进程树的妙用

我们在“Windows任务管理器”中，可以看到在指定进程的右键弹出菜单中有一项“结束进程树”的选项（图9）。那么这个“进程树”是什么呢?

图 9

一个应用程序运行后，还可能调用其它的进程来执行操作，这一组进程就形成了一个进程树（进程树可能是多级的，并非只有一个层次的子进程）。该应用程序称之为父进程，其所调用的对象称之为子进程。当我们结束一个进程树后，即表示同时结束了其所属的所有子进程，此种方法常用于对可复制自身的木马进程的封杀。即当发现木马进程后，选择“结束进程树”。但是，Windows系统自身的任务管理器并不具备显示子进程的功能。我们可利用“Process Viewer”这款软件，实现详细查看进程树的目的。

软件名称：Process Viewer

软件版本：v3.7.3.1

软件语言：英文

软件类型：免费软件

应用平台：Win9X/NT/2000/XP/2003

软件大小：92KB

运行“Process Viewer”程序后，在其主界面中将实时显示当前运行的进程。大家点击菜单栏上的“View→Process Tree”，在弹出对话框中即可以进程树的模式查看相关进程（图10）。

图 10

下面，笔者要提及一下其它实用功能。当你选择主界面中的指定进程后，点击菜单栏上的“Process→Startup Info”，在弹出对话框中大家将获知其启动信息，在“Start directory”选项中显示的是启动路径；在“Command Line”选项中显示的是命令行；在“Environment”中显示的是环境。

另外，如果你希望了解某个进程对应的是哪个应用程序或反之。则需要选择指定进程后，点击菜单栏上的“View→Applications”，在弹出对话框中就可查看。

封杀进程的另类方法

在上文中，我们已经提及了如何在“Windows任务管理器”中结束进程。但那只是常规方式，现在，我们就来玩玩别出心裁的非常规进程封杀方式。

1.封杀对方机器进程

我们可以利用两种方法实现这一目的。第一种就是使用远程控制程序，目前大部分木马都具有查看被控端主机进程的功能，而且还可以远程结束指定进程。这部分内容相信对系统安全感兴趣的朋友都非常熟悉了，因此，就不详细介绍了。第二种方法，就是使用专门结束进程的工具——自定义杀进程。运行程序后，在其中文本框中（图11）输入欲结束的进程名称（注意：是“进程”列表中的名称，而非应用程序名称），而后会“生成”一个文件。通过某种途径使它在目标机器上激活，就可封杀对方机器的指定进程了。

图 11

小提示：如果你需要经常在远程机器上管理进程，那么还是选择一款专业工具为佳。Remote Task Manager就是一款能够让你在远程管理系统进程的软件（适用于WinNT的机器），就如同在本地机器使用“Windows 任务管理器”一样。