劉景云

當(dāng)系統(tǒng)運(yùn)行異常時(shí)，我們最直接的反應(yīng)就是打開任務(wù)管理器，來檢查是否有病毒木馬進(jìn)程在搗亂?？捎袝r(shí)試圖關(guān)閉來歷不明的可疑進(jìn)程時(shí)，卻面臨操作失敗的困擾。這些頑固的可疑進(jìn)程采用各種對(duì)抗手段，讓用戶對(duì)其束手無策。其實(shí)，我們無需借助第三方安全工具，僅僅依靠系統(tǒng)的自帶功能，就可以讓這些令人厭惡的非法進(jìn)程徹底失去活力。

提升權(quán)限，輕松關(guān)閉進(jìn)程

在Windows的任務(wù)管理器中，之所以無法關(guān)閉頑固進(jìn)程，究其根源在于權(quán)限不足。其實(shí)，在系統(tǒng)中還隱藏著一個(gè)“隱形”的超級(jí)管理員——SYSTEM賬戶，其權(quán)限甚至超過了Administrator賬戶。使用SYSTEM賬戶權(quán)限，可以隨意關(guān)閉頑固進(jìn)程。在命令提示符窗口中執(zhí)行“sc Create SuperCMD binPath= "cmd /K start" type= own type= interact”命令，建立一個(gè)名為“SuperCMD”的交互服務(wù)。執(zhí)行“sc start SuperCMD”命令，來啟動(dòng)該交互進(jìn)程。之后系統(tǒng)會(huì)彈出交互式服務(wù)檢測窗口（如圖1）。

點(diǎn)擊其中的“查看消息”按鈕，可以以SYTEM賬戶身份打開命令提示符窗口。在其中執(zhí)行“taskmgr.exe”程序，就會(huì)以SYSTEM賬戶身份啟動(dòng)任務(wù)管理器，這樣，就可以有效關(guān)停頑固進(jìn)程了。操作完畢后，在交互式服務(wù)檢測窗口中點(diǎn)擊“立即返回”按鈕，回到正常操作界面。如果您使用的是XP系統(tǒng)，可以使用AT命令，來實(shí)現(xiàn)上述操作。方法是在CMD窗口中執(zhí)行“time /t”命令，來查看當(dāng)前的時(shí)間。假設(shè)當(dāng)前時(shí)間為上午8：59，執(zhí)行“at 9：00 /interactive taskmgr.exe”命令，就可以在上午九點(diǎn)啟動(dòng)任務(wù)管理器進(jìn)程。當(dāng)達(dá)到預(yù)設(shè)時(shí)間后，就會(huì)以SYSTEM賬戶身份啟動(dòng)任務(wù)管理器了。

活用Taskkill命令，對(duì)付頑固進(jìn)程

在系統(tǒng)中內(nèi)置了名為Taskkill的工具，可以幫助您清理頑固進(jìn)程。當(dāng)然，必須先確定目標(biāo)進(jìn)程的ID號(hào)才行。在命令提示符窗口中執(zhí)行“tasklist /svc”命令，可以查看當(dāng)前所有進(jìn)程的信息，包括映像名稱、PID號(hào)、服務(wù)等（如圖2）。這樣，可以清楚地看到目標(biāo)進(jìn)程的PID號(hào)。也可以在CMD窗口中執(zhí)行“wmic process list”命令，使用WMIC工具來查看進(jìn)程信息。為了便于觀察，可以執(zhí)行諸如“wmic process list > c：＼procelist.txt”命令，將統(tǒng)計(jì)信息導(dǎo)出到“procelist.txt”文件中。使用記事本打開該文件，并取消自動(dòng)換行功能，就可以完美瀏覽進(jìn)程信息了。

也可以在任務(wù)管理器中打開“進(jìn)程”面板，點(diǎn)擊菜單“查看→選擇列”項(xiàng)，確保選中“PID（進(jìn)程標(biāo)識(shí)符）”項(xiàng)。在“進(jìn)程”面板中就可以找到目標(biāo)進(jìn)程的ID號(hào)了。例如，在命令行窗口中執(zhí)行“taskkill /PID ?1916”命令，就可以關(guān)閉PID為1916的進(jìn)程。如果執(zhí)行“taskkill /PID 進(jìn)程ID /f /t”命令，可以強(qiáng)制關(guān)閉指定的進(jìn)程，同時(shí)終止其啟用的所有子進(jìn)程。Taskkill命令有一項(xiàng)絕活就是可以同時(shí)關(guān)閉多個(gè)進(jìn)程，例如，當(dāng)需要清除ID號(hào)分別為3373、3428、4936等多個(gè)進(jìn)程時(shí)，可以執(zhí)行“Taskkill /f /PID 3376 /PID 3428 /PID 4936”命令，將其一并清除（如圖3）。

當(dāng)然，也可以按照進(jìn)程名稱，執(zhí)行關(guān)閉操作。執(zhí)行“tasklist /im winserver32.exe /f”命令，就可以關(guān)閉名為“winserver32.exe”的進(jìn)程。利用Taskkill命令，可以順藤摸瓜發(fā)現(xiàn)多進(jìn)程守護(hù)型病毒木馬。例如執(zhí)行“taskkill /im daemon.exe /t”命令，根據(jù)返回信息顯示該進(jìn)程是屬于PID為736的子進(jìn)程，該進(jìn)程的名稱為“syswd.exe”，執(zhí)行“taskkill /im syswd.exe /t”命令，發(fā)現(xiàn)其是PID為 1560進(jìn)程的子進(jìn)程，經(jīng)查PID為 1560的進(jìn)程名為“sersec.exe”。這些進(jìn)程相互守護(hù)，無法逐個(gè)進(jìn)行關(guān)閉。執(zhí)行“taskkill /im daemon.exe /im syswd.exe /im sersec.exe /f”命令，就可以將其一網(wǎng)打盡。

使用Taskkill命令，還可以快速清除所有失去響應(yīng)的進(jìn)程，執(zhí)行“taskkill /fi " status eq not responding"”即可。有時(shí)，當(dāng)發(fā)現(xiàn)了某個(gè)DLL木馬后，卻無法將其對(duì)應(yīng)的DLL木馬文件刪除，究其原因，在于該DLL木馬插入到了某個(gè)合法進(jìn)程中。對(duì)此，可以執(zhí)行“taskkill /fi "modules eq winspool.dll"”命令，來關(guān)閉所有調(diào)用“winspool.dll”的進(jìn)程，假設(shè)“winspool.dll”為木馬DLL文件。這樣，就可以輕松刪除DLL木馬文件了。

終極利器ntsd命令

對(duì)于一些很霸道的進(jìn)程 ，使用Taskkill命令未必有效。不過，在ntsd命令面前，對(duì)付這些霸道進(jìn)程根本不在話下。Ntsd命令其實(shí)是一個(gè)系統(tǒng)調(diào)試工具，除了系統(tǒng)自身的管理進(jìn)程，Ntsd命令可謂無堅(jiān)不摧。按照上述談到的方法確定需要清除的進(jìn)程ID號(hào)，假設(shè)為5100，在命令行窗口中執(zhí)行“ntsd –c q –p 5100”，就可以將其終結(jié)掉。其中的“-c”參數(shù)表示執(zhí)行Debug級(jí)別的命令，“q”參數(shù)表示執(zhí)行結(jié)束后退出，“-p”參數(shù)后面跟隨具體的進(jìn)程ID。

當(dāng)然，也可以針對(duì)進(jìn)程名稱進(jìn)行操作，例如想關(guān)閉名為“windll.exe”的進(jìn)程，可以執(zhí)行“ntsd –c q –pn windll.exe”，就可以將其關(guān)停。當(dāng)然，對(duì)于系統(tǒng)提供的“system”、“SMSS.exe”、“Csrss.exe”、“l(fā)sass.exe”等核心進(jìn)程不要隨意關(guān)閉。注意，Windows 7沒有提供ntsd命令，可以從網(wǎng)上下載該工具，之后將其復(fù)制到“C：＼Windows＼System32”文件夾中，就可以自由使用了。下載地址：http：//www.pc6.com/softview/SoftView_25612.html#download。

使用“偏方”對(duì)付頑固進(jìn)程

對(duì)于某些比較特別的進(jìn)程，如果使用常規(guī)方法無法應(yīng)對(duì)，可以在任務(wù)管理器中的“映像路徑名稱”列中查看其存儲(chǔ)位置，之后找到對(duì)應(yīng)的程序文件，在其屬性窗口中打開“安全”面板，點(diǎn)擊“編輯”按鈕，在彈出窗口（如圖4）中的“組或用戶名”列表中選擇當(dāng)前的賬戶（例如“Administrator”），在“拒絕”列中勾選所有項(xiàng)目。這樣重啟系統(tǒng)之后，該程序就無法運(yùn)行了，之后就可以將其刪除。如果在操作時(shí)，出現(xiàn)失敗的情況，可能是這些文件受到名為TrustedInstaller賬戶的保護(hù)。為了讓當(dāng)前賬戶擁有對(duì)其控制權(quán)，可以在命令提示符窗口中先切換到這些文件所屬目錄中，執(zhí)行“takeown /f * /A /R”和“icacls * /t /grant：r everyone：f”命令，就獲得了所需的操作權(quán)限。

也可以利用映像劫持技術(shù)，來對(duì)付狡猾的惡意進(jìn)程。假設(shè)其名稱為“secsvc.exe”，使用記事本編輯以下內(nèi)容：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Image File Execution Options＼ secsvc.exe]

"debugger"="nofile.exe"

將該文件保存為“norun.reg”，雙擊該文件就可以為“secsvc.exe”創(chuàng)建映像劫持，當(dāng)重啟系統(tǒng)后該程序試圖啟動(dòng)時(shí)，系統(tǒng)會(huì)“錯(cuò)誤地”執(zhí)行根本不存在的“nofile.exe”程序，從而達(dá)到阻止該進(jìn)程運(yùn)行的目的。