1.进程的概念
进程是操作系统当前正在运行的程序,系统运行了一个程序,便会产生一个与之对应的进程。由于操作系统的重要任务之一是使用户能够充分、有效地利用系统资源,而目前的操作系统基本上都是多任务操作系统,即允许同时运行多个程序,但实际上计算机在同一个时刻只能做一件事情,所以计算机就必须按某种规则轮流的执行打开的进程,从而达到多个程序同时运行的效果。所以进程也是计算机资源分配的一个基本单位。
一个进程又可以包含若干线程,线程可以帮助应用程序同时做几件事,比如一个线程向磁盘写入文件,另一个则接收用户的按键操作并及时作出反应,互不干扰。线程也可以进一步提高系统资源利用率,如在用迅雷下载时,迅雷程序会产生一个进程,在任务管理器中可以看到“Thunder.exe”进程,这个进程又是由很多线程组成的,文件分成多少块来下载就相应有多少个线程(线程在任务管理器中看不到)。

2.进程的分类
通过任务管理器可以查看并管理系统目前所运行的进程,进程主要包括以下几种类型:

(1)系统进程
系统进程是Windows系统本身运行所需要的一些必备进程,这些进程一般是不能随意结束的。典型的系统进程列举如下:
143501748.jpg

(2)用户进程
用户进程是由用户开启和执行的程序,如每运行一次IE便打开了一个iexplorer.exe进程。
用户进程是可以随时结束的,关闭了程序之后用户进程也自动结束。

(3)非法进程
非法进程是用户不知道而自动运行的进程,它们一般就可能是病毒或***程序。
很多病毒或***为了隐藏自己,经常伪装成一些系统进程的样子,如svch0st.exe(用数字0代替字母o)、exp1orer.exe(用数字1代替字母l)等,所以为了能更好地判断非法进程,就必需熟悉和了解上面所列的基本系统进程。

3.典型进程介绍

(1)explorer.exe进程
explorer.exe是Windows系统的资源管理器进程,用于管理操作系统的图形界面,随系统一起启动。结束该进程之后,Windows桌面将全部消失,此时可以通过在任务管理器中“新建任务”,重新启动该进程以恢复桌面环境。
很多病毒进程故意用与该进程类似的名字进行混淆,这时可以通过查看进程启动路径的方法来判断其是否为病毒进程。正常的explorer.exe进程其可执行文件位于系统根目录下,一般为C:\Windows\explorer.exe,如果explorer.exe不是在该路径下那就肯定是病毒了。

(2)iexplore.exe进程
iexplore.exe是IE浏览器进程,也经常被病毒所利用。
该进程的正常路径是C:\ProgramFiles\InternetExplorer,很多冒充的病毒进程路径都是C:\Windows\system32。
另外如果发现把该进程关闭之后,其又反复自动出现,那也肯定是一个病毒进程了。

(3)svchost.exe进程
svchost.exe是windows系统不可缺少的重要进程,不能强制结束。在Windows系统中一般会有4个或4个以上的svchost.exe进程,负责提供很多系统服务。由于该进程的特殊性,所以经常被病毒所利用,它的正常路径在C:\Windows\system32下,可以据此区分是否为病毒进程。


Windows系统中默认的进程管理工具是任务管理器,但是任务管理器本身功能有限,而且很多病毒在感染电脑之后会禁止运行任务管理器,以防止自身被杀死,这时也可以通过命令行的方法来管理进程,如tasklist、taskkill命令等。另外也可以通过一些第三方软件对进程进行管理,如著名的安全工具冰刃IceSword等。