Tiara
進階會員
青丘美人!!!!!
積分 2739
發文 274
註冊 2006-6-6
來自 青丘島
狀態 離線
|
#1 〔教學〕真真假假系統行程 從行程搜尋木馬的蛛絲馬跡
真真假假系統行程 從行程搜尋木馬的蛛絲馬跡001
對於行程(處理程序) 這個概念,許多電腦用戶都沒有給予太多關注。
在很多人印象裡,只知道結束行程可以殺死程序,至於哪些行程對應哪些程序,究竟什麼樣的行程該殺,什麼樣的行程不能殺這些問題很少考慮。這裡通過幾個實例為大家揭開行程的神秘面紗。
實例一:和行程的「表演者」交個朋友
很多時候,我們並沒有注意到系統中到底有多少行程。如果想瞭解行程的秘密,首先就必須和一些一般系統行程交個朋友,一旦掌握了它們,就能像偵探一樣迅速從行程名單中發現可疑的傢伙。
在Windows 2000/XP中,Ctrl+Shift+Esc組合鍵能快速彈出工作管理器,而Windows 9X為Ctrl+Alt+Del組合鍵。
1.「主角」行程
首先來熟悉一下系統中的基本行程,它們是系統執行的基本條件,一般情況下不能關閉它們,否則會導致系統崩潰。
Windows 2000/XP:smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe(可以同時存在多個)、spoolsv.exe、explorer.exe、System Idle Process;
Windows 9x:msgsrv32.exe、mprexe.exe、mmtask.tsk、kenrel32.dll。
你知道嗎
行程與程序
簡單地說,每啟動一個程序,就啟動了一個行程。在Windows 3.x中,行程是最小執行服務機構。在Windows 9X/2000/XP中,每個行程還可以啟動幾個執行緒,比如每下載一個文件可以單獨開一個執行緒。在Windows 9X/2000/XP中,執行緒是最小服務機構。
程序是永存的,行程是暫時的。舉一個例子說:如果程序是劇本,那麼表演程序就是行程;如果程序是菜譜,那麼烹調程序就是行程。
人鬼情未了——Svchost.exe
它位於系統目錄的System32資料夾,是從動態連接庫(DLL)執行服務的一般性宿主行程。在工作管理器中,可能會看到多個Svchost.exe在執行,不要大驚小怪,這可能是多個DLL文件在使用它。
不過,正因為如此,它也成為了病毒利用的對象,以前的「藍色程式碼」病毒就是一例。另外,如果感染了衝擊波病毒,系統也會提示「Svchost.exe出現錯誤」。
如果要檢視哪些服務正在使用Svchost.exe,對於Windows 2000可從其安裝光碟的SupportToolsSupport.cab壓縮包中,將Tlist.exe解壓縮至任意目錄,接著在「命令提示字元」中進入Tlist.exe所在目錄,輸入「tlist -s」並Enter鍵(「tlist pid」指令可看到詳細資料)。
而在Windows XP則直接輸入「Tasklist /SVC」檢視行程訊息(「Tasklist /fi "PID eq processID"」則可看到詳細資料)。
|
|
2006-8-26 01:52 PM |
|
Tiara
進階會員
青丘美人!!!!!
積分 2739
發文 274
註冊 2006-6-6
來自 青丘島
狀態 離線
|
#2 〔教學〕真真假假系統行程 從行程搜尋木馬的蛛絲馬跡002
真真假假系統行程 從行程搜尋木馬的蛛絲馬跡002
2.「配角」行程
這些系統行程雖然不是系統執行必須的,但也經常在行程列表中拋頭露面。如internat.exe、systray.exe、rundll32.exe、loadwc.exe、ddhelp.exe、mstask.exe、ctfmon.exe、taskmagr.exe、msnmsgr.exe、wmiexe.exe,它們都是正常的系統行程。
建議在安裝完Windows後,點擊「開始→程序→附件→系統工具→系統資訊」,在開啟的「系統資訊」視窗中再點擊「軟體環境→正在執行工作」(在此行程列表中,可看到更詳細的內容,其中程序路徑是非常重要的訊息),接著點擊「操作→另存成文本文件」,以後系統出現異常時則對照進行分析。另外,「最佳化大師」也提供了儲存行程抓圖 的功能●。
實例二:搜尋木馬的蛛絲馬跡
許多木馬和一些防護工具採用了雙行程保護手段,例如「Falling Star」木馬就採用雙行程模式,下面來看看如何發現它們。
第一步:開啟工作管理器。根據和一般行程比較,很明顯會發現兩個「熟悉的陌生人」(和系統基本行程名稱相似,但不相同):「internet.exe」和「systemtray.exe」。
請和上一實例中的」配角「行程比較。
第二步:開啟「系統資訊」的「軟體環境→正在執行工作」,檢視路徑訊息,兩者均指向WindowsSystem32目錄,而且文件大小、日期均相同,但從文件日期來看並不屬於微軟的系統檔案。
進入檔案總管檢視其版本內容,雖然公司標明為Microsoft,但與系統檔案中的微軟公司名稱書寫並不相同,基本可斷定是非法行程,並且為雙行程模式。
第三步:在嘗試結束行程時,第一次選項「systemtray.exe」來結束行程樹,結果行程馬上就再生了,工作管理器中又顯示出這兩個行程!於是再次選項「internet.exe」,然後結束行程樹●。行程沒有再生,從而將木馬行程從系統中清除。
實例三:真真假假系統行程
許多病毒和木馬為避免從行程名稱中發現它們的蹤影,往往會採用「障眼法」,使用和系統檔案或系統行程名稱類似的行程名稱。
1.檔案名偽裝
(1)修改一般程序或行程個別字元
例如,上面介紹的「Falling Star」木馬的行程名稱「internet.exe」就與輸入法行程「internat.exe」十分相似。
「WAY無賴小子」的服務端行程名稱為「msgsvc.exe」,與系統基本行程「msgsrv32.exe」類似,還有Explorer.exe和Exp1orer.exe的區別,不仔細的話你能看出來嗎?(數位「1」取代了字母「l」)
(2)修改副檔名
著名的冰河木馬的服務端行程為Kernel32.exe,乍一看很熟悉,好像是哪個系統行程,其實系統根本不存在這樣一個文件,Windows 9x的基本行程中卻有一個叫做「Kernel32.dll」的。諸如此類的還有「Shell32.exe」的木馬行程是從「Shell32.dll」這個大家都很熟悉的文件「演變」而來的,實際在系統中都是不存在的。
2.路徑偽裝
Windows目錄和System目錄是系統核心文件所在地,一般是「閒人免進」。因此,出入它們的文件一般都被人們認為是系統檔案,而病毒和木馬就藉機將源文件放在這兩個目錄中。
對於這類情況,一般只需要通過系統資訊找到其源文件路徑,開啟文件的內容,從日期(這個非常重要,可以看是否與系統檔案日期一樣)、版本、公司名稱訊息中即可看出破綻。沒有哪個病毒、木馬文件能設計得與系統檔案完全一致。
|
|
|
2006-8-26 01:54 PM |
|
Tiara
進階會員
青丘美人!!!!!
積分 2739
發文 274
註冊 2006-6-6
來自 青丘島
狀態 離線
|
#3 〔教學〕真真假假系統行程 從行程搜尋木馬的蛛絲馬跡003
真真假假系統行程 從行程搜尋木馬的蛛絲馬跡003
實例四:最佳化系統從行程開始
除系統執行必須的基本行程外,每個程序執行後都會在系統中產生行程,每個行程都會佔用一定的CPU資源和記憶體資源。過多的行程和一些設計不良的行程就會導致系統變慢、效能下降,這時可對它們進行一下最佳化。
1.精簡行程
系統中的一些行程並不是必須的,結束它們並不會對系統造成什麼損害。
比如:internat.exe(顯示輸入法圖示)、systray.exe(顯示系統托盤小喇叭圖示)、ctfmon.exe(微軟Office輸入法)、mstask.exe(計劃工作)、sysexplr.exe(超級解霸服務器)、winampa.exe(Winamp代理)、wzqkpick.exe(WinZip助手)等。
有一款叫做「行程殺手」的免費小工具,具備自動精簡行程功能,可自動中止系統基本行程以外的所有行程。在懷疑電腦執行了某些黑客行程或病毒行程但又不能確定是哪一個時,該軟體就可以有效清除那些非法行程。不過它只適合Windows 9x/Me。下載位址http://js-http.skycn.net:8080/down/prockiller_23.rar。
2.殺死不良行程
有時你會發現系統執行速度特別慢,這時可開啟工作管理器,按下「行程」標籤,點擊「CPU」列標籤讓行程按CPU資源佔用排序,可以很明顯地看到資源佔用最高的程序。
同樣方法,可以點擊「記憶體」列標籤,檢視那些記憶體佔用大戶,及時結束行程。
這裡有一種情況比較特殊:在檢視CPU佔用率時,一個叫做「System Idle Process」的行程會一直顯示在90%左右。
不必擔心,實際上它並沒有佔用這麼多系統資源,按下「效能」標籤可看到其實際的CPU資源佔用情況。
★對於Windows 9x,使用工作管理器是無法像Windows 2000/XP那樣看到所有行程以及CPU、記憶體佔用情況,推薦使用Process Explorer(下載位址http://www.sysinternals.com/ntw2k/f...e/procexp.shtml)。
★如果某個16位程序影響了系統執行,而且死活也關不掉,可進入工作管理器的行程選擇項,找到NTVDM.exe行程,將其關掉即可殺掉所有16位應用程式,而不用重啟。
3.最佳化軟體或遊戲效能
你還可以通過改變軟體和遊戲行程優先等級來提高其效能,這樣能使它們執行得更快,當然負作用就是可能影響到其他正在執行的行程。
比如,為避免燒錄快取溢位問題造成燒錄失敗,可進入工作管理器的行程選擇項,找到並右擊燒錄軟體的行程項,選項「設定優先等級」,然後在彈出的子功能表中選項「高」。如果你不想每次都這樣設定,可使用下面的方法。
第一步:開啟軟體或遊戲所在目錄,比如:D:/game,在這裡新增一個文本文件,在其中輸入以下語句:
echo off
start /priority game.exe
說明:將priority取代為所需的CPU優先等級,建議使用high(高)、abovenormal(高於標準),因為它們的效果最好。將game.exe取代為軟體或遊戲的可執行檔案名稱,比如:stvoy.exe。
第二步:做完以上修改後將其儲存為game.bat,現在就能通過這個文件來啟動遊戲或軟體,而它將會使遊戲或軟體具有更高的CPU優先等級。不過要注意的是,該檔案必須要儲存在遊戲或軟體所在目錄.
rnathchk.exe
realsched.exe 這兩個都是多媒體播放軟體RealOne Player的在背後執行的程序,主要可能是檢測一些昇級、版本方面的訊息。可以結束這兩個行程。
realplay.exe 多媒體播放軟體RealOne Player
HprSnap5.exe 我的截圖軟體,上面這張圖就是用它來截取的
Winamp.exe 我的MP3播放軟體winamp,你也喜歡用它吧
svchost.exe 包含很多系統服務,系統的基本行程
Flashget.exe 我的下載軟體-網際快車
MsPMSPSv.exe WMDM PMSP Service 在我電腦裡位置是:D:WINDOWSsystem32
taskmgr.exe 這個就是系統的工作管理器,按下「Ctrl+Alt+Del」實際上就是執行這個程序
mixer.exe 我的8738音效卡調音量、聲道等的程序
MyIE.exe 我的瀏覽器。
比IE好用啊
explorer.exe 檔案總管
spoolsv.exe 緩衝(spooler)服務是管理緩衝池中的列印和傳真作業
svchost.exe 包含很多系統服務,居然有4個這種行程
lsass.exe 管理 IP 安全原則以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程式。
(系統服務)
services.exe 包含很多系統服務
winlogon.exe 這個行程是管理用戶登入和推出的。而且winlogon在用戶按下CTRL+ALT+DEL時就啟動了,顯示安全對話視窗
csrss.exe 子系統伺服器行程
smss.exe Session Manager 什麼管理
QQ.exe 玩電腦的都用的東東。
system 系統
System Idle Process 這個行程是不可以從工作管理器中關掉的。
這個行程是作為單執行緒執行在每個處理器上,並在系統不處理其他執行緒的時候分派處理器的時間。
|
|
|
2006-8-26 01:55 PM |
|
Tiara
進階會員
青丘美人!!!!!
積分 2739
發文 274
註冊 2006-6-6
來自 青丘島
狀態 離線
|
#4 〔教學〕真真假假系統行程 從行程搜尋木馬的蛛絲馬跡004
真真假假系統行程 從行程搜尋木馬的蛛絲馬跡004
其他常見的處理程序
msbb.exe
進程文件: msbb or msbb.exe
進程名稱: msbb web3000 spyware application
描述: msbb web3000 spyware是包括在一些adware產品中,利用註冊表隨windows啟動。
是否為系統進程: 否
msdtc.exe
進程文件: msdtc or msdtc.exe
進程名稱: distributed transaction coordinator
描述: microsoft distributed transaction coordinator控制多個服務器的傳輸,被安裝在microsoft personal web server和microsoft sql server。
是否為系統進程: 否
msiexec.exe
進程文件: msiexec or msiexec.exe
進程名稱: windows installer component
描述: windows installer的一部分。用來幫助windows installer package files (msi)格式的安裝文件。
是否為系統進程: 否
msimn.exe
進程文件: msimn or msimn.exe
進程名稱: microsoft outlook express
描述: microsoft outlook express是一個email和新聞組客戶端包括在microsoft windows。
是否為系統進程: 否
msmsgs.exe
進程文件: msmsgs or msmsgs.exe
進程名稱: msn messenger traybar process
描述: msn messenger是一個在線聊天和即時通訊客戶端。
是否為系統進程: 否
msoobe.exe
進程文件: msoobe or msoobe.exe
進程名稱: windows product activation
描述: windows xp license的product activation產品激活程序。
是否為系統進程: 否
|
|
|
2006-8-26 01:56 PM |
|
Tiara
進階會員
青丘美人!!!!!
積分 2739
發文 274
註冊 2006-6-6
來自 青丘島
狀態 離線
|
#5 〔教學〕真真假假系統行程 從行程搜尋木馬的蛛絲馬跡005
真真假假系統行程 從行程搜尋木馬的蛛絲馬跡005
其他常見的處理程序2
mspaint.exe
進程文件: mspaint or mspaint.exe
進程名稱: microsoft paint
描述: microsoft paint畫圖是一個圖像編輯器包括在microsoft windows,它能夠編輯bmp圖像。
是否為系統進程: 否
mspmspsv.exe
進程文件: mspmspsv or mspmspsv.exe
進程名稱: wmdm pmsp service
描述: windows media player 7需要安裝的helper service。
是否為系統進程: 否
mysqld-nt.exe
進程文件: mysqld-nt or mysqld-nt.exe
進程名稱: mysql daemon
描述: mysql daemon控制訪問mysql數據庫。
是否為系統進程: 否
navapsvc.exe
進程文件: navapsvc or navapsvc.exe
進程名稱: norton antivirus auto-protect service
描述: norton anti-virus掃瞄你的文件和email中的病毒。
是否為系統進程: 否
navapw32.exe
進程文件: navapw32 or navapw32.exe
進程名稱: norton antivirus agent
描述: norton anti-virus掃瞄你的文件和email中的病毒。
是否為系統進程: 否
ndetect.exe
進程文件: ndetect or ndetect.exe
進程名稱: icq ndetect agent
描述: icq ndetect agent是icq用來偵測網絡連接的程序。
是否為系統進程: 否
|
|
|
2006-8-26 01:58 PM |
|
Tiara
進階會員
青丘美人!!!!!
積分 2739
發文 274
註冊 2006-6-6
來自 青丘島
狀態 離線
|
#6 〔教學〕真真假假系統行程 從行程搜尋木馬的蛛絲馬跡006
其他常見的處理程序3
ntbackup.exe
進程文件: ntbackup or ntbackup.exe
進程名稱: windows backup
描述: windows備份工具用於備份文件和文件夾。
是否為系統進程: 否
ntvdm.exe
進程文件: ntvdm or ntvdm.exe
進程名稱: windows 16-bit virtual machine
描述: windows virtual machine是為了兼容舊的16位windows和dos程序而設置的虛擬機。
是否為系統進程: 否
nvsvc32.exe
進程文件: nvsvc32 or nvsvc32.exe
進程名稱: nvidia driver helper service
描述: nvidia driver helper service在nvida顯卡驅動中被安裝。
是否為系統進程: 否
nwiz.exe
進程文件: nwiz or nwiz.exe
進程名稱: nvidia nview control panel
描述: nvidia nview控制面板在nvida顯卡驅動中被安裝,用於調整和設定。
是否為系統進程: 否
osa.exe
進程文件: osa or osa.exe
進程名稱: office startup assistant
描述: microsoft office啟動助手,隨windows啟動,增強啟動、office字體、命令和outlook事務提醒等特性。
是否為系統進程: 否
outlook.exe
進程文件: outlook or outlook.exe
進程名稱: microsoft outlook
描述: microsoft outlook是一個email客戶端包括在microsoft office。
是否為系統進程: 否
photoshop.exe
進程文件: photoshop or photoshop.exe
進程名稱: adobe photoshop
描述: adobe photoshop是一個圖像編輯軟件,能夠打開和編輯照片和其它更多類型格式的圖片。
是否為系統進程: 否
point32.exe
進程文件: point32 or point32.exe
進程名稱: microsoft intellimouse monitor
描述: microsoft intellimouse monitor添加一個鼠標設定圖標在工具欄。
是否為系統進程: 否
powerpnt.exe
進程文件: powerpnt or powerpnt.exe
進程名稱: microsoft powerpoint
描述: microsoft powerpoint是一個演示軟件包括在microsoft office。
是否為系統進程: 否
pstores.exe
進程文件: pstores or pstores.exe
進程名稱: protected storage service
描述: microsoft protected storage服務控制保密的內容密碼。
是否為系統進程: 否
qttask.exe
進程文件: qttask or qttask.exe
進程名稱: quick time tray icon
描述: quick time任務欄圖標在你運行quick time的時候啟動。
是否為系統進程: 否
realplay.exe
進程文件: realplay or realplay.exe
進程名稱: real player
描述: real player是一個媒體播放器用來打開和播放音樂、聲音和real media格式的視頻文件。
是否為系統進程: 否
rnaapp.exe
進程文件: rnaapp or rnaapp.exe
進程名稱: windows modem connection
描述: windows modem連接控制用以控制撥號modem連接。
是否為系統進程: 否
rtvscan.exe
進程文件: rtvscan or rtvscan.exe
進程名稱: norton antivirus
描述: norton anti-virus用以掃瞄你的文件和email中的病毒。
是否為系統進程: 否
rundll32.exe
進程文件: rundll32 or rundll32.exe
進程名稱: windows rundll32 helper
描述: windows rundll32為了需要調用dlls的程序。
是否為系統進程: 否
sndrec32.exe
進程文件: sndrec32 or sndrec32.exe
進程名稱: windows sound recorder
描述: windows錄音機用以播放和錄製聲音文件(.wav)。
是否為系統進程: 否
sndvol32.exe
進程文件: sndvol32 or sndvol32.exe
進程名稱: windows volume control
描述: windows聲音控制進程在任務欄駐留用以控制音量和聲卡相關。
是否為系統進程: 否
spoolss.exe
進程文件: spoolss or spoolss.exe
進程名稱: printer spooler subsystem
描述: windows打印機控制子程序用以調用需要打印的內容從磁盤到打印機。
是否為系統進程: 否
starter.exe
進程文件: starter or starter.exe
進程名稱: creative labs ensoniq mixer tray icon
描述: 狀態欄圖標在creative sound mixer中被安裝。為了creative聲卡 (soundblaster)。
是否為系統進程: 否
systray.exe
進程文件: systray or systray.exe
進程名稱: windows power management
描述: windows電源管理程序用以控制節能和恢復啟動。
是否為系統進程: 否
tapisrv.exe
進程文件: tapisrv or tapisrv.exe
進程名稱: tapi service
描述: windows telephony (tapi) 的後台服務程序。
是否為系統進程: 否
userinit.exe
進程文件: userinit or userinit.exe
進程名稱: userinit process
描述: userinit程序運行登陸腳本,建立網絡連接和啟動shell殼。
是否為系統進程: 否
visio.exe
進程文件: visio or visio.exe
進程名稱: microsoft visio
描述: microsoft visio是一個圖形化管理軟件。
是否為系統進程: 否
vptray.exe
進程文件: vptray or vptray.exe
進程名稱: norton antivirus
描述: norton anti-virus掃瞄你的文件和email中的病毒。
是否為系統進程: 否
vshwin32.exe
進程文件: vshwin32 or vshwin32.exe
進程名稱: mcafee virusscan
描述: mcafee virusscan是一個反病毒軟件用以掃瞄你的文件和email中的病毒。
是否為系統進程: 否
vsmon.exe
進程文件: vsmon or vsmon.exe
進程名稱: true vector internet monitor
描述: true vector internet monitor是zonealarm個人防火牆的一部分,用以監視網絡流經數據和攻擊。
是否為系統進程: 否
vsstat.exe
進程文件: vsstat or vsstat.exe
進程名稱: mcafee virusscan
描述: mcafee virusscan是一個反病毒軟件用以掃瞄你的文件和email中的病毒。
是否為系統進程: 否
wab.exe
進程文件: wab or wab.exe
進程名稱: address book
描述: 在outlook中的地址薄。用來存放email地址、聯繫信息。
是否為系統進程: 否
webscanx.exe
進程文件: webscanx or webscanx.exe
進程名稱: mcafee virusscan
描述: mcafee virusscan是一個反病毒軟件用以掃瞄你的文件和email中的病毒。
是否為系統進程: 否
winamp.exe
進程文件: winamp or winamp.exe
進程名稱: winamp
描述: winamp media player是一個用來打開音樂、聲音和視頻文件以及用以管理mp3文件的軟件。
是否為系統進程: 否
winhlp32.exe
進程文件: winhlp32 or winhlp32.exe
進程名稱: windows help
描述: windows幫助文件察看程序,用來打開幫助文檔。該程序被包括在很多的windows程序中。
是否為系統進程: 否
winoa386.mod
進程文件: winoa386 or winoa386.mod
進程名稱: ms-dos console
描述: windows ms-dos控制台用以dos命令和腳本。
是否為系統進程: 否
winproj.exe
進程文件: winproj or winproj.exe
進程名稱: microsoft project
描述: microsoft project是一個項目計劃編製程序。
是否為系統進程: 否
winroute.exe
進程文件: winroute or winroute.exe
進程名稱: winroute
描述: winroute是一個基於windows的防火牆/路由/連接共享軟件。
是否為系統進程: 否
winword.exe
進程文件: winword or winword.exe
進程名稱: microsoft word
描述: microsoft word是一個字處理程序包括在microsoft office。
是否為系統進程: 否
winzip32.exe
進程文件: winzip32 or winzip32.exe
進程名稱: winzip
描述: winzip是一個文件壓縮工具,用於創建,打開和解壓zip文件。
是否為系統進程: 否
wkcalrem.exe
進程文件: wkcalrem or wkcalrem.exe
進程名稱: microsoft works calendar reminder
描述: microsoft works calendar reminders工作日程提醒,在後台處理和顯示彈出計劃的工作日誌提醒。
是否為系統進程: 否
wkqkpick.exe
進程文件: wkqkpick or wkqkpick.exe
進程名稱: winzip traybar icon
描述: winzip的狀態欄圖標,被允許在winzip啟動時啟動。
是否為系統進程: 否
wmplayer.exe
進程文件: wmplayer or wmplayer.exe
進程名稱: windows media player
描述: windows media player是一個用來打開和播放音樂,聲音和視頻的軟件。
是否為系統進程: 否
wordpad.exe
進程文件: wordpad or wordpad.exe
進程名稱: wordpad
描述: wordpad是一個字符編輯器用以打開和編輯txt和rtf檔。
是否為系統進程: 否
wowexec.exe
進程文件: wowexec or wowexec.exe
進程名稱: windows on windows execution process
描述: windows on windows execution support process和ntvdm.exe作用類似,為了兼容16位應用程序。
是否為系統進程: 否
ypager.exe
進程文件: ypager or ypager.exe
進程名稱: yahoo messenger helper
描述: yahoo messenger的狀態欄圖標,隨yahoo messenger運行,是其一部分。
是否為系統進程: 否
|
|
|
2006-8-26 02:00 PM |
|
最棒的拿鐵
一般會員
積分 244
發文 15
註冊 2006-5-4
狀態 離線
|
#7
真是解惑啊
一堆我看不懂的執行檔名
一次都知道了
難怪我以前亂砍都會當機
不知道該怎麼感謝Tiara勒
總言而之---還是應該多謝您的解說啦~~
|
|
|
2006-8-29 08:10 AM |
|
阿瑋
一般會員
積分 354
發文 110
註冊 2006-1-15
狀態 離線
|
#8
真是高手高手高高手
打了這麼大一偏~真是辛苦了
|
|
|
2008-7-12 06:31 PM |
|
牛果
基本會員
積分 81
發文 28
註冊 2005-9-8
狀態 離線
|
#9
| Quote: | Originally posted by Tiara at 2006-8-26 01:52 PM:
而在Windows XP則直接輸入「Tasklist /SVC」檢視行程訊息
(「Tasklist /fi "PID eq processID"」則可看到詳細資料)。
|
|
「Tasklist /fi "PID eq processID"」則可看到詳細資料
這一段的指令我不會用有人可敎否,
C:\>Tasklist /fi "PID eq processID"
錯誤: 無法辨識搜尋篩選器。
|
|
|
2008-9-24 12:42 AM |
|
ps147258
進階會員
積分 2396
發文 226
註冊 2005-9-6
狀態 離線
|
#10
| Quote: | Originally posted by 牛果 at 2008-9-24 12:42 AM:
「Tasklist /fi "PID eq processID"」則可看到詳細資料
這一段的指令我不會用有人可敎否,
C:\>Tasklist /fi "PID eq processID"
錯誤: 無法辨識搜尋篩選器。 |
|
Tasklist /fi "PID eq processID"
/FI 表示 過濾 (2008/09/24 PM07:45 修正)
eq 代表 = <==== ( 有點類似什麼語言的? 我忘了 = = ... 抱歉 )
PID 代表 要篩選的項目(PID 為 處理程序代碼) ( 2008/09/24 PM07:47 補充)
processID 表示 處理程序代碼
例:C:\>Tasklist /fi "PID eq 1024"
也可使用處理程序名稱 (以 explorer.exe 為例)
TASKLIST /FI "IMAGENAME eq explorer.exe"
其他說明請善用 參數 /?
在「Windows 工作管理員」中也可以看到很多資訊
請於「檢視」→「選擇欄位」中選取想要顯示的項目
另外 Explorer.exe 不一定只有一個,只是通常都只有一個,例如在「資料夾選項」→「檢視」中勾選「在個別的處理程序開啟資料夾視窗」那麼每當您開啟一個資料夾檢視視窗 Explorer.exe 將增加一個,登入不同使用者也是,在使用者登出之前或資料夾檢視視窗關閉之前其對應的 Explorer.exe 處理程序將持續存在。
[ Last edited by ps147258 on 2008-9-24 at 07:49 PM ]
|
|
|
2008-9-24 07:43 PM |
|
牛果
基本會員
積分 81
發文 28
註冊 2005-9-8
狀態 離線
|
#11
感謝大大回覆,且詳盡解釋,但我試了還錯誤。
錯誤: 無法辨識搜尋篩選器
真不知哪裡出錯了。
|
|
|
2008-9-29 04:50 AM |
|
