很多软件会在后台读写磁盘和访问网络 。如果后台进程的磁盘读写数据量过大,会导致系统运行速度缓慢;频繁访问网络则会导致网速降低;而一些木马也会通过访问网络和木马服务器来通信 。那么,如何快速地找出后台正在读写磁盘和使用网络的程序,又如何通过网络连接历史揪出可疑程序呢?下面笔者介绍一些实用的方法 。
文|俞木发
文章插图
1. 使用任务管理器找出此类程序
如果怀疑自己的电脑有异常,那么可以利用任务管理器来查看和判断 。启动任务管理器后切换到“进程”选项卡,然后分别点击“磁盘”和“网络”执行排序 。这样,当前正在后台访问磁盘和网络的进程,会按照实际读写数据量和网络流量的大小排序 。然后我们再根据本机的实际情况来判断,就可以很快地找出异常程序 。比如笔者的电脑在前台并没有运行大型程序,任务管理器中却显示磁盘占比为100%,其中“Mainfree.exe”进程正在疯狂地读写磁盘 。
文章插图
那么这是一个什么程序呢?切换到“详细信息”选项卡,在标题栏右击并点击“选择列”,在打开的窗口中勾选“命令行”,这样就可以在窗口中看到进程的详细路径 。返回图1所示的窗口并选中“Mainfree.exe”进程,右击并选择“转到详细信息”,可以自动定位到指定的进程,再右击该进程并选择“打开文件所在的位置” 。最后通过查看文件属性、安装路径,就可以判断为一个异常进程 。用安全软件扫描并清除后,电脑运行速度就恢复了正常 。
文章插图
2. 查看程序使用网络的历史
如前言所述,一些木马进程会通过网络和服务器通信,但是很多时候只是定时联系或者每天只联系一次,而且在联系完成后很多进程还会自动退出,这样依靠任务管理器就无法查看 。此时可以再借助“网络和Internet”组件查看联网的历史记录 。
在任务栏的搜索框中输入“网络和Internet”,接着在打开该窗口后选中本机的网卡,如通过有线上网的用户选择“以太网”,点击“数据使用量” 。
文章插图
在打开的窗口中就可以看到最近30天所有进程的联网记录,将鼠标悬停在程序上即可看到具体的路径信息 。这里我们可以根据程序路径、名称等加以甄别,比如笔者的电脑中名为“annid.exe”的进程联网就比较可疑,不仅程序名怪异,而且是安装在用户的临时目录中 。最终通过查看文件属性和杀毒扫描,发现正是一个后门病毒 。
文章插图
文章插图
3. 通过资源监视器筛选活动进程
任务管理器可以显示当前所有活动的进程,但是无法筛选进程 。同时,对于网络连接的进程,也无法看到连接远程服务器的IP地址,这样不方便快速地找到和甄别可疑进程 。可以借助“资源监视器”组件来弥补任务管理器的上述不足 。
比如通过图1已经知道“mainfree.exe”进程读写磁盘占比较高,启动资源监视器后切换到“磁盘”选项卡,勾选“mainfree.exe”进程,在下方展开“磁盘活动”,可以看到当前正在读写的文件信息,更便于甄别进程的性质 。如该进程读写的是F盘目录下的文件,可以通过这个提示,打开具体文件查看属性,判断其是否为恶意文件 。
文章插图
而要查看进程的网络连接信息,则可以切换到“网络”选项卡,展开下方的“网络活动”,可以看到进程连接的IP地址、连接端口等信息 。通过IP地址可以对连接信息加以判断,比如发现“mainfree.exe”进程连接的都是国外的IP,而本机自身需要的软件并没有需要连接到国外IP的,因此该进程就极为可疑 。
文章插图
4. 借助第三方软件实时查看
利用第三方软件,可以在桌面上实时地查看后台进程读写磁盘和连接网络的有关信息 。比如Process Hacke(http://processhacker.sourceforge.net/),启动后会自动最小化到任务栏托盘中,点击程序图标并选择“I/O”,再点击锁定按钮,还可以让其始终在前台显示,这样在桌面上就可以实时地看到当前读写磁盘的进程了 。
推荐阅读
- 电脑屏幕出现黑白条纹怎么办 电脑屏幕出现黑白条纹是怎么回事
- 电脑屏幕被锁住如何破密解锁开机
- 电脑偶尔会自动重启怎么回事 电脑偶尔自动重启怎么回事
- 张家界在哪里 张家界在哪里个省份哪个市,张家界天门美景
- 电脑能不能同时插两根网线
- 微信收款码在哪里 微信收款码在哪里找能发给人
- 台式电脑内存条怎么换 电脑内存条怎么换
- win7电脑内放怎么关闭 电脑内放怎么关闭
- 龙虎山风景区在哪里 龙虎山风景区在哪里多少公里
- 小米开发者选项在哪里 小米开发者选项在哪里打开