系统安全教程：用进程管理工具保护系统

系统修复工具不是万灵丹，并非对所有病毒都有效。有的病毒的保护措施非常强，仅仅靠修复系统是解决不了问题的。这时，我们就需要用到进程管理工具，用它来有针对性地解决问题。本期手工杀毒扫尾工作还是由杀毒软件完成。

如果说电脑是你的私人领地，那么Windows任务管理器中的进程页面就是你领地里面的议事厅。在议事厅里面，聚集着各种程序的进程。每一个程序活动的时候都有相应的进程，病毒也不例外，所以当病毒侵入你的领地时，议事厅里就会冒出一些鬼鬼祟祟或者十分陌生的进程。

鬼鬼祟祟?陌生?所有的进程都长得差不多!这是很多朋友的心声。的确，对进程没有一定了解的朋友，是根本无法分辨进程好坏的。病毒进程可以大摇大摆地在你的议事厅里面霸占一席，逍遥自得。

通过进程自保

病毒在议事厅里面建窝可不是什么好事情，你的领地经常会出一些莫名其妙的怪事。比如：门神杀毒软件查出了病毒，但是始终杀不掉;用系统修复工具修复系统，可问题依旧等。

这就像你发现了搞破坏的小丑，可是你就是无法从人群中把他揪出来。

病毒的自保能力，主要是靠进程，有两种厉害的技能。一种技能是驱动级的Rootkit技术，所谓驱动级就是病毒编写的时候突破常规直接加载系统的底层函数。这就相当于病毒得到了领地指挥权印信，有了这个东西，门神杀毒软件就不能动它了，甚至病毒还可以利用领地指挥权印信命令杀毒软件休眠。

另外一种技能是将病毒进程隐身。在任务管理器中，病毒进程是肉眼看不见的。这样你就算有一些安全防范知识，也无法察觉议事厅中混入了病毒。这两种技能被很多高级病毒同时使用，是它们保命的绝招。

常见的病毒进程

系统服务进程svchost.exe经常被病毒假冒，例如假冒成svch0st.exe(图1)、schvost.exe、scvhost.exe;资源管理器进程explorer.exe经常被病毒假冒，例如假冒成iexplorer.exe、expiorer.exe、explore.exe;IE浏览器进程iexplore.exe经常被病毒假冒，例如假冒成iexplorer.exe、iexploer.exe、iexploreror.exe。

以上3个进程是最容易受病毒假冒的。此外，也有不加掩饰、赤裸裸的病毒进程，例如cmd.exe、conime.exe等，正常情况下这些进程根本不会出现在议事厅里面。当然，病毒还会创建全新名字的进程，让你无法分辨该进程到底是用来干什么的，不敢随意终结。

如果你无法辨别进程是否有问题，可以登录一些进程网站进行识别。例如登录http://www.pcpid.com，在“关键字”处输入进程名称，点击搜索即可得到结果(图2)。　

用《冰刃》终结病毒进程

看到这，也许你会说：“我一看到英文名的进程就头痛，病毒进程认识我，可我不认识它。”的确，很多朋友都不熟悉进程，平时都是依靠杀毒软件保障领地的安全。就这样被病毒征服吗?不，你还是有希望的，不用每个进程都熟悉，不用每个病毒进程都终结，只要解决了杀毒软件“无用”这个难题，剩下的就交给杀毒软件处理吧。

秘密武器就是《冰刃》，一款非常不错的安全辅助工具，利用这款工具我们可以让杀毒软件“活跃”起来。运行《冰刃》，点击“进程”，再调出任务管理器，对比可以发现隐藏的进程，例如《冰刃》发现了46个进程，而任务管理器中却只有45个(图3)，定位到多出来的进程删除即可。再运行杀毒软件，看能否成功启动。

如果杀毒软件曾提示了xxx.dll是病毒，但是清除不了。在《冰刃》里面定位到该DLL文件，点击“卸除”或者“强制卸除”，之后再用杀毒软件扫描硬盘，清除病毒残留物。