俞木發(fā)

1. 使用任務(wù)管理器找出此類程序

如果懷疑自己的電腦有異常，那么可以利用任務(wù)管理器來查看和判斷。啟動(dòng)任務(wù)管理器后切換到“進(jìn)程”選項(xiàng)卡，然后分別點(diǎn)擊“磁盤”和“網(wǎng)絡(luò)”執(zhí)行排序。這樣，當(dāng)前正在后臺(tái)訪問磁盤和網(wǎng)絡(luò)的進(jìn)程，會(huì)按照實(shí)際讀寫數(shù)據(jù)量和網(wǎng)絡(luò)流量的大小排序。然后我們再根據(jù)本機(jī)的實(shí)際情況來判斷，就可以很快地找出異常程序。比如筆者的電腦在前臺(tái)并沒有運(yùn)行大型程序，任務(wù)管理器中卻顯示磁盤占比為100%，其中“Mainfree.exe”進(jìn)程正在瘋狂地讀寫磁盤（圖1）。

那么這是一個(gè)什么程序呢？切換到“詳細(xì)信息”選項(xiàng)卡，在標(biāo)題欄右擊并點(diǎn)擊“選擇列”，在打開的窗口中勾選“命令行”，這樣就可以在窗口中看到進(jìn)程的詳細(xì)路徑。返回圖1所示的窗口并選中“Mainfree.exe”進(jìn)程，右擊并選擇“轉(zhuǎn)到詳細(xì)信息”，可以自動(dòng)定位到指定的進(jìn)程，再右擊該進(jìn)程并選擇“打開文件所在的位置”（圖2）。最后通過查看文件屬性、安裝路徑，就可以判斷為一個(gè)異常進(jìn)程。用安全軟件掃描并清除后，電腦運(yùn)行速度就恢復(fù)了正常。

2. 查看程序使用網(wǎng)絡(luò)的歷史

如前言所述，一些木馬進(jìn)程會(huì)通過網(wǎng)絡(luò)和服務(wù)器通信，但是很多時(shí)候只是定時(shí)聯(lián)系或者每天只聯(lián)系一次，而且在聯(lián)系完成后很多進(jìn)程還會(huì)自動(dòng)退出，這樣依靠任務(wù)管理器就無法查看。此時(shí)可以再借助“網(wǎng)絡(luò)和Internet”組件查看聯(lián)網(wǎng)的歷史記錄。

在任務(wù)欄的搜索框中輸入“網(wǎng)絡(luò)和Internet”，接著在打開該窗口后選中本機(jī)的網(wǎng)卡，如通過有線上網(wǎng)的用戶選擇“以太網(wǎng)”，點(diǎn)擊“數(shù)據(jù)使用量”（圖3）。在打開的窗口中就可以看到最近30天所有進(jìn)程的聯(lián)網(wǎng)記錄，將鼠標(biāo)懸停在程序上即可看到具體的路徑信息。這里我們可以根據(jù)程序路徑、名稱等加以甄別，比如筆者的電腦中名為“annid.exe”的進(jìn)程聯(lián)網(wǎng)就比較可疑，不僅程序名怪異，而且是安裝在用戶的臨時(shí)目錄中（圖4）。最終通過查看文件屬性和殺毒掃描，發(fā)現(xiàn)正是一個(gè)后門病毒。

3. 通過資源監(jiān)視器篩選活動(dòng)進(jìn)程

任務(wù)管理器可以顯示當(dāng)前所有活動(dòng)的進(jìn)程，但是無法篩選進(jìn)程。同時(shí)，對于網(wǎng)絡(luò)連接的進(jìn)程，也無法看到連接遠(yuǎn)程服務(wù)器的IP地址，這樣不方便快速地找到和甄別可疑進(jìn)程?？梢越柚百Y源監(jiān)視器”組件來彌補(bǔ)任務(wù)管理器的上述不足。

比如通過圖1已經(jīng)知道“mainfree.exe”進(jìn)程讀寫磁盤占比較高，啟動(dòng)資源監(jiān)視器后切換到“磁盤”選項(xiàng)卡，勾選“mainfree.exe”進(jìn)程，在下方展開“磁盤活動(dòng)”，可以看到當(dāng)前正在讀寫的文件信息，更便于甄別進(jìn)程的性質(zhì)。如該進(jìn)程讀寫的是F盤目錄下的文件，可以通過這個(gè)提示，打開具體文件查看屬性，判斷其是否為惡意文件（圖5）。

而要查看進(jìn)程的網(wǎng)絡(luò)連接信息，則可以切換到“網(wǎng)絡(luò)”選項(xiàng)卡，展開下方的“網(wǎng)絡(luò)活動(dòng)”，可以看到進(jìn)程連接的IP地址、連接端口等信息。通過IP地址可以對連接信息加以判斷，比如發(fā)現(xiàn)“mainfree.exe”進(jìn)程連接的都是國外的I P，而本機(jī)自身需要的軟件并沒有需要連接到國外IP的，因此該進(jìn)程就極為可疑（圖6）。

4. 借助第三方軟件實(shí)時(shí)查看

利用第三方軟件，可以在桌面上實(shí)時(shí)地查看后臺(tái)進(jìn)程讀寫磁盤和連接網(wǎng)絡(luò)的有關(guān)信息。比如Process Hacke（http： // processhacker. sourceforge.net/），啟動(dòng)后會(huì)自動(dòng)最小化到任務(wù)欄托盤中，點(diǎn)擊程序圖標(biāo)并選擇“I/O”，再點(diǎn)擊鎖定按鈕，還可以讓其始終在前臺(tái)顯示，這樣在桌面上就可以實(shí)時(shí)地看到當(dāng)前讀寫磁盤的進(jìn)程了（圖7）。

如果要查看后臺(tái)進(jìn)程網(wǎng)絡(luò)連接的信息，在圖7所示的界面中點(diǎn)擊“I /O”旁邊的下拉按鈕，切換到“Network”即可（圖8）。而要查看更詳細(xì)的連接信息（如連接的端口等），則需要切換到程序主窗口，定位到“Network”選項(xiàng)卡中查看。