Problema principal del Administrador de tareas
La interfaz de usuario del Administrador de tareas proporciona seis elementos de menú principales, como Archivo, Opciones, Ver, Ventana, Apagar, Ayuda, etc. Por ejemplo, en el menú de apagado, puede completar el modo de espera, hibernar, apagar, reiniciar, cerrar sesión, cambiar y otras operaciones. También hay cinco pestañas, como Aplicaciones, Procesos, Rendimiento, Redes y Usuarios, y cinco pestañas, como Redes y Usuarios. En la parte inferior de la ventana se encuentra la barra de estado, desde la cual puede ver la cantidad de procesos del sistema actual. Uso de la CPU y cambio de memoria 1. Aplicaciones Esto mostrará todas las aplicaciones que se están ejecutando actualmente, pero solo las aplicaciones con ventanas abiertas, no las aplicaciones minimizadas en la bandeja del sistema, por ejemplo, QQ o MSN Messenger. Puede hacer clic en el botón "Finalizar tarea" para cerrar una aplicación. Si desea cerrar varias tareas al mismo tiempo, mantenga presionada la tecla Ctrl y marque la casilla de verificación. Botón Abra el programa correspondiente y haga clic en el botón "Nueva tarea" para abrir el programa, carpeta, documento o recurso de Internet correspondiente. Si no conoce el nombre del programa, puede hacer clic en el botón "Examinar" para buscar. De hecho, esta función "Nueva tarea" es algo similar al comando Ejecutar en el menú Inicio. 2. Procesos Esto muestra todos los procesos actualmente en ejecución, incluidas aplicaciones, servicios en segundo plano, etc. También se pueden encontrar los procesos que están ocultos en la parte inferior del sistema y ejecutan virus o troyanos. aquí, suponiendo que conozcas su nombre. Puede encontrar el nombre del proceso que desea finalizar y luego ejecutar el comando "Finalizar proceso" en el menú contextual para forzar el final del proceso, pero al hacerlo se perderán los datos no guardados y, si finaliza el sistema. servicio, es posible que no pueda utilizar ciertos aspectos del sistema con normalidad. El Administrador de tareas de Windows solo muestra los procesos actuales en el sistema, mientras que el Explorador de procesos muestra las relaciones entre procesos en forma de árbol, es decir, qué otros procesos inicia el proceso, qué archivos son llamados por el proceso o carpeta, si el proceso es un servicio de Windows, muestra todos los servicios registrados en el proceso y todos los servicios requeridos por el proceso. Si el proceso es un servicio de Windows, puede ver todos los servicios registrados por el proceso y, si es necesario, descargarlos desde .com/soft/17580.html. 3. Rendimiento Desde el Administrador de tareas, podemos ver el concepto dinámico del rendimiento de la computadora, como la CPU y varios usos de memoria. Uso de CPU: un gráfico que muestra el porcentaje de tiempo que el procesador está funcionando. Este contador es el indicador principal de la actividad del procesador. Vea este gráfico para ver cuánto tiempo de procesamiento se está utilizando actualmente. Registro de uso de CPU: este gráfico muestra el uso del procesador a lo largo del tiempo y las muestras que se muestran en el gráfico dependen de la configuración de Velocidad de actualización seleccionada en el menú Ver. "Alto" significa dos veces por segundo, "normal" significa una vez cada dos segundos, "bajo" significa una vez cada cuatro segundos y "pausa" significa que no hay actualización automática. Uso de PF: PF es la página file page Abreviatura de file. Sin embargo, este número a menudo se malinterpreta como el tamaño del archivo de página que utiliza el sistema en ese momento. El significado correcto es la suma de la memoria que se utiliza, incluida la memoria física y la memoria virtual. cómo saber el archivo de página real utilizado. ¿Qué pasa con el tamaño? Normalmente, puede utilizar un programa de terceros (como PageFile Monitor) o verlo a través de la consola de Windows Registro de uso del archivo de página. : muestra páginas durante un período de tiempo. Un gráfico del número de archivos, que muestra muestras basadas en la configuración de velocidad de actualización seleccionada en el menú Ver. Total: muestra el número total de identificadores, subprocesos, y procesos que se ejecutan en el ordenador Memoria de ejecución: memoria asignada a los programas y al sistema operativo. Debido a la presencia de memoria virtual, el pico puede exceder la memoria física máxima y el valor "Total" es el mismo que se muestra en el cuadro del historial de uso del archivo de la página. El valor "Total" es el mismo que el valor que se muestra en el gráfico "Historial de uso de archivos de página". Recuento de procesamiento: esto es algo muy técnico. Cualquiera que sepa programación lo sabe, yo no. entiéndalo, solo punteros Se llama puntero. El "número de subprocesos" se refiere a la parte del programa que se puede ejecutar de forma independiente. El "número de procesos" simplemente significa el número de programas en ejecución. Memoria: La cantidad de memoria física total instalada en la computadora, también conocida como RAM. La "cantidad disponible" se refiere al espacio disponible en la memoria física que puede utilizar el programa. valor porque la memoria física no se agota por completo antes de cambiar a la memoria virtual. En otras palabras, el espacio libre es la cantidad de memoria física restante antes de que se use la memoria virtual (archivo de paginación). "Caché del sistema" se refiere a la cantidad de memoria física asignada. al caché del sistema. Se utiliza principalmente para almacenar programas, datos, etc. Una vez que el sistema o programa lo necesita, se libera parte de la memoria, lo que significa que el valor es mutable. Uso total confirmado: en realidad, es la cantidad total de memoria utilizada por el sistema operativo y los programas en ejecución, incluida la memoria física y la memoria virtual (archivo de página). Es igual al uso de PF mencionado anteriormente. "Límite" se refiere a la cantidad máxima de memoria que el sistema puede proporcionar, incluida la memoria física (RAM) y la memoria virtual (archivo de página). "Pico" se refiere al valor de uso de memoria más alto alcanzado por el sistema dentro de un período de tiempo. Si el valor está cerca del "valor límite" anterior, significa que necesita aumentar la memoria física o el archivo de página; de lo contrario, ¡el sistema lo hará sentir miserable! Memoria del kernel: la memoria utilizada por el sistema operativo el núcleo del sistema y los controladores de dispositivos. La memoria "paginación" se puede copiar a un archivo de paginación y asignarse al disco duro para que la memoria física se libere cuando el sistema la necesite y la memoria "no paginada" se retenga en la memoria física, que no está asignada; el disco duro. Tampoco se copia al archivo de paginación. 4. Redes Esto muestra el tráfico de red conectado al ordenador local. Al utilizar varias conexiones de red, aquí podemos comparar el tráfico de cada conexión, aunque por supuesto esta opción sólo aparecerá si hay una tarjeta de red instalada. 5. Usuarios Esto muestra el número de usuarios actualmente conectados y conectados a la máquina, sus identificadores (ID numéricos que identifican las sesiones en la máquina), su estado de actividad (en ejecución , desconectado) y su nombre de cliente, y le permite hacer clic en el botón "Cerrar sesión" para volver a iniciar sesión, o en el botón "Desconectar" para desconectarse. Puede hacer clic en el botón "Cerrar sesión" para volver a iniciar sesión, o hacer clic en el botón "Desconectar" para conectarse a su computadora local y enviar mensajes a otros usuarios si es un usuario de LAN. [Editar] Tareas especiales del Administrador de tareas De hecho, además de finalizar tareas, finalizar procesos y comprobar el rendimiento, el Administrador de tareas también puede completar muchas tareas especiales más avanzadas. A continuación se muestran algunos ejemplos de cómo ampliar el uso del Administrador de tareas: Ejemplo 1: Minimizar varias ventanas al mismo tiempo Cambie a la pestaña Aplicaciones y mantenga presionada la tecla Ctrl. mientras selecciona los elementos de la aplicación que deben minimizarse al mismo tiempo, luego haga clic en cualquiera de ellos y seleccione "Minimizar" en el menú contextual. Seleccione el comando "Minimizar" en el menú contextual. Aquí también puede completar operaciones como cascada, mosaico horizontal y mosaico vertical. Ejemplo 2: Reducir el uso de recursos del software BT Cuando se ejecuta el software BT, a menudo se consumen muchos recursos del sistema. Verá la luz del disco duro parpadeando y el ruido. de rotación rápida, ya sea que esté navegando por la web o ejecutando otras aplicaciones, esta es una excelente manera de apagar su sistema. Abra la ventana "Administrador de tareas → Proceso", seleccione el nombre del proceso del software BT y luego seleccione el comando "Establecer prioridad" en el menú contextual. Puede seleccionar tiempo real, alto, arriba. estándar, estándar, elija entre mediocre y bajo. Por ejemplo, si lo configura en "Por debajo del estándar", puede reducir la prioridad de un proceso para que Windows pueda asignar más recursos a otros procesos. Ejemplo 3: creación de un Administrador de tareas mejorado Algunos usuarios eliminaron el Administrador de tareas de Longhorn y lo pusieron disponible para su descarga para que podamos usarlo para crear un Administrador de tareas mejorado. Después de descomprimir el archivo descargado, obtendrá 3 archivos, incluidos Taskkill.exe, Tasklist.exe y Taskmgr.exe. Primero, sobrescriba el archivo con el mismo nombre en (Windows/System32/Dllcahe/). antes de sobrescribir, y luego continúe. Sobrescriba el archivo con el mismo nombre en (Windows/System32/). Cuando aparezca el cuadro de diálogo, verá el archivo con el mismo nombre en (Windows/System32/). Cuando aparezca el cuadro de diálogo "Protección de archivos de Windows", seleccione el botón "Cancelar". Después de cambiar el administrador de tareas, no solo el ícono del programa ha cambiado, sino que al hacer clic derecho en el proceso, también puede encontrar los dos comandos de abrir un directorio y crear un archivo de volcado en el lado derecho. Haga clic en el menú y en "Ver → Seleccionar" Agregue los dos elementos "ruta de la imagen" en la línea de comando. El primero puede verificar si el proceso mostrado está camuflado y el segundo puede verificar si el proceso está camuflado. El primero puede verificar si el proceso mostrado está disfrazado y el segundo puede verificar la ruta del archivo del proceso. Ejemplo 4: activar la tecnología Hyper-Threading en el procesador La tecnología Hyper-Threading del procesador P4 es en realidad equivalente a dividir un procesador en dos procesadores virtuales, que simplemente Esto Significa que la tecnología Hyper-Threading requiere el soporte del procesador, la placa base y el sistema operativo. Si está utilizando Windows XP/Server 2003 y está seguro de que su placa base y su procesador admiten la tecnología Hyper-Threading, puede cambiar a la pestaña "Rendimiento" y si ve dos gráficos de uso de CPU, entonces su procesamiento. El servidor tiene Hyper -Tecnología de roscado habilitada. Por supuesto, también puede verificar si se admite Hyper-Threading en la información de inicio. La información de inicio generalmente mostrará los nombres de los procesadores CPU1 y CPU2, o accederá al administrador de dispositivos después del inicio. También mostrará los nombres de los dos procesadores. Ejemplo 5: Deshabilitar el Administrador de tareas El Administrador de tareas puede realizar tareas tan poderosas. Si está utilizando una computadora pública y no desea que otros operen el Administrador de tareas de forma privada, puede escribir. Gpedit.msc en el cuadro Inicio → Ejecutar para abrir la ventana Política de grupo. Busque el elemento "Política de computadora local → Configuración de usuario → Plantillas administrativas → Sistema → Ctrl + Alt + Supr Opciones", luego seleccione el elemento "Eliminar Administrador de tareas" en la ventana derecha, configúrelo en "Activado" y luego presione "Activar". " botón. Después de habilitar ", no podrá operar el Administrador de tareas cuando presione la combinación de teclas "Ctrl+Alt+Supr" en el futuro. Por supuesto, aún puede operarlo normalmente a través del otro Dos métodos mencionados en el artículo Administrador de tareas, la solución única es configurar la autorización del usuario para el archivo Taskmgr.exe. Por supuesto, debe usar el sistema de archivos NTFS para hacer esto, jaja. > También puede modificar el registro para deshabilitarlo: HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Policies\system Nuevo valor de Dword: DisableTaskMgr=1 (deshabilitado) DisableTaskMgr=0 (deshabilitado) Trivia Identificador: un valor que identifica de forma única un recurso (como una clave de registro en un archivo) para que un programa pueda acceder al recurso. Hilo: A. Objeto de proceso que ejecuta instrucciones del programa. Los subprocesos permiten operaciones concurrentes dentro de un proceso y permiten que los procesos ejecuten diferentes partes de sus programas en diferentes procesadores al mismo tiempo. Proceso: programa ejecutable (como Resource Manager) o. servicio (como MSTask) 6. .Cuando hay anomalías en la interfaz del Administrador de tareas, como el rendimiento, falta la barra de cambio de proceso, no se maximiza y minimiza, etc., puede tomar lo siguiente medidas para restaurar la interfaz sin administrador. He aquí cómo hacerlo: ¡Haga doble clic en el borde en blanco en el espacio en blanco! El Administrador de tareas de Windows es un programa que utilizamos habitualmente. Suele utilizarse para gestionar procesos informáticos o ver el estado del ordenador en tiempo real. De hecho, hace mucho más que eso. El primer truco consiste en utilizar el cuadro de diálogo "Ejecutar" en un cibercafé. En un cibercafé, si necesita utilizar el cuadro de diálogo "Ejecutar", no hay nada que pueda hacer. Lo único que puedes hacer es no hacer nada al respecto. De hecho, puede utilizar temporalmente el Administrador de tareas para reemplazar el cuadro de diálogo Ejecutar. Primero, mantenga presionada la combinación de teclas "Ctrl + Alt + Supr" para intentar abrir el Administrador de tareas. Será bueno si se puede abrir. Hacemos clic en el menú de Tareas. Administrador "Archivo → Nueva tarea" y "Crear nueva tarea", "Crear nueva tarea", "Crear nueva tarea", "Crear nueva tarea", "Crear nueva tarea", "Crear nueva tarea". En la ventana "Crear nueva tarea" (Figura 1), intente escribir el contenido. ¡El efecto es el mismo que el del cuadro de diálogo Ejecutar! El segundo truco: actualizar rápidamente el registro Muchos programas nos pedirán que reiniciemos después de la instalación para que el software pueda usarse con normalidad. De hecho, la mayoría de las veces estos programas lo son. simplemente "hacer un escándalo por un grano de arena". Debido a que el reinicio es sólo para actualizar el registro, podemos usar el Administrador de tareas para que el software surta efecto más rápidamente. Podemos utilizar el administrador de tareas para que el software surta efecto más rápidamente. Podemos utilizar el administrador de tareas para que el software surta efecto más rápidamente. Podemos utilizar el administrador de tareas para que el software surta efecto más rápidamente. El método es: en la pestaña "Proceso", seleccione el proceso "explorer.exe" con el mouse y luego haga clic en el botón "Finalizar proceso" en la esquina inferior derecha. Finaliza el proceso y la pantalla del escritorio desaparece. Que no cunda el pánico, ingresaremos "explorer.exe" en la ventana "Crear nueva tarea". Después de ejecutarlo, se restaurará la pantalla del escritorio y el registro de la computadora también se actualizará. Ahora podrá usar el software normalmente. El tercer paso: optimizar el juego Muchos amigos ahora usan menos de 1 GB de memoria, por lo que cuando jugamos juegos 3D, sentiremos cierto retraso durante la operación en este momento. Desde cerrar todos los programas del juego, parece que no hay otra forma de ahorrar memoria. De hecho, podemos cerrar el administrador de tareas antes de ejecutar el juego. De hecho, podemos finalizar el proceso "explorer.exe" en el Administrador de tareas antes de ejecutar el juego, ya que en muchos casos consume una gran cantidad de memoria. Finalizarlo añadirá decenas de megas de memoria disponible a nuestro juego, lo que por supuesto mejorará la jugabilidad del juego. Pero ahora que el escritorio desapareció, la forma de iniciar un juego ha cambiado. Necesitamos abrir Archivo → Nueva tarea y hacer clic en el botón Examinar para ingresar al directorio del juego y cargar el juego principal y hacer clic en Aceptar para iniciar el juego. Primero, debes hacer clic en el botón "Examinar" para ingresar al directorio del juego y cargar el programa principal del juego. En W2K/XP, presione las teclas Ctrl+Alt+Supr al mismo tiempo para abrir el Administrador de tareas de Windows, haga clic en "Procesos" y podrá ver muchos procesos EXE en ejecución: Proceso inactivo del sistema: este es un proceso crítico, solo 16 kB y el único proceso en ejecución. Este es un proceso crítico, solo 16 kB. Se repite para calcular la inactividad de la CPU. Cuanto mayor sea el valor, mejor. El proceso no se puede finalizar, nunca parece bajar del 25% y permanece por encima del 50% la mayor parte del tiempo. system:system es un proceso de administración de memoria de la página de Windows con una prioridad de 0 (cuando .exe aparece después del sistema, es un archivo generado por el troyano netcontroller y aparece en el directorio c:\\windows. Se recomienda eliminarlo). explorador: explorer.exe controla la interfaz de usuario estándar, procesos, comandos, escritorio, etc. explorer.exe siempre se ejecuta en segundo plano y normalmente consume entre 5,8 MB y 36 MB de memoria, dependiendo de las fuentes del sistema, las imágenes de fondo, el escritorio activo, etc. También se puede utilizar como administrador de recursos. (explorer.exe e Internet Explorer pueden diferir) IEXPLORE: iexplore.exe es el principal programador de Internet de Microsoft. iexplore.exe es un proceso muy necesario y no debe finalizarse a menos que se sospeche que causa problemas. Cuando abrimos IE nuevamente, su función es acelerar el proceso y cuando todas las ventanas de IE estén cerradas, seguirá ejecutándose en segundo plano. Cuando lo usamos para navegar por Internet, ocupa 7,3 MB o más de memoria, y la memoria aumenta con el número de ventanas abiertas del navegador. ctfmon: Esta es la barra de idioma que aparece en la esquina inferior derecha del escritorio cuando instalas WinXP. Si no desea que aparezca, puede desmarcarlo siguiendo estos pasos: Panel de control - Opciones regionales y de idioma - Idioma - Detalles - Servicios de texto e idiomas de entrada - (Preferencias) Barra de idioma - Configuración de la barra de idioma - Desmarcar Mostrar en el escritorio la casilla de verificación de la barra de idioma. Esto le ahorrará más de 4 MB de RAM. wowexec: Se utiliza para soportar procesos críticos que no pueden finalizarse en sistemas operativos de 16 bits. csrss: Esta es una de las partes centrales de Windows y se conoce como proceso cliente servidor. Este proceso 4K normalmente consume aproximadamente de 3 MB a 6 MB de memoria y no se puede finalizar. Se recomienda no modificar este proceso. dovldr32: Puedes desactivarlo para ahorrar memoria, ocupa entre 2,3 MB y 2,6 MB de memoria. winlogon: este proceso maneja el inicio y cierre de sesión, en realidad es necesario y su tamaño depende de la duración del tiempo de inicio de sesión. servicios: services.exe forma parte del sistema operativo Microsoft Windows. Se utiliza para gestionar el inicio y la parada de servicios. Este proceso también maneja los servicios que se ejecutan cuando la computadora se inicia y se apaga. Este programa es muy importante para el funcionamiento normal del sistema y el sistema desactiva el proceso para finalizar su funcionamiento. svchost: Svchost.exe es un programa de sistema que pertenece al sistema operativo Microsoft Windows y se utiliza para ejecutar archivos dll. Este programa es muy importante para el funcionamiento normal del sistema. El proceso de host universal del servicio Win32 ha encontrado un problema y debe cerrarse "generalmente porque el proceso no puede encontrar el archivo dll. msmsgs: este es el famoso proceso MSN de Windows Messenger de Microsoft (instantáneo software de mensajería), en WinXP Incluido en las ediciones Home y Professional, si todavía está ejecutando programas como Outlook y MSN Explorer, este proceso se ejecutará en segundo plano para admitir todas estas funciones .NET y otras tecnologías nuevas que, según Microsoft, son genial. msn: características de .NET y otras nuevas tecnologías msn6: este es el proceso MSN Explorer de Microsoft para WinXP, disponible cuando se ejecuta msmsgs.exe
spoolsv: se utiliza para enviar tareas de impresora de Windows a la impresora local y se abrirá nuevamente. después de cerrar.
Promon: Este es el programa de configuración e instalación para las tarjetas de red de la serie Intel. Muestra el programa de control como un icono en la barra de tareas y ocupa alrededor de 656 KB a 1,1 MB de memoria.
SMS: el tamaño es de solo 45 KB, pero ocupa de 300 KB a 2 MB de espacio, que es uno de los procesos centrales de Windows y es el administrador de sesiones del kernel de Windows NT.
taskmgr: si ve este proceso ejecutándose, en realidad está viendo el Administrador de tareas. Ocupa aproximadamente 3,2 MB de memoria, así que no olvide incluirla al optimizar su sistema.
Tastch: este proceso aparece después de instalar powerToys en XP. Muestra un icono de alternancia al presionar la tecla Alt+Tab y ocupa entre 1,4 MB y 2 MB de memoria.
lsass: Servicio de permisos de seguridad local. Es un proceso del sistema del mecanismo de seguridad de Microsoft, que maneja principalmente algunos mecanismos de seguridad especiales y políticas de inicio de sesión.
atievxx: Se instala con el controlador del producto de hardware de gráficos ati. No es puramente un programa del sistema, pero puede causar problemas desconocidos si se finaliza.
alg: Este es un programa que viene con el sistema operativo Microsoft Windows. Se utiliza para manejar el disfrute de la conexión de red de Microsoft Windows **** y el firewall de conexión de red, este programa es muy importante para el correcto funcionamiento del sistema.
Administrador de tareas que no es de Windows: la mayoría de la gente piensa en el Administrador de tareas de Windows, pero este administrador de tareas de Windows es demasiado rudimentario, por lo que mucha gente recurre a software de terceros. Actualmente, los administradores de tareas de terceros más populares en Internet incluyen WinProc, Windows Process, Windows Process Manager, etc.
Capturemos virus y troyanos desde el administrador de tareas
Cualquier virus y troyano presente en el sistema no se puede separar completamente del proceso. Incluso si se utiliza tecnología oculta, aún se puede separar. Sus rastros se encuentran en el proceso, por lo que comprobar los procesos activos en el sistema se ha convertido en la forma más directa para detectar virus y troyanos. Pero con tantos procesos ejecutándose en el sistema al mismo tiempo, ¿cuáles son procesos normales del sistema y cuáles son procesos de caballo de Troya? ¿Qué papel desempeñan en el sistema los procesos del sistema que a menudo están disfrazados de virus y caballos de Troya? Vea este artículo.
Cuando confirmamos que hay un virus en el sistema, pero no encontramos un proceso diferente al visualizar los procesos del sistema a través del "Administrador de tareas", significa que el virus ha adoptado algunas medidas ocultas. hay tres métodos
1: svchost.exe, explorer.exe, iexplore.exe, winlogon.exe, etc. Es posible que haya encontrado dichos procesos en el sistema: svch0st.exe, explorer.exe, iexplorer .exe, winlogin.exe. ¡Compara y descubre la diferencia! ¿Cuál es la diferencia? Este es un truco común utilizado por los virus para confundir a los usuarios. Por lo general, cambiarán el nombre del proceso normal del sistema o a 0, l a i, i a j, y luego lo cambiarán a su propio nombre de proceso. Es solo una diferencia de una palabra, pero el significado es completamente diferente. O hay una letra más o una letra menos. Por ejemplo, explorer.exe e iexplore.exe son fáciles de confundir, y iexplorer.exe es aún más fácil. Si el usuario no tiene cuidado, normalmente lo ignorará y el virus se habrá escapado en el proceso.
2. Sustituir una cosa por otra
Si el usuario es más cuidadoso, entonces los trucos anteriores serán inútiles y el virus triunfará en el acto. Entonces, los virus se han vuelto inteligentes y saben cómo hacerlo. Si el nombre de un proceso es svchost.exe, que es exactamente el mismo que el nombre de un proceso normal del sistema, ¿es seguro este proceso? Entonces, ¿este proceso es inseguro? De hecho, no lo es, simplemente aprovecha el defecto de que el "Administrador de tareas" no puede ver el archivo ejecutable correspondiente al proceso. Sabemos que el archivo ejecutable correspondiente al proceso svchost.exe se encuentra en el directorio "C:\WINDOWS\system32" (para Windows 2000, es el directorio C:\WINNT\system32). Si el virus se copia en "C:\WINDOWS\" y se renombra a svchost.exe, lo que vemos en el "Administrador de tareas" después de ejecutarlo también es svchost.exe, que no se parece en nada a un proceso normal del sistema.
¿Puedes decir cuál es el proceso del virus?
3. Pedir prestado el cadáver para recuperar el alma
Además de los dos métodos anteriores, el virus también tiene un método definitivo: tomar prestado el cadáver para recuperar el alma. La llamada "resurrección" es una tecnología de inserción de procesos que inserta los archivos DLL requeridos por el virus en el proceso normal del sistema. No hay nada sospechoso en la superficie, pero el proceso del sistema ya ha sido controlado por el virus, a menos que sea un proceso profesional. Se utilizan herramientas de detección, de lo contrario será difícil encontrar virus ocultos en ellas.
Hay muchos procesos del sistema mencionados anteriormente ¿Cuáles son sus funciones y cómo funcionan? A continuación explicaremos estos procesos del sistema uno por uno. Creo que después de familiarizarse con estos procesos del sistema, podrá descifrar con éxito el virus "disfrazando lo real con lo falso" y "sustituyendo el pilar por la viga". "
Por lo general, los nombres de los procesos suplantados por virus son: svch0st.exe, schvost.exe, scvhost.exe. Con el creciente número de servicios del sistema de Windows, para ahorrar recursos del sistema, Microsoft ha iniciado una gran cantidad de servicios mediante el proceso svchost.exe de forma sangrienta. Los servicios del sistema se implementan en forma de una biblioteca de enlaces dinámicos (DLL). Apunte el programa ejecutable a scvhost y scvhost llama a la biblioteca de enlaces dinámicos del servicio correspondiente para iniciar el servicio. Podemos abrir "Panel de control" → "Herramientas administrativas" → "Servicios", hacer doble clic en el servicio "ClipBook" y buscar el servicio "ClipBook" correspondiente en su panel de propiedades Ejecutar el archivo "C:\WINDOWS. \system32\clipsrv.exe". Haga doble clic en el servicio "Alerta", encontrará que la ruta del archivo ejecutable es "C:\WINDOWS\system32\svchost.exe-kLocalService" y la ruta del servicio "Servidor" es "C:\WINDOWS \system32\svchost.exe-kLocalService". La ruta del servicio "servidor" es "C:\WINDOWS\system32\svchost.exe-kLocalService", y la ruta del servicio "servidor" es "C:\WINDOWS\system32\svchost.exe-knetvcs". es a través de dicha llamada que se pueden ahorrar muchos recursos del sistema, por lo que hay varios svchost.exe en el sistema, que en realidad son solo servicios del sistema.
En el sistema Windows2000, generalmente hay dos svchost.exe. uno es el proceso de servicio RPCSS (RemoteProcedureCall) y el otro es un svchost.exe utilizado por muchos servicios en Windows XP, generalmente hay más de cuatro procesos de servicio svchost.exe. 5. Tenga cuidado, puede ser un virus falsificado. El método de detección es muy simple. Utilice algunas herramientas de administración de procesos, como la función de administración de procesos de Windows Optimization Master, y verifique la ruta del archivo ejecutable svchost.exe. está en el directorio "C:\WINDOWS \system32", entonces no podrá encontrar la ruta de svchost.exe.
Si su sistema está en el directorio "C:\WINDOWS\system32" , entonces no podrá encontrar la ruta svchost .exe.
Los nombres de los procesos que a menudo se hacen pasar por virus son: iexplorer.exe, exporter.exe, explorer.exe es el "explorador". que usamos a menudo. El "Administrador de tareas" finalizará el proceso explorer.exe, luego la barra de tareas, el escritorio y los archivos abiertos desaparecerán. Haga clic en "Administrador de tareas" → "Archivo" → "Administrador de tareas" → "Archivo" → "Nueva tarea". y entramos en "explorer.exe", lo que desapareció volvió.
El proceso explorer.exe nos permite gestionar los recursos del ordenador.
El proceso explorer.exe nos permite gestionar los recursos del ordenador.
De forma predeterminada, el proceso explorer.exe se inicia con el sistema y la ruta del archivo ejecutable es el directorio "C:\Windows", de lo contrario es un virus.
iexplore.exe
Los nombres de procesos que a menudo se hacen pasar por virus son: iexplorer.exe, iexploer.exe, iexplorer.exe y explorer.exe. Los nombres de estos procesos son muy similares a explorer.exe del artículo anterior, por lo que es fácil confundirse. El proceso generado por Microsoft Internet Explorer es el navegador IE que utilizamos habitualmente. Debería ser más fácil identificarlo después de conocer su función. El nombre del proceso iexplore.exe comienza con "ie", que significa navegador IE.
El archivo ejecutable del proceso iexplore.exe se encuentra en el directorio C:\ProgramFiles\InternetExplorer y existe como virus en otros directorios a menos que haya movido la carpeta. Además, a veces encontraremos que el proceso iexplore.exe todavía existe en el sistema sin abrir el navegador IE. Esto se divide en dos situaciones: 1. El virus falsifica el nombre del proceso iexplore.exe. 2. El virus secretamente hace cosas malas a través de iexplore.exe en segundo plano. Por lo tanto, es mejor utilizar un software antivirus para comprobarlo y eliminarlo.
rundll32.exe
Los nombres de procesos que a menudo se hacen pasar por virus incluyen: rundl132.exe, rundl32.exe. La función de rundll32.exe en el sistema es ejecutar funciones internas en archivos DLL. La cantidad de procesos Rundll32.exe en el sistema representa la cantidad de procesos rundll32.exe existentes en el sistema, es decir, la cantidad de rundll32.exe. procesos existentes en el sistema. Cuántos procesos Rundll32.exe existen en el sistema significa cuántos archivos DLL ha iniciado Rundll32.exe. De hecho, a menudo usamos rundll32.exe, que puede controlar algunos archivos dll del sistema. Por ejemplo, escriba "rundll32.exeuser32.dll, LockWorkStation" en el "Símbolo del sistema".
Los nombres de procesos que a menudo se hacen pasar por virus incluyen: spoo1sv.exe, spolsv.exe. spoolsv.exe es el programa ejecutable correspondiente al servicio del sistema PrintSpooler, que se encarga de gestionar todas las colas de impresión locales y de red y controlar todas las tareas de impresión. PrintSpooler.exe es el programa ejecutable del servicio del sistema "PrintSpooler". Si desactiva este servicio, la computadora no podrá imprimir y el proceso spoolsv.exe desaparecerá de la computadora. Si no tiene un dispositivo de impresión, desactive este servicio para ahorrar recursos del sistema. Después de detener y cerrar el servicio, si el proceso spoolsv.exe todavía existe en el sistema, entonces debe ser un virus disfrazado.
Debido al espacio limitado, la introducción a los procesos comunes termina aquí. Cuando normalmente revisamos el proceso, si encontramos algo sospechoso, solo necesitamos hacer un juicio basado en los dos puntos siguientes:
1. Verifique cuidadosamente el nombre del archivo del proceso
<; p>2. Verifique su ruta.Mientras se logren estos dos puntos, el proceso general del virus definitivamente mostrará sus fallas.
Encuentre un buen administrador de procesos
El administrador de tareas integrado es demasiado débil y definitivamente no es adecuado para antivirus. En su lugar, puede utilizar una herramienta profesional de gestión de procesos, como Procexp, que puede distinguir los procesos del sistema de los procesos generales y utilizar diferentes colores para distinguirlos, de modo que los virus que pretenden ser procesos del sistema no tengan dónde esconderse.
Cuando ejecuta Procexp, los procesos se dividirán en dos grupos: los procesos bajo "SystemIdleProcess" son procesos del sistema y los procesos bajo "explorer.exe" son procesos generales. Los procesos del sistema que hemos introducido, como svchost.exe y winlogon.exe, están todos subordinados a "SystemIdleProcess". Si encuentra svchost.exe en "explorer.exe", no hace falta decir que debe ser un virus.