一個(gè)Windows的核心進(jìn)程之一，是windowsNT內(nèi)核的會(huì)話(huà)管理程序。【taskmgr】：如果你看到了這個(gè)進(jìn)程在運(yùn)行，其實(shí)就是看這個(gè)進(jìn)程的 “任務(wù)管理器”本身。它大約占用了3.2MB的內(nèi)存，當(dāng)你優(yōu)化系統(tǒng)時(shí)，不要忘了把它也算進(jìn)去。【Tastch】：在XP系統(tǒng)中安裝了powerToys后會(huì)出現(xiàn)此進(jìn)程，按Alt+Tab鍵顯示切換圖標(biāo)，大約占用1.4MB到2MB的內(nèi)存空間。【lsass】：本地安全權(quán)限服務(wù)。是微軟安全機(jī)制的系統(tǒng)進(jìn)程，主要處理一些特殊的安全機(jī)制和登錄策略。【atievxx】：這是隨ati顯卡硬件產(chǎn)品驅(qū)動(dòng)一起安裝而來(lái)。它不是純粹的系統(tǒng)程序，但如果終止它，可能會(huì)導(dǎo)致不可知的問(wèn)題。【alg】：這是微軟windows操作系統(tǒng)自帶的程序。它用于處理微軟windows網(wǎng)絡(luò)連接共享和網(wǎng)絡(luò)連接防火墻,這個(gè)程序?qū)δ阆到y(tǒng)的正常運(yùn)行是非常重要的。非windows任務(wù)管理器：大多數(shù)人會(huì)想起Windows任務(wù)管理器，但是Windows的這個(gè)任務(wù)管理器實(shí)在是太簡(jiǎn)陋了，因此很多人轉(zhuǎn)而使用第三方軟件。目前，在網(wǎng)上的流行的第三方任務(wù)管理器比較多，比如WinProc、WindowsProcesses、Windows進(jìn)程管理器等。讓我們從任務(wù)管理器中抓病毒和木馬任何病毒和木馬存在于系統(tǒng)中，都無(wú)法徹底和進(jìn)程脫離關(guān)系，即使采用了隱藏技術(shù)，也還是能夠從進(jìn)程中找到蛛絲馬跡，因此，查看系統(tǒng)中活動(dòng)的進(jìn)程成為我們檢測(cè)病毒木馬最直接的方法。但是系統(tǒng)中同時(shí)運(yùn)行的進(jìn)程那么多，哪些是正常的系統(tǒng)進(jìn)程，哪些是木馬的進(jìn)程，而經(jīng)常被病毒木馬假冒的系統(tǒng)進(jìn)程在系統(tǒng)中又扮演著什么角色呢？請(qǐng)看本文。當(dāng)我們確認(rèn)系統(tǒng)中存在病毒，但是通過(guò)“任務(wù)管理器”查看系統(tǒng)中的進(jìn)程時(shí)又找不出異樣的進(jìn)程，這說(shuō)明病毒采用了一些隱藏措施，總結(jié)出來(lái)有三法以假亂真系統(tǒng)中的正常進(jìn)程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你發(fā)現(xiàn)過(guò)系統(tǒng)中存在這樣的進(jìn)程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。對(duì)比一下，發(fā)現(xiàn)區(qū)別了么？這是病毒經(jīng)常使用的伎倆，目的就是迷惑用戶(hù)的眼睛。通常它們會(huì)將系統(tǒng)中正常進(jìn)程名的o改為0,l改為i,i改為j,然后成為自己的進(jìn)程名，僅僅一字之差，意義卻完全不同。又或者多一個(gè)字母或少一個(gè)字母,例如explorer.exe和iexplore.exe本來(lái)就容易搞混,再出現(xiàn)個(gè)iexplorer.exe就更加混亂了。如果用戶(hù)不仔細(xì),一般就忽略了,病毒的進(jìn)程就逃過(guò)了一劫。2.偷梁換柱如果用戶(hù)比較心細(xì),那么上面這招就沒(méi)用了,病毒會(huì)被就地正法。于是乎,病毒也學(xué)聰明了,懂得了偷梁換柱這一招。如果一個(gè)進(jìn)程的名字為svchost.exe,和正常的系統(tǒng)進(jìn)程名分毫不差。那么這個(gè)進(jìn)程是不是就安全了呢？非也,其實(shí)它只是利用了“任務(wù)管理器”無(wú)法查看進(jìn)程對(duì)應(yīng)可執(zhí)行文件這一缺陷。我們知道 svchost.exe進(jìn)程對(duì)應(yīng)的可執(zhí)行文件位于“C:'WINDOWS'system32”目錄下（Windows2000則是C:\WINNT\system32目錄），如果病毒將自身復(fù)制到“C:'WINDOWS'”中，并改名為svchost.exe，運(yùn)行后，我們?cè)凇叭蝿?wù)管理器"中看到的也是svchost.exe，和正常的系統(tǒng)進(jìn)程無(wú)異。你能辨別出其中哪一個(gè)是病毒的進(jìn)程嗎？但在 Vista（或更高版本）中的windows任務(wù)管理器可以看到進(jìn)程的路徑,病毒的這招就沒(méi)用了.借尸還魂除了上文中的兩種方法外，病毒還有一招終極大法——借尸還魂。所謂的借尸還魂就是病毒采用了進(jìn)程插入技術(shù)，將病毒運(yùn)行所需的dll文件插入正常的系統(tǒng)進(jìn)程中，表面上看無(wú)任何可疑情況，實(shí)質(zhì)上系統(tǒng)進(jìn)程已經(jīng)被病毒控制了，除非我們借助專(zhuān)業(yè)的進(jìn)程檢測(cè)工具，否則要想發(fā)現(xiàn)隱藏在其中的病毒是很困難的。上文中提到了很多系統(tǒng)進(jìn)程，這些系統(tǒng)進(jìn)程到底有何作用，其運(yùn)行原理又是什么？下面我們將對(duì)這些系統(tǒng)進(jìn)程進(jìn)行逐一講解，相信在熟知這些系統(tǒng)進(jìn)程后，就能成功破解病毒的“以假亂真”和“偷梁換柱”了。常被病毒冒充的進(jìn)程名有：svch0st.exe、schvost.exe、scvhost.exe。隨著Windows系統(tǒng)服務(wù)不斷增多，為了節(jié)省系統(tǒng)資源，微軟把很多服務(wù)做成共享方式，交由svchost.exe進(jìn)程來(lái)啟動(dòng)。而系統(tǒng)服務(wù)是以動(dòng)態(tài)鏈接庫(kù)(DLL)形式實(shí)現(xiàn)的，它們把可執(zhí)行程序指向scvhost，由cvhost調(diào)用相應(yīng)服務(wù)的動(dòng)態(tài)鏈接庫(kù)來(lái)啟動(dòng)服務(wù)。我們可以打開(kāi)“控制面板管理工具J服務(wù)，雙擊其中“ClipBook”服務(wù)，在其屬性面板中可以發(fā)現(xiàn)對(duì)應(yīng)的可執(zhí)行文件路徑為“C:\WINDOWS\system32\clipsrv.exe”。再雙擊“Alerter”服務(wù)，可以發(fā)現(xiàn)其可執(zhí)行文件路徑為“C:\WINDOWS\system32\svchost.exe-kLocalService”，而“Server”服務(wù)的可執(zhí)行文件路徑為“C:\WINDOWS\system32\svchost.exe-knetsvcs”。正是通過(guò)這種調(diào)用，可以省下不少系統(tǒng)資源，因此系統(tǒng)中出現(xiàn)多個(gè)svchost.exe，其實(shí)只是系統(tǒng)的服務(wù)而已。在Windows2000系統(tǒng)中一般存在2個(gè)svchost.exe進(jìn)程，一個(gè)是RPCSS(RemoteProcedureCall)服務(wù)進(jìn)程，另外一個(gè)則是由很多服務(wù)共享的一個(gè)svchost.exe；而在WindowsXP中，則一般有4個(gè)以上的svchost.exe服務(wù)進(jìn)程。如果svchost.exe進(jìn)程的數(shù)量多于5個(gè)，就要小心了，很可能是病毒假冒的，檢測(cè)方法也很簡(jiǎn)單，使用一些進(jìn)程管理工具，例如Windows優(yōu)化大師的進(jìn)程管理功能，查看svchost.exe的可執(zhí)行文件路徑，如果在“C:\WINDOWS\system32”目錄外，那么就可以判定是病毒了。常被病毒冒充的進(jìn)程名有：iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我們經(jīng)常會(huì)用到的“資源管理器”。如果在“任務(wù)管理器”中將explorer.exe進(jìn)程結(jié)束，那么包括任務(wù)欄、桌面、以及打開(kāi)的文件都會(huì)統(tǒng)統(tǒng)消失，單擊 “任務(wù)管理器”一“文件J“新建任務(wù)”，輸入“explorer.exe”后，消失的東西又重新回來(lái)了。 explorer.exe進(jìn)程的作用就是讓我們管理計(jì)算機(jī)中的資源。explorer.exe進(jìn)程默認(rèn)是和系統(tǒng)一起啟動(dòng)的，其對(duì)應(yīng)可執(zhí)行文件的路徑為windows所在目錄，除此之外則為病毒。iexplore.exe常被病毒冒充的進(jìn)程名有：iexplorer.exe、iexploer.exe、iexplorer.exe進(jìn)程和上文中的explorer.exe進(jìn)程名很相像，因此比較容易搞混，其實(shí)iexplore.exe是MicrosoftInternetExplorer所產(chǎn)生的進(jìn)程，也就是我們平時(shí)使用的IE瀏覽器。知道作用后辨認(rèn)起來(lái)應(yīng)該就比較容易了，iexplore.exe進(jìn)程名的開(kāi)頭為“ie”，就是IE瀏覽器的意思。iexplore.exe進(jìn)程對(duì)應(yīng)的可執(zhí)行程序位于%ProgramFiles%\InternetExplorer目錄中(64位系統(tǒng)則是在％ProgramFiles%\lnternetExplorer或是％ProgramFiles(X86)%\InternetExplorer中)，存在于其他目錄則為病毒，除非你將該文件夾進(jìn)行了轉(zhuǎn)移。此外，有時(shí)我們會(huì)發(fā)現(xiàn)沒(méi)有打開(kāi)IE瀏覽器的情況下，系統(tǒng)中仍然存在iexplore.exe進(jìn)程，這要分兩種情況：1.病毒假冒iexplore.exe進(jìn)程名。2.病毒偷偷在后臺(tái)通過(guò)iexplore.exe干壞事。因此出現(xiàn)這種情況還是趕快用殺毒軟件進(jìn)行查殺吧。rundll32.exe常被病毒冒充的進(jìn)程名有：rundl132.exe、rundl32.exe。rundll32.exe在系統(tǒng)中的作用是執(zhí)行DLL文件中的內(nèi)部函數(shù)，系統(tǒng)中存在多少個(gè)Rundll32.exe進(jìn)程，就表示Rundll32.exe啟動(dòng)了多少個(gè)的DLL文件。其實(shí)rundll32.exe我們是會(huì)經(jīng)常用到的，他可以控制系統(tǒng)中的一些dll文件，舉個(gè)例子，在“命令提示符”中輸入“rundll32.exeuser32.dll,LockWorkStation”，回車(chē)后，系統(tǒng)就會(huì)快速切換到登錄界面了。rundll32.exe的路徑為“C:\Windows\system32”（或X:\Windows\system32,"X"代表windows所在分區(qū)），在別的目錄則可以判定是病毒。常被病毒冒充的進(jìn)程名有：spoo1sv.exe、spolsv.exe。spoolsv.exe是系統(tǒng)服務(wù)“PrintSpooler”所對(duì)應(yīng)的可執(zhí)行程序，其作用是管理所有本地和網(wǎng)絡(luò)打印隊(duì)列及控制所有打印工作。如果此服務(wù)被停用，計(jì)算機(jī)上的打印將不可用，同時(shí)spoolsv.exe進(jìn)程也會(huì)從計(jì)算機(jī)上消失。如果你不存在打印機(jī)設(shè)備，那么就把這項(xiàng)服務(wù)關(guān)閉吧，可以節(jié)省系統(tǒng)資源。停止并關(guān)閉服務(wù)后，如果系統(tǒng)中還存在spoolsv.exe進(jìn)程，這就一定是病毒偽裝的了。限于篇幅，關(guān)于常見(jiàn)進(jìn)程的介紹就到這里，我們平時(shí)在檢查進(jìn)程的時(shí)候如果發(fā)現(xiàn)有可疑，只要根據(jù)兩點(diǎn)來(lái)判斷：仔細(xì)檢查進(jìn)程的文件名；檢查其路徑。通過(guò)這兩點(diǎn)，一般的病毒進(jìn)程肯定會(huì)露出馬腳。找個(gè)管理進(jìn)程的好幫手系統(tǒng)內(nèi)置的“任務(wù)管理器”功能太弱，肯定不適合查殺病毒。因此我們可以使用專(zhuān)業(yè)的進(jìn)程管理工具，例如Procexp。Procexp可以區(qū)分系統(tǒng)進(jìn)程和一般進(jìn)程，并且以不同的顏色進(jìn)行區(qū)分，讓假冒系統(tǒng)進(jìn)程的病毒進(jìn)程無(wú)處可藏。運(yùn)行Procexp后，進(jìn)程會(huì)被分為兩大塊，“SystemIdleProcess”下屬的進(jìn)程屬于系統(tǒng)進(jìn)程，explorer.exe”下屬的進(jìn)程屬于一般進(jìn)程。我們介紹過(guò)的系統(tǒng)進(jìn)程svchost.exe、winlogon.exe等都隸屬于“SystemIdleProcess”，如果你在“explorer.exe”中發(fā)現(xiàn)了svchost.exe，那么不用說(shuō)，肯定是病毒冒充的。當(dāng)任務(wù)管理器被系統(tǒng)管理員禁用時(shí)，如何解禁？其實(shí)方法很簡(jiǎn)單，現(xiàn)提供方法如下：點(diǎn)擊“開(kāi)始-運(yùn)行”，鍵入“regedit”回車(chē)打開(kāi)“注冊(cè)表編輯器”，依次展開(kāi)[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]，檢查其下一個(gè)名為“System”的項(xiàng)，在“任務(wù)管理器”被停用的情況下，“System”項(xiàng)下應(yīng)該有一個(gè)名為“DisableTaskMgr”的字串符值，鍵值為1,將1改成0；或者干脆刪除“System”項(xiàng)，就能解除“任務(wù)管理器”的鎖定。其實(shí)利用“組策略”或者注冊(cè)表來(lái)限制用戶(hù)運(yùn)行“任務(wù)管理器”或者“注冊(cè)表編輯器”都是不太嚴(yán)謹(jǐn)?shù)淖龇ǎ驗(yàn)橹灰螺d安裝第三方的進(jìn)程管理工具及注冊(cè)表編輯器 （比如Icesword）就能實(shí)現(xiàn)相同的目的了。［編輯本段］如何用windows任務(wù)管理器揪出暗藏的木馬［2Windows任務(wù)管理器是大家對(duì)進(jìn)程進(jìn)行管理的主要工具，在它的 “進(jìn)程”選項(xiàng)卡中能查看當(dāng)前系統(tǒng)進(jìn)程信息。在默認(rèn)設(shè)置下，一般只能看到映像名稱(chēng)、用戶(hù)名、CPU占用、內(nèi)存使用等幾項(xiàng)，而更多如I/O讀寫(xiě)、虛擬內(nèi)存大小等信息卻被隱藏了起來(lái)。可別小看了這些被隱藏的信息，當(dāng)系統(tǒng)出現(xiàn)莫名其妙的故障時(shí)，沒(méi)準(zhǔn)就能從它們中間找出突破口。查殺會(huì)自動(dòng)消失的雙進(jìn)程木馬前段時(shí)間朋友的電腦中了某木馬，通過(guò)任務(wù)管理器查出該木馬進(jìn)程為“system.exe”，終止它后再刷新，它又會(huì)復(fù)活。進(jìn)入安全模式把 C:\WINDOWS\SYSTEM32\system.exe刪除，重啟后它又會(huì)重新加載，怎么也無(wú)法徹底清除它。從此現(xiàn)象來(lái)看，朋友中的應(yīng)該是雙進(jìn)程木馬。這種木馬有監(jiān)護(hù)進(jìn)程，會(huì)定時(shí)進(jìn)行掃描，一旦發(fā)現(xiàn)被監(jiān)護(hù)的進(jìn)程遭到查殺就會(huì)復(fù)活它。而且現(xiàn)在很多雙進(jìn)程木馬互為監(jiān)視，互相復(fù)活。因此查殺的關(guān)鍵是找到這“互相依靠”的兩個(gè)木馬文件。借助任務(wù)管理器的PID標(biāo)識(shí)可以找到木馬進(jìn)程。調(diào)出Windows任務(wù)管理器，首先在“查看-選擇列”中勾選“PID（進(jìn)程標(biāo)識(shí)符）”,這樣返回任務(wù)管理器窗口后可以看到每一個(gè)進(jìn)程的