Windows任务管理器-简介

2023年12月7日发(作者：)

Windows

任务管理器

在W2K/XP中，同时按下Ctrl+Alt+Del键，可以打开Windows任务管理器，单击“进程”，可以看到很多正在运行的ＥＸＥ进程：

【System Idle Process】：这是关键进程，只有16kB,循环统计CPU的空闲度，这个值越大越好。该进程不能被结束，该进程似乎没低于过２５％，大多数情况下保持５０％以上。

【system】:system是windows页面内存管理进程，拥有0级优先。(当system后面出现.exe时是netcontroller木马病毒生成的文件，出现在c:windows目录下，建议将其删除。)

【explorer】：控制着标准的用户界面、进程、命令和桌面等。总是在后台运行，根据系统的字体、背景图片、活动桌面等情况的不同，通常会消耗5.8MB到36MB内存不等。（和Internet Explorer可不同）

【IEXPLORE】：是Microsoft对因特网的主要编程器.，这个微软视窗应用让你畅游网络有了地方。

是非常必要的过程,不应终止,除非怀疑造成问题。它的作用是加快我们再一次打开IE的速度，当关闭所有IE窗口时，它将依然在后台运行。当我们用它上网冲浪时，占有7.3MB甚至更多的内存，内存随着打开浏览器窗口的增加也增多。

【ctfmon】：这是安装了WinXP后，在桌面右下角显示的语言栏。如果不希望它出现，可通过下面的步骤取消：控制面板－区域和语言选项－语言－详细信息－文字服务和输入语言－（首选项）语言栏－语言栏设置－把在桌面上显示语言栏的勾取消。这样会为你节省4MB多的内存。

【wowexec】：用于支持16位操作系统的关键进程,不能终止。

【csrss】：这是Windows的核心部份之一，全称为Client

Server Process。这个只有4K的进程经常消耗3MB到6MB左右的内存，不能终止,建议不要修改此进程。

【dovldr32】：为了节省内存，可以将禁止，它占用大约2.3MB到2.6MB的内存。

【winlogon】：这个进程处理登录和注销任务，事实上，这个进程是必需的，它的大小和你登录的时间有关。

【services】：是微软windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的,该进程系统禁止结束。

【svchost】:是属于微软windows操作系统的系统程序，用于执行dll文件。这个程序对你系统的正常运行是非常重要的。开机出现“Generic Host Process for Win32 Services遇到问题需要关闭”一般都是说的这个进程找不到dll文件所致。

【msmsgs】：这是微软的Windows Messengr(即时通信软件)著名的MSN进程，在WinXP的家庭版和专业版里面绑定的，如果你还运行着Outlook和MSN Explorer等程序，该进程会在后台运行支持所有这些微软号称的很Cool的，NET功能等新技术。

【msn6】：这是微软在WinXP里面的MSN浏览器进程，当运行后才有这个进程。

【Point32】：这是安装了特殊的鼠标软件(Intellimouse等等)后启动的等程序，这不是系统必须的进程，通过用户许可协议安装。由于在WinXP里面内建了很多鼠标新功能，所以，就没有必要在系统后台运行，既浪费1.1MB到1.6MB的内存，还要在任务栏占个地方！

【spoolsv】:用于将windows打印机任务发送给本地打印机,关闭以后一会又自己开开。

【Promon】：这是Intel系列网卡配置和安装的程序，在任务栏显示图标控制程序，占据大约656KB到1.1MB的内存。

【smss】：只有45KB的大小却占据着300KB到2MB的内存空间，这是一个Windows的核心进程之一，是windowsNT内核的会话管理程序。 【taskmgr】：如果你看到了这个进程在运行，其实就是看这个进程的“任务管理器”本身。它大约占用了3.2MB的内存，当你优化系统时，不要忘了把它也算进去。

【Tastch】：在XP系统中安装了powerToys后会出现此进程，按Alt+Tab键显示切换图标，大约占用1.4MB到2MB的内存空间。

【lsass】：本地安全权限服务。是微软安全机制的系统进程，主要处理一些特殊的安全机制和登录策略。

【atievxx】：这是随ati显卡硬件产品驱动一起安装而来。它不是纯粹的系统程序，但如果终止它，可能会导致不可知的问题。

【alg】：这是微软windows操作系统自带的程序。它用于处理微软windows网络连接共享和网络连接防火墙,这个程序对你系统的正常运行是非常重要的。

非windows任务管理器：大多数人会想起Windows任务管理器，但是Windows的这个任务管理器实在是太简陋了，因此很多人转而使用第三方软件。目前，在网上的流行的第三方任务管理器比较多，比如WinProc、Windows Processes、Windows进程管理器等。

让我们从任务管理器中抓病毒和木马

任何病毒和木马存在于系统中，都无法彻底和进程脱离关系，即使采用了隐藏技术，也还是能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多，哪些是正常的系统进程，哪些是木马的进程，而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢？请看本文。

当我们确认系统中存在病毒，但是通过“任务管理器”查看系统中的进程时又找不出异样的进程，这说明病毒采用了一些隐藏措施，总结出来有三法

1.以假乱真

系统中的正常进程有：、、、等，可能你发现过系统中存在这样的进程：、、、。对比一下，发现区别了么？这是病毒经常使用的伎俩，目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却完全不同。又或者多一个字母或少一个字母，例如和本来就容易搞混，再出现个就更加混乱了。如果用户不仔细，一般就忽略了，病毒的进程就逃过了一劫。

2.偷梁换柱

如果用户比较心细，那么上面这招就没用了，病毒会被就地正法。于是乎，病毒也学聪明了，懂得了偷梁换柱这一招。如果一个进程的名字为，和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢？非也，其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道进程对应的可执行文件位于“C:WINDOWSsystem32”目录下（Windows2000则是C:WINNTsystem32目录），如果病毒将自身复制到“C:WINDOWS”中，并改名为，运行后，我们在“任务管理器”中看到的也是，和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗？但在Vista(或更高版本)中的windows任务管理器可以看到进程的路径,病毒的这招就没用了.

3.借尸还魂

除了上文中的两种方法外，病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术，将病毒运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了，除非我们借助专业的进程检测工具，否则要想发现隐藏在其中的病毒是很困难的。

上文中提到了很多系统进程，这些系统进程到底有何作用，其运行原理又是什么？下面我们将对这些系统进程进行逐一讲解，相信在熟知这些系统进程后，就能成功破解病毒的“以假乱真”和“偷梁换柱”了。

常被病毒冒充的进程名有：、、。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由进程来启动。而系统服务是以动态链接库(DLL)形式实现的，它们把可执行程序指向scvhost，由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务，双击其中“ClipBook”服务，在其属性面板中可以发现对应的可执行文件路径为“C:”。再双击“Alerter”服务，可以发现其可执行文件路径为“C:-kLocalService”，而“Server”服务的可执行文件路径为“C:-knetsvcs”。正是通过这种调用，可以省下不少系统资源，因此系统中出现多个，其实只是系统的服务而已。

在Windows2000系统中一般存在2个进程，一个是RPCSS(RemoteProcedureCall)服务进程，另外一个则是由很多服务共享的一个；而在WindowsXP中，则一般有4个以上的服务进程。如果进程的数量多于5个，就要小心了，很可能是病毒假冒的，检测方法也很简单，使用一些进程管理工具，例如Windows优化大师的进程管理功能，查看的可执行文件路径，如果在“C:WINDOWSsystem32”目录外，那么就可以判定是病毒了。

常被病毒冒充的进程名有：、、。就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将进程结束，那么包括任务栏、桌面、以及打开的文件都会统统消失，单击“任务管理器”→“文件”→“新建任务”，输入“”后，消失的东西又重新回来了。进程的作用就是让我们管理计算机中的资源。

进程默认是和系统一起启动的，其对应可执行文件的路径为windows所在目录，除此之外则为病毒。

常被病毒冒充的进程名有：、、进程和上文中的进程名很相像，因此比较容易搞混，其实是Microsoft Internet

Explorer所产生的进程，也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了，进程名的开头为“ie”，就是IE浏览器的意思。

进程对应的可执行程序位于%ProgramFiles%InternetExplorer目录中(64位系统则是在%ProgramFiles%InternetExplorer或是%ProgramFiles

(X86)%InternetExplorer中)，存在于其他目录则为病毒，除非你将该文件夹进行了转移。此外，有时我们会发现没有打开IE浏览器的情况下，系统中仍然存在进程，这要分两种情况：1.病毒假冒进程名。2.病毒偷偷在后台通过干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。

常被病毒冒充的进程名有：、。在系统中的作用是执行DLL文件中的内部函数，系统中存在多少个进程，就表示启动了多少个的DLL文件。其实我们是会经常用到的，他可以控制系统中的一些dll文件，举个例子，“命令提示符”中输入“,LockWorkStation”，回车后，系统就会快速切换到登录界面了。的路径为“C:Windowssystem32”(或X:Windowssystem32,"X"代表windows所在分区)，在别的目录则可以判定是病毒。

常被病毒冒充的进程名有：、。是系统服务“PrintSpooler”所对应的可执行程序，其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，计算机上的打印将不可用，同时进程也会从计算机上消失。如果你不存在打印机设备，那么就把这项服务关闭吧，可以节省系统资源。停止并关闭服务后，如果系统中还存在进程，这就一定是病毒伪装的了。 限于篇幅，关于常见进程的介绍就到这里，我们平时在检查进程的时候如果发现有可疑，只要根据两点来判断：

1.仔细检查进程的文件名；

2.检查其路径。

通过这两点，一般的病毒进程肯定会露出马脚。

找个管理进程的好帮手

系统内置的“任务管理器”功能太弱，肯定不适合查杀病毒。因此我们可以使用专业的进程管理工具，例如Procexp。Procexp可以区分系统进程和一般进程，并且以不同的颜色进行区分，让假冒系统进程的病毒进程无处可藏。

运行Procexp后，进程会被分为两大块，“SystemIdleProcess”下属的进程属于系统进程，

”下属的进程属于一般进程。我们介绍过的系统进程、等都隶属于“SystemIdleProcess”，如果你在“”中发现了，那么不用说，肯定是病毒冒充的。

当任务管理器被系统管理员禁用时，如何解禁？其实方法很简单，现提供方法如下：

点击“开始→运行”，键入“regedit”回车打开“注册表编辑器”，依次展开[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies]，检查其下一个名为“System”的项，在“任务管理器”被停用的情况下，“System”项下应该有一个名为“DisableTaskMgr”的字串符值，键值为1，将1改成0；或者干脆删除“System”项，就能解除“任务管理器”的锁定。

其实利用“组策略”或者注册表来限制用户运行“任务管理器”或者“注册表编辑器”都是不太严谨的做法，因为只要下载安装第三方的进程管理工具及注册表编辑器(比如Icesword)就能实现相同的目的了。

编辑本段查杀木马

Windows任务管理器是大家对进程进行管理的主要工具，在它的“进程”选项卡中能查看当前系统进程信息。在默认设置下，一般只能看到映像名称、用户名、CPU占用、内存使用等几项，而更多如I/O读写、虚拟内存大小等信息却被隐藏了起来。可别小看了这些被隐藏的信息，当系统出现莫名其妙的故障时，没准就能从它们中间找出突破口。

1.查杀会自动消失的双进程木马

前段时间朋友的电脑中了某木马，通过任务管理器查出该木马进程为“”，终止它后再刷新，它又会复活。进入安全模式把C:删除，重启后它又会重新加载，怎么也无法彻底清除它。从此现象来看，朋友中的应该是双进程木马。这种木马有监护进程，会定时进行扫描，一旦发现被监护的进程遭到查杀就会复活它。而且现在很多双进程木马互为监视，互相复活。因此查杀的关键是找到这“互相依靠”的两个木马文件。借助任务管理器的PID标识可以找到木马进程。

调出Windows任务管理器，首先在“查看→选择列”中勾选“PID（进程标识符）”，这样返回任务管理器窗口后可以看到每一个进程的PID标识。这样当我们终止一个进程，它再生后通过PID标识就可以找到再生它的父进程。启动命令提示符窗口，执行“taskkill /im /f”命令。刷新一下电脑后重新输入上述命令，可以看到这次终止的进程的PID为1536，它属于PID为676的某个进程。也就是说PID为1536的进程是由PID为676的进程创建的。返回任务管理器，通过查询进程PID得知它就是“”进程。

找到了元凶就好办了，现在重新启动系统进入安全模式，使用搜索功能找到木马文件C: ，然后将它们删除即可。前面无法删除，主要是由于没有找到（且没有删除其启动键值），导致重新进入系统后复活木马。

2.揪出狂写硬盘的P2P程序

单位一电脑一开机上网就发现硬盘灯一直闪个不停，硬盘狂旋转。显然是本机有什么程序正在进行数据的读取，但是反复杀毒也没发现病毒、木马等恶意程序。 打开该电脑并上网，按Ctrl+Alt+Del键启动了任务管理器，切换到“进程”选项卡，点击菜单命令“查看→选择列”，同时勾选上“I/O写入”和“I/O写入字节”两项。确定后返回任务管理器，发现一个陌生的进程，虽然它占用的CPU和内存并不是特别大，但是I/O的写入量却大得惊人，看来就是它在捣鬼了，赶紧右击它并选择“结束进程”终止，果然硬盘读写恢复正常了。

如果出现异常如没有关机项则双击一下任务管理窗口旁边空白区域就出来了.

如果故障依旧，请修复一下系统

1、开机按F8进入安全模式后在退出，选重启或关机在开机，就可以进入正常模式（修复注册表）。

2、如果故障依旧，请你用系统自带的系统还原，还原到你没有出现这次故障的时候修复（如果正常模式恢复失败，请开机按F8进入到安全模式中使用系统还原）。

3、如果故障依旧，使用系统盘修复，打开命令提示符输入SFC /SCANNOW 回车（SFC和/之间有一个空格），插入原装系统盘修复系统，系统会自动对比修复的。

4、如果故障依旧，在BIOS中设置光驱为第一启动设备插入系统安装盘按R键选择“修复安装”即可。

5、如果故障依旧，建议重装操作系统。

编辑本段禁用与恢复 方法一：利用组策略：

开始/运行/,

在用户配置-管理模板-系统-CTRL+ALT+DELE选项，在左边找到“删除任务管理器”

双击打开，设置为未配置，或者禁用。

方法二：打开记事本，把下面的内容保存成.reg文件，然后双击导入恢复。

REGEDIT4

[HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼System]

"DisableTaskmgr"=dword:00000000.

(最后一行留一空行)

方法三：修改注册表。打开注册表，展开到：

[HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼System]

找到"DisableTaskmgr"把dword值设置为00000000。

方法四：复制下面全部的文字到记事本，再保存成inf（也可以保存成txt，然后改后缀名为inf） ，然后右键安装

[version]

Signature=$CHICAGO$

[defaultinstall]

addreg= []

HKCU,SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem,DisableTaskMgr,0x00010001,0;

[VERSION]

SIGNATURE=$CHICAGO$

[DEFAULTINSTALL]

DELREG=DELETEME

[DELETEME]

HKLM,SOFTWAREMicrosoftWindows

NTCurrentVersionImage File Execution