計算機及網(wǎng)絡(luò)普及至今，我相信很少有用戶沒有過病毒入侵的體驗。安裝防火墻是一種有效地防護方式，但是有些木馬病毒通過利用非法進程的手段來阻止殺毒軟件起到作用。進程的重要性體現(xiàn)在可以通過觀察它，來判斷系統(tǒng)中到底運行了哪些程序，以及判斷系統(tǒng)中是否入駐了非法程序。

瞭望進程

如何知道系統(tǒng)中目前有哪些進程?在Windows98/Me/2000/XP/2003中，按下“Ctrl+Alt+Delete”組合鍵就可以直接查看進程，或打開“Windows 任務(wù)管理器”的“進程”選項來查看進程。通常來說，系統(tǒng)常見的進程有winlogon.exe，services.exe，explorer.exe，svchost.exe等。要識別非法進程，首先就要熟悉最常見的系統(tǒng)進程，這樣當發(fā)現(xiàn)其它奇怪的進程名(如HELLO，GETPASSWORD，WINDOWSSERVICE等等)時就方便判斷了。

常規(guī)殺滅非法進程

1.有的進程在進程選項中無法刪除，這時可以打開注冊表編輯器(在“開始→運行”中鍵入regedit)，找到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下面的鍵，將可疑的選項刪除。

2.另外，還可以通過系統(tǒng)的“管理工具”里面的“服務(wù)”查看目前的全部進程。這里重點要看服務(wù)中啟動選項為“自動”的那部分進程，檢查它們的名字、路徑以及登錄賬戶、服務(wù)屬性的“恢復“里面有沒有重啟計算機的選項(有些機器不斷的重新啟動的秘密就在這里)。一旦發(fā)現(xiàn)可疑的名字需要馬上禁止此進程的運行。

而要徹底刪除這些程序進程可以用下面的辦法：

打開注冊表編輯器,展開分支“HKEY_LOCAL_MACHINE\SYSTEM\Current\Control SetServices”,在右側(cè)窗格中顯示的就是本機安裝的服務(wù)項，如果要刪除某項服務(wù)，只要刪除注冊表中相關(guān)鍵值即可。

3.除了上面兩種方法，我們還可以先查看這個進程文件所在的路徑和名稱。重啟系統(tǒng)，按F8鍵進入安全模式，然后在安全模式下刪除這個程序。

這里，筆者編寫了容易被大家認出來的非法進程服務(wù)(系統(tǒng)進程)舉例說明：HELLO-WORLD SERVICE 1。我們可以輕松地在進程列表和“服務(wù)”中找到它。根據(jù)上面的方法，我們可以把這個進程殺掉或禁用。

不少病毒和木馬是以用戶進程的形式出現(xiàn)的，所以大部分人認為“病毒是不可能獲得‘SYSTEM’權(quán)限的”。其實，這是個錯誤的想法，很多病毒或木馬也能獲得SYSTEM權(quán)限，并偽裝成系統(tǒng)進程出現(xiàn)在你面前。所以這類病毒就相當容易迷惑人，遇到這種情況，只有不斷提高并關(guān)注系統(tǒng)安全方面的知識，才能準確判斷該進程是否安全。
 

【編輯推薦】

1. 黑客不愛軟件漏洞　更喜歡利用錯誤配置
2. “90后”黑客攻擊南京房管局網(wǎng)站
3. Black Hat和Defcon黑客大會的五大看點
4. 路由器漏洞:黑客展示如何攻陷百萬臺
5. 揭秘黑客手中DDoS攻擊利器——黑色能量2代