|
|
得多软件会在后盾读写磁盘和拜候网络。假如后盾过程的磁盘读写数据量过大,会致使零碎运转速度迟缓;频繁拜候网络则会致使网速升高;而一些木马也会经过拜候网络和木马办事器来通讯。那末,如何疾速地找出后盾正在读写磁盘和使用网络的顺序,又如何经过网络衔接历史揪出可疑顺序呢?上面笔者引见一些实用的办法。
文|俞木发
1. 使用工作办理器找出此类顺序
假如疑心本人的电脑有异样,那末能够利用工作办理器来查看和判别。启动工作办理器后切换到“过程”选项卡,而后分别点击“磁盘”和“网络”履行排序。这样,以后正在后盾拜候磁盘和网络的过程,会根据实际读写数据量和网络流量的大小排序。而后咱们再按照本机的实际状况来判别,就能很快地找出异样顺序。好比笔者的电脑在前台并无运转大型顺序,工作办理器中却显示磁盘占比为100%,其中“Mainfree.exe”过程正在疯狂地读写磁盘。
j3pd1qddni0.jpg
那末这是一个甚么顺序呢?切换到“具体信息”选项卡,在标题栏右击并点击“选择列”,在关上的窗口中勾选“命令行”,这样就能在窗口中看到过程的具体门路。前往图1所示的窗口并选中“Mainfree.exe”过程,右击并选择“转到具体信息”,能够自动定位到指定的过程,再右击该过程并选择“关上文件所在的地位”。最初经过查看文件属性、装置门路,就能判别为一个异样过程。用平安软件扫描并革除后,电脑运转速度就恢复了正常。
x4inuutqhom.jpg
2. 查看顺序使用网络的历史
如前言所述,一些木马过程会经过网络和办事器通讯,然而得多时分只是按时分割或者天天只分割一次,并且在分割实现后得多过程还会自动退出,这样依托工作办理器就无奈查看。此时能够再借助“网络和Internet”组件查看联网的历史记载。
在工作栏的搜寻框中输出“网络和Internet”,接着在关上该窗口后选中本机的网卡,如经过有线上网的用户选择“以太网”,点击“数据使用量”。
nxwy41feu43.jpg
在关上的窗口中就能看到比来30天一切过程的联网记载,将鼠标悬停在顺序上便可看到详细的门路信息。这里咱们能够按照顺序门路、称号等加以甄别,好比笔者的电脑中名为“annid.exe”的过程联网就对比可疑,不只顺序名奇异,并且是装置在用户的暂时目录中。终究经过查看文件属性和杀毒扫描,发现恰是一个后门病毒。
zdfdxvn3jt1.jpg
3. 经过资源监督器筛选流动过程
工作办理器能够显示以后一切流动的过程,然而无奈筛选过程。同时,关于网络衔接的过程,也无奈看到衔接近程办事器的IP地址,这样不便利疾速地找到和甄别可疑过程。能够借助“资源监督器”组件来补救工作办理器的上述缺乏。
好比经过图1曾经知道“mainfree.exe”过程读写磁盘占对比高,启动资源监督器后切换到“磁盘”选项卡,勾选“mainfree.exe”过程,在下方展开“磁盘流动”,能够看到以后正在读写的文件信息,更便于甄别过程的性质。如该过程读写的是F盘目录下的文件,能够经过这个提醒,关上详细文件查看属性,判别其是不是为歹意文件。
pls5foizpsv.jpg
而要查看过程的网络衔接信息,则能够切换到“网络”选项卡,展开下方的“网络流动”,能够看到过程衔接的IP地址、衔接端口等信息。经过IP地址能够对衔接信息加以判别,好比发现“mainfree.exe”过程衔接的都是国外的IP,而本机本身需求的软件并无需求衔接到国外IP的,因此该过程就极其可疑。
lh4tr24hiyp.jpg
4. 借助第三方软件实时查看
利用第三方软件,能够在桌面上实时地查看后盾过程读写磁盘和衔接网络的无关信息。好比Process Hacke(http://processhacker.sourceforge.net/),启动后会自动最小化就任务栏托盘中,点击顺序图标并选择“I/O”,再点击锁定按钮,还能够让其一直在前台显示,这样在桌面上就能实时地看到以后读写磁盘的过程了。
e1m0atwnfla.jpg
假如要查看后盾过程网络衔接的信息,在图7所示的界面中点击“I/O”旁边的下拉按钮,切换到“Network”便可。而要查看更具体的衔接信息(如衔接的端口等),则需求切换到顺序主窗口,定位到“Network”选项卡中查看。CF |
|
注册会员