任务管理器的专家问题

任务管理器的用户界面提供了六个菜单项，如文件、选项、视图、窗口、关机和帮助。比如在“关机”菜单下，可以完成待机、休眠、关机、重启、注销、切换等操作，有应用、进程、性能、联网、用户等五个选项卡。在窗口的底部，有一个状态栏，从中可以查看当前系统的进程数和CPU数。容量等数据，默认情况下，系统会每两秒钟自动更新数据1次。当然，你也可以点击“查看→更新速度”菜单来重置。

1.应用程序

当前运行的所有应用都显示在这里，但它只会显示当前打开了窗口的应用，而最小化到系统托盘区的QQ、MSN Messenger等应用则不会显示。

您可以点击“结束任务”按钮直接关闭应用程序。如果需要同时结束多个任务，可以按住Ctrl键查看。点击“新建任务”按钮，直接打开相应的程序、文件夹、文档或互联网资源。如果不知道节目名称，可以点击“浏览”按钮进行搜索。事实上，这个“新任务”的功能看起来有点类似于开始菜单中的运行命令。

2.过程

它显示所有当前正在运行的进程，包括应用程序、后台服务等。那些隐藏在系统底层的病毒程序或特洛伊木马都可以在这里找到，前提是你知道它的名字。找到需要终止的进程名称，然后执行右键菜单中的“结束进程”命令。但是，这种方法会丢失未保存的数据，并且如果系统服务终止，系统的某些功能可能无法正常使用。

Windows的任务管理器只能显示系统中当前正在进行的进程，而Process Explorer可以以树形方式显示进程之间的关系，即某个进程启动了哪些其他进程，还可以显示某个进程调用的文件或文件夹。如果一个进程是Windows服务，可以查看该进程注册的所有服务，需要的朋友可以从下载。com/soft com/soft/17580 . html

3.表演

从任务管理器中，我们可以看到计算机性能的动态概念，例如CPU和各种内存的使用情况。

CPU使用率:显示处理器工作时间百分比的图表。这个计数器是处理器活动的主要指示器。通过查看此图表，您可以知道当前使用了多少处理时间。

CPU使用记录:显示处理器使用程序随时间变化的图表。图表中显示的采样情况取决于在视图菜单中选择的更新速度设置值。高表示每秒两次，正常表示每两秒1次，低表示每四秒1次，暂停表示不自动更新。

PF的用法:PF是页面文件page file的缩写。但是这个数字经常被误解，以为是系统当时使用的页面文件大小。正确的意思是在用内存的总和，包括物理内存和虚拟内存。那么，如何知道实际的页面文件大小呢？一般来说，第三方软件，如页面文件监视器，也可以通过windows控制台查看。我的页面文件是预设的。

页面文件使用记录:显示页面文件数量随时间变化的图表。图表中显示的采样情况取决于在视图菜单中选择的更新速度设置值。

Total:显示计算机上运行的句柄、线程和进程的总数。

执行内存:分配给程序和操作系统的内存。由于虚拟内存的存在，“峰值”可以超过最大物理内存，“总计”值与“页面文件使用记录”图表中显示的值相同。

手柄数量:这东西很专业。会编程的人都知道，我不懂，只知道指针叫指针。“线程数”指的是程序中可以独立运行的部分，“进程数”简单来说就是运行的程序数。

物理内存:计算机上安装的总物理内存，也称为RAM，“可用数”是指物理内存中可供程序使用的空闲量。但是，实际的备用容量比这个值稍大，因为在切换到虚拟内存之前，物理内存不会完全用完。也就是说，这个备用量指的是在使用虚拟内存(页面文件)之前剩余的物理内存。为系统缓存分配的物理内存量。主要是存储程序和数据。只要系统或程序需要，就会释放一部分内存，也就是说这个值是可变的。

总授权使用量:实际上是操作系统和运行程序占用内存的总和，包括物理内存和虚拟内存(页面文件)。等于上面的PF利用率。“极限”是指系统能够提供的最大内存量，包括物理内存(RAM)和页面文件内存。“峰值”是指系统在一段时间内达到的最高内存使用率。如果这个值接近上面的“极限”，说明要么你增加物理内存，要么你增加页面文件，否则系统会给你颜色看！

内核内存:操作系统内核和设备驱动程序使用的内存。“页数”是可以复制到页面文件中的内存。一旦系统需要这部分物理内存，就会映射到硬盘上，从而释放物理内存。“非分页”是物理内存中保留的内存，不会映射到硬盘，也不会复制到分页文件中。

4.建立工作关系网

这显示了连接到本地计算机的网络流量的指示。当使用多个网络连接时，我们可以在这里比较每个连接的流量。当然，这个选项只有在安装网卡后才会显示。

5.用户

此处显示当前登录并连接到此计算机的用户数量、ID(标识此计算机上会话的数字ID)、活动状态(运行和断开)和客户端名称。您可以单击“注销”按钮重新登录，或者通过“断开”按钮连接到这台计算机。如果你是局域网用户，你也可以给其他用户发消息。

[编辑本段]任务管理器的特殊任务

事实上，除了终止任务、结束进程和检查性能之外，任务管理器还可以完成许多更高级的特殊任务。下面，我们通过几个例子来介绍任务管理器的扩展应用:

示例1:同时最小化多个窗口

切换到“应用”选项卡，按住Ctrl键同时选中需要最小化的应用项，然后点击其中任意一项，从右键菜单中选择“最小化”命令。同时还可以完成层叠、水平平铺、垂直平铺等操作。

例2:降低BT软件的资源占用率

运行BT软件时，往往会占用大量系统资源。你会看到硬盘指示灯闪烁，并伴随着快速旋转的噪音。这时候无论是浏览网页还是运行其他应用，肯定会有一种系统停滞的感觉。

打开“任务管理器→进程”窗口，选择BT软件的进程名称，然后从右键菜单中选择“设置优先级”命令。在这里，您可以选择不同的级别，如实时、高、高于标准、低于标准和低。请根据实际情况进行设置。例如，将其设置为“低于标准”可以降低进程的优先级，以便Windows可以将更多资源分配给其他进程。

示例3:创建任务管理器的增强版本

有热心网友从Longhorn上剥离了任务管理器，提供下载，这样我们就可以搭建一个任务管理器的增强版了。解压下载的文件，你会得到三个文件，包括Taskkill.exe，Tasklist.exe和Taskmgr.exe。首先，覆盖\ Windows \ System32 \ Dllcahe \下的同名文件。覆盖前请备份源文件，然后继续覆盖\Windows\System32\下的同名文件。当弹出Windows文件保护对话框时，选择取消按钮。

替换后，任务管理器不仅改变了程序图标，还右击进程，发现右键菜单中增加了两个命令，分别是打开目录和创建转储文件，而视图→选择列中增加了命令行和图像路径两项。前者可以检查显示的进程是否被伪装，后者可以检查进程的文件路径。

示例4:打开处理器的超线程。

P4处理器的超线程技术实际上相当于将一个处理器分成两个虚拟处理器。简单来说，超线程的实现需要处理器、主板和操作系统的支持。如果您使用的是Windows XP/Server 2003，并且您确定您的主板和处理器支持超线程，您可以切换到“性能”选项卡。如果这里显示了两个CPU使用情况图表，这意味着您的处理器已经真正启用了超线程。

当然，我们也可以在开机信息中查看超线程支持。一般会显示两个处理器的名称，CPU1和CPU2，或者我们开机后进入“设备管理器”，也会显示两个处理器的信息。

示例5:禁用任务管理器

任务管理器可以完成如此强大的任务。如果使用公共计算机，不希望别人私自操作任务管理器，可以在开始→运行框中键入Gpedit.msc打开组策略窗口，找到“本地计算机策略→用户配置→管理模板→系统→Ctrl+Alt+Del选项”项，然后在右边窗口选择“删除任务管理器”项。

当然，通过本文提到的另外两种方法，任务管理器仍然可以正常操作。一劳永逸的解决办法就是为Taskmgr.exe文件设置用户授权，当然必须使用NTFS文件系统，呵呵。

您也可以修改注册表以禁用:HKEY _当前_用户\软件\ Microsoft \ Windows \当前版本\策略\系统。

新的Dword值:disabledtaskmgr = 1(禁用)disabledtaskmgr = 0(提升)

小知识

句柄:唯一标识资源的值，如文件中的注册表项，以便程序可以访问它。

线程:运行程序指令的进程的对象，它允许进程中的并发操作，并使进程能够同时在不同的处理器上运行其程序的不同部分。

进程:可执行程序(如资源管理器)或服务(如MSTask)

6.当任务管理器的界面出现异常时，比如性能和进程的切换栏缺失，无法最大化或最小化时，可以采取以下措施恢复没有管理器的界面。操作如下:双击边框空白处！！

Windows系统的任务管理器是人们经常使用的程序。通常，它主要用于管理计算机进程或检查计算机的实时工作状态。事实上，它有许多奇妙的用途。

招数一:还可以在网吧“跑”。

在网吧“混”的朋友都知道，网吧的电脑一般会屏蔽运行对话框，如果你在某些情况下需要使用运行对话框，那就只能束手无策了。其实这个时候可以暂时用任务管理器来代替运行对话框。

首先，按住“CTRL+ALT+DEL”组合键，尝试调出任务管理器。如果能叫起来，那就好办了。我们依次点击任务管理器菜单中的文件→新建任务，打开“新建任务”窗口(图1)。输入内容并试用。和运行对话框的效果一样！

招数二:快速刷新注册表。

很多软件安装后会提示我们需要重启才能让软件正常工作。其实这些软件大多时候只是“小题大做”，因为重启只是为了更新注册表。我们可以使用任务管理器让软件更快生效。

方法是:用鼠标选中“进程”选项卡中的“explorer.exe”进程，然后点击右下角的“结束进程”按钮结束。此时，桌面显示消失。不要慌，我们在“新建任务”窗口输入“explorer.exe”。运行可以恢复桌面显示，同时会更新电脑的注册表，现在可以正常使用软件了。

招数三:优化游戏操作

很多朋友和笔者一样，还在用1GB以下的内存，所以我们玩3D游戏的时候，会感觉有些卡在跑。这个时候，除了关闭除了游戏以外的所有程序，似乎没有其他节省内存的办法了。其实我们可以在运行游戏之前，在任务管理器中结束“explorer.exe”进程，因为它在很多情况下是内存消耗大户。结束它可以增加我们游戏的可用内存和游戏效果。

然而此时已经没有桌面显示，游戏的启动方式也发生了变化。我们需要打开文件→新任务，然后点击浏览进入游戏目录加载主程序，点击确定运行游戏。

在W2K/XP中，同时按Ctrl+Alt+Del打开Windows任务管理器，点击“进程”可以看到很多正在运行的EXE进程:

系统空闲进程:这是关键进程，只有16kB，循环统计CPU的空闲程度。这个值越大越好。过程无法结束。好像进程从来没有低于过25%，大部分情况下都保持在50%以上。

System:system是一个windows页面内存管理进程，优先级为0。(什么时候。exe出现在系统背后，它是netcontroller特洛伊病毒生成的文件，出现在c:\\windows目录下。建议删除。)

资源管理器:explorer.exe控制标准用户界面，进程，命令和桌面。Explorer.exe总是在后台运行，根据系统的字体、背景图片和活动桌面，它通常会消耗5.8MB到36MB的内存。(explorer.exe和Internet Explorer可能有所不同)

iexplore:iexplore.exe是微软互联网的主要程序员。这个Microsoft Windows应用程序为您提供了一个浏览互联网的地方。Iexplore.exe是一个非常必要的过程，除非怀疑它会导致问题，否则不应终止。它的作用是再次加快IE的打开速度。当所有IE窗口关闭后，它仍然会在后台运行。我们用它上网的时候，占用7.3MB甚至更多的内存，内存随着打开浏览器窗口的增加而增加。

Ctfmon:这是WinXP安装后，桌面右下角显示的语言栏。如果不想让它出现，可以通过以下步骤取消:控制面板-区域和语言选项-语言-详细信息-文字服务和输入语言-(首选项)语言栏-语言栏设置-取消选中桌面显示的语言栏。这将为您节省4MB以上的内存。

Wowexec:用于支持16位操作系统的关键进程，不能终止。

Csrss:这是Windows的核心部分之一，叫做客户端服务器进程。这个4K进程经常消耗大约3MB到6MB的内存，并且不能被终止。建议不要修改此流程。

Dovldr32:为了节省内存，可以禁用，大概占用2.3MB到2.6MB内存。

Winlogon:该进程处理登录和注销任务。其实这个过程是必须的，它的大小和你登录的时间有关。

服务:services.exe是微软视窗操作系统的一部分。用于管理服务的启动和停止。该进程还处理计算机启动和关闭时运行的服务。这个程序对你的系统正常运行非常重要，进程系统禁止结束。

Svchost:Svchost.exe是属于微软windows操作系统的系统程序，用来执行dll文件。这个程序对于您系统的正常运行非常重要。“Win32服务的通用主机进程遇到问题，需要关闭”一般是说这个进程找不到dll文件。

Msmsgs:这是微软Windows Messengr(即时通讯软件)著名的MSN进程，绑定在WinXP家庭版和专业版中。如果你还在运行Outlook和MSN Explorer之类的程序，这个过程将在后台运行，以支持所有这些微软声称非常酷的新技术和NET功能。

Msn6:这是微软在WinXP中的Msn浏览器进程，直到msmsgs.exe运行时才发生。

Point32:这是一个安装特殊鼠标软件(Intellimouse等)后启动的程序。).这不是系统的必经过程，是通过用户许可协议安装的。因为WinXP内置了很多新的鼠标功能，不需要在系统后台运行，浪费了1.1.6 MB的内存，在任务栏也占了一席之地！

Spoolsv:用于将windows打印机任务发送到本地打印机，关闭然后再打开。

Promon:这是英特尔系列网卡的配置和安装程序。图标控制程序显示在任务栏中，大约占用656KB到1.1MB内存。

Smss:它的大小只有45KB，但占用300KB到2MB的内存空间。这是Windows的核心进程之一，也是windowsNT内核的会话管理程序。

Taskmgr:如果你看到这个进程正在运行，你实际上是在看这个进程本身的“任务管理器”。占用内存3.2MB左右，优化系统的时候别忘了包括。

Tastch:在XP系统中安装powerToys后会出现这个过程。按Alt+Tab显示切换图标，大约占用1.4MB到2MB的内存空间。

Lsass:本地安全权限服务。是微软安全机制的系统进程，主要处理一些特殊的安全机制和登录策略。

Atievxx:这个是和ati显卡的硬件产品驱动一起安装的。它不是一个纯粹的系统程序，但如果终止它，可能会导致未知的问题。

Alg:这是微软windows操作系统自带的程序。它用于处理Microsoft windows网络连接共享和网络连接防火墙。这个程序对于您系统的正常运行非常重要。

非windows任务管理器:大多数人会想到Windows任务管理器，但是Windows的这个任务管理器太粗糙了，很多人求助于第三方软件。目前互联网上有很多流行的第三方任务管理器，比如WinProc、Windows Processes、Windows Process Manager等。

让我们从任务管理器中捕捉病毒和木马。

任何病毒和木马都存在于系统中，不可能完全脱离进程。即使采用了隐藏技术，我们仍然可以从过程中找到线索。因此，检查系统中的活动进程就成了我们检测病毒木马最直接的方法。但是系统中同时运行着这么多进程，哪些是正常的系统进程，哪些是特洛伊进程，那些经常被病毒木马冒充的系统进程在系统中扮演着什么角色呢？请阅读这篇文章。

当我们确认系统中有病毒，但是通过任务管理器查看系统中的进程，却找不到任何异常的进程，说明病毒采取了一些隐藏的措施，总结了三种方法。

1.以假乱真

系统中的正常流程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等。也许你已经在系统中发现了这样的过程:svch0st.exe，explore.exe，iexplorer.exe，winlogin.exe。通过对比，你发现区别了吗？这是病毒经常用来迷惑用户眼睛的伎俩。通常他们会把系统中正常进程名的O改成0，L改成I，I改成J，然后变成自己的进程名，只差一个字，但意义完全不同。或者多一个字母或者少一个字母，比如explorer.exe和iexplore.exe很容易混淆，如果再出现一个iexplorer.exe就更混乱了。如果用户不小心，一般会忽略掉，病毒的过程就逃脱了。

偷梁换柱

如果用户很谨慎，那么上面的招数就没用了，病毒会被当场执行。结果病毒也学会了聪明，学会了偷柱的招数。如果一个进程的名字是svchost.exe，它就和一个正常的系统进程的名字完全一样。那么这个过程安全吗？不是，其实只是利用了任务管理器无法查看进程对应的可执行文件的缺陷。我们知道svchost.exe进程对应的可执行文件位于目录“C:\ WINDOWS \ system32”(WINDOWS 2000是C:\WINNT\system32的目录)。如果病毒将自己复制到“C:\WINDOWS”中，并将其重命名为svchost.exe，运行后，我们在任务管理器中看到的也是svchost.exe和正常。你能说出哪一个是病毒的过程吗？

3.再生

除了以上两种方法，病毒还有一个终极解决方案——借尸还魂。所谓借尸还魂，就是病毒利用进程插入技术，将病毒运行所需的dll文件插入到正常的系统进程中。表面上看，并没有什么可疑的情况。本质上，系统进程已经被病毒控制了。除非使用专业的进程检测工具，否则很难发现隐藏在其中的病毒。

上面提到的系统流程有很多。这些系统进程的作用是什么，它们的工作原理是什么？接下来，我们将逐一解释这些系统流程。相信在我们熟悉了这些系统流程之后，就能成功破解病毒的“造假造假”和“偷柱”了。

病毒经常模仿的进程名有:svch0st.exe、schvost.exe和scvhost.exe。随着Windows系统服务的不断增加，为了节省系统资源，微软已经将许多服务共享并交给svchost.exe进程来启动。系统服务以动态链接库(dll)的形式实现。他们将可执行程序指向scvhost，cvhost调用相应服务的DLL来启动服务。我们可以打开控制面板→管理工具→服务，双击剪贴簿服务。在其属性面板中，我们可以发现对应的可执行文件路径是“C: \ Windows \ System32 \ ClipSRV。Exe”。双击“Alerter”服务，可以发现其可执行文件路径为“C:\ Windows \ System32 \ svchost . exe-klocalservice”，而“Server”服务的可执行文件路径为“C:\ Windows \ System32 \ svchost . exe-knet SVCs”。正是通过这个调用，可以节省大量的系统资源，所以系统中多个svchost.exe的出现，其实只是系统的一个服务。

Windows2000系统中一般有两个svchost.exe进程，一个是RPCSS(remoteprocurecallrecall)服务进程，另一个是多个服务共享的svchost.exe。在WindowsXP中，通常有四个以上的svchost.exe服务进程。如果svchost.exe进程的数量超过五个，就要小心了。很可能是假病毒，检测方法简单。使用一些进程管理工具，如Windows Optimizer的进程管理功能，检查svchost.exe中的可执行文件路径。如果它在“C:\WINDOWS\system32”目录之外，您可以确定它是病毒。

病毒经常模仿的进程名有:iexplorer.exe、expiorer.exe和explore.exe。Explorer.exe是我们经常使用的“资源经理”。如果您在任务管理器中结束explorer.exe进程，任务栏、桌面和打开的文件都将消失。点击任务管理器→文件→新任务，进入explorer.exe，消失的东西又回来了。explorer.exe进程的功能是让我们管理计算机中的资源。

explorer.exe进程默认随系统启动，其对应的可执行文件的路径为“C:\Windows”目录，其他文件为病毒。

iexplore.exe

经常被病毒冒充的进程名称有:iexplorer.exe和iexploer.exeiexplorer.exe进程与上面提到的explorer.exe进程名称非常相似，所以很容易混淆。实际上，iexplore.exe是由MicrosoftInternetExplorer，也就是我们通常使用的IE浏览器生成的一个进程。应该更容易识别功能。iexplore.exe进程的名字以“ie”开头，意思是IE浏览器。

iexplore.exe进程对应的可执行程序位于目录C:\ program files \ Internet Explorer下，如果存在于其他目录下就是病毒，除非你转移文件夹。另外，有时候我们会发现，在不打开IE浏览器的情况下，iexplore.exe进程仍然存在于系统中，这可以分为两种情况:1。该病毒冒充iexplore.exe进程名。2.病毒通过iexplore.exe在后台偷偷做坏事。所以，在这种情况下，不如用杀毒软件快速查杀。

rundll32.exe

病毒经常模仿的进程名有:rundl132.exe，rundl32.exe。Rundll32.exe在系统中的作用是执行dll文件中的内部函数。系统中有多少Rundll32.exe进程就意味着有多少DLL文件是由Rundll32.exe启动的。事实上，我们经常使用rundll32.exe。他可以控制系统中的一些dll文件。比如在“命令提示符”中输入“rundll32.exeuser32.dll，锁定工作站”，进入后系统会快速切换到登录界面。rundll32.exe的路径是“C:\Windows\system32”，而在其他目录下，可以判断为病毒。

经常被病毒冒充的进程名有:spoo1sv.exe和spolsv.exe。Spoolsv.exe是系统服务“PrintSpooler”对应的可执行程序，其功能是管理所有本地和网络打印队列，控制所有打印工作。如果此服务被停止，计算机上的打印将不可用，spoolsv.exe进程将从计算机上消失。如果你没有打印机设备，那么就关闭这个服务，这样可以节省系统资源。在停止和关闭服务后，如果spoolsv.exe进程仍然存在于系统中，它一定是一个病毒伪装。

限于篇幅，常用流程介绍到此。如果平时检查过程中发现什么可疑的地方，只能根据两点来判断:

1.仔细检查进程的文件名；

2.检查它的路径。

通过这两点，一般的病毒流程肯定会露出马脚。

找一个好帮手来管理流程

系统内置的“任务管理器”功能太弱，肯定不适合病毒检测。所以我们可以使用专业的流程管理工具，比如Procexp。Procexp可以区分系统进程和一般进程，用不同的颜色区分，让冒充系统进程的病毒进程无处藏身。

运行Procexp后，进程会被分成两个块，“SystemIdleProcess”下的进程属于系统进程。

Explorer.exe“从属过程属于一般过程。我们介绍的系统进程，如svchost.exe和winlogon.exe，都属于“系统进程”。如果你在“explorer.exe”中找到svchost.exe，不言而喻，那一定是病毒冒充。