系統程序小知識

　　一款好的防火牆並不能發現所有病毒;一個好的防毒軟體並不能殲滅所有的帶毒程式!遇到這些情況我們該做何處理呢?很簡單——手工防毒。而要論到手工防毒，就不能不提到系統程序了。下面是小編帶來的關於小知識:系統程序的內容，歡迎閱讀!

　　書上說:“程序為應用程式的執行例項，是應用程式的一次動態執行。”看似高深，我們可以簡單地理解為:它是作業系統當前執行的執行程式。在系統當前執行的執行程式裡包括:系統管理計算機個體和完成各種操作所必需的程式;使用者開啟、執行的額外程式，當然也包括使用者不知道，而自動執行的非法程式***它們就有可能是病毒程式***。

　　危害較大的可執行病毒同樣以“程序”形式出現在系統內部***一些病毒可能並不被程序列表顯示，如“巨集病毒”***，那么及時檢視並準確殺掉非法程序對於“手工防毒有起著關鍵性的作用。

　　如何開啟系統程序列表?

　　要通過程序列表檢視系統是否染毒，必須開啟當前的執行程式程序列表，Microsoft的每種系統都有相應的開啟方法，但能夠顯示的能力卻因***系統***不同，有所差異:

　　：Windows 98 /Me系統

　　開啟系統程序的方式很簡單，快捷鍵“Ctrl+Alt+Delete”***如圖1***，這個視窗大家應該比較熟悉，使用Windows系統的使用者都知道用這個方法來關閉程式，不過它同樣用於顯示系統程序，只是Windows 98系統較初級，對程序的顯示侷限於名稱，且裡面所顯示的還有開啟的檔案及目錄名，檢視時易混淆。Windows Me的程序開啟方式和Windows 98相同。

　　Windows 9x系統開啟的程序列表混亂且不完全，顯然不便於檢視系統的具體程序狀況，所以建議使用一些工具程式來為Windows 9x系統顯示程序，如“Windows優化大師”，在“優化大師”的“系統安全優化”項內開啟“程序管理”，在圖2所示的“Windows 程序管理”視窗內，可以詳細檢視當前計算機所執行的所有程序，及具體程式所在的位置，這樣更方便完成後面要介紹的如何利用程序進行查毒、防毒。

　　：Windows 2000/ XP/2003系統

　　Windows 2000、Windows XP、Windows 2003開啟程序視窗的方式與Windows 9x系統相同，只是三鍵後開啟的是“Windows 工作管理員”視窗，需要選擇裡面的“程序”項。Windows 2000系統只顯示具體程序的全名，佔用的記憶體量;Windows XP、Windows 2003系統相比Windows 2000會顯示該程序歸屬於那個使用者下，如作業系統所必須的基礎程式，會在後面的“使用者名稱”內顯示為“SYSTEM”，由使用者另外開啟的程式則使用者名稱為當前的系統登入使用者名稱。

　　發現病毒

　　在介紹具體的查毒和防毒前，筆者先回答開篇提出的兩個問題。為什么防毒軟體並不能全面的查詢和殺掉病毒?首先，病毒防火牆是通過對程式進行反彙編，然後與自己的病毒庫進行對比來查詢病毒，如果病毒較新，而防毒軟體又未能及時升級便不能識別病毒。其次，防毒軟體在發現病毒後，如果是獨立的可執行病毒程式，會選擇直接刪除的處理方式，而病毒如果被當作程序執行了，防毒軟體就無能為力了，因為它沒有功能和許可權先停止掉系統的這些程序，被當作程序執行的程式是不能被刪除的***這也是大家在刪除一個程式時，提示該程式正在被使用不能刪除的原因***。所以在使用防毒軟體防毒時，才會有防毒完成後，又出現病毒提示的原因。 　　回到原來話題上!通過程序如何發現和殺掉病毒呢?由前面的知識介紹可知，Windows 9X和Windows 2000系統只能顯示程序的名稱，這對判斷該程序是否是病毒還不夠，如果要準確的斷定病毒，最好使用前面介紹的“Windows優化大師”來檢視程序程式的源路徑，如果是“C:\Windows\system”下的一些未知的“EXE”那便極有病毒的可能性了。Windows XP和Windows 2003系統，程序後會有“使用者名稱”的顯示，病毒是不可能獲得“SYSTEM”許可權的，所以應注意“使用者名稱”是當前登入使用者的程序，一旦發現是病毒，可以立即“殺掉”。這裡介紹兩個技巧:

　　1.發現可疑程序後，利用Windows的查詢功能，查詢該程序所在的具體路徑，通過路徑可以知道該程序是否合法，譬如由路徑“C:\Program Files\3721\assistse.exe”知道該程式是3721的程序，是合法的。

　　2.在對程序是否病毒拿不定主意時，可以複製該程序的全名，如:“xxx.exe”到googl或baidu這樣的全球搜查引擎上進行搜查，如果是病毒會有相關的介紹網頁。

　　確定了該程序是病毒，首先應該殺掉該程序，對於Windows 9x系統，選中該程序後，點選下面的“結束任務”按鈕，Windows 2000、Windows XP、Windows 2003系統則在程序上單擊右鍵在彈出選單上選擇“結束任務”。“殺掉”程序後找到該程序的路徑刪除掉即可，完成後最好在進行一次防毒，這樣就萬無一失了。

　　一次利用程序防毒的具體過程是這樣的:“通過程序名及路徑判斷是否病毒——殺掉程序——刪除病毒程式”，為了讓讀者更好的判斷程序，在這裡補充一些Windows的程序資料給大家:

　　程序名描述

　　smss.exe　Session　Manager

　　csrss.exe 子系統伺服器程序

　　winlogon.exe　管理使用者登入

　　services.exe　包含很多系統服務

　　lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley ***IKE*** 和 IP 安全驅動程式。

　　svchost.exe　 Windows 2000/XP 的檔案保護系統

　　Spoolsv.exe 　將檔案載入到記憶體中以便遲後列印。

　　explorer.exe　資源管理器

　　internat.exe　托盤區的拼音圖示

　　mstask.exe允許程式在指定時間執行。

　　regsvc.exe允許遠端登錄檔操作。***系統服務***→remoteregister

　　tftpd.exe 實現 TFTP Internet 標準。該標準不要求使用者名稱和密碼。

　　llssrv.exe證書記錄服務

　　ntfrs.exe 在多個伺服器間維護檔案目錄內容的檔案同步。

　　RsSub.exe 控制用來遠端儲存資料的媒體。

　　locator.exe 　管理 RPC 名稱服務資料庫。

　　clipsrv.exe 　支援“剪貼簿檢視器”，以便可以從遠端剪貼簿查閱剪貼頁面。

　　msdtc.exe 並列事務，是分佈於兩個以上的資料庫，訊息佇列，檔案系統或其它事務保護資源管理器。

　　grovel.exe掃描零備份儲存***SIS***捲上的重複檔案，並且將重複檔案指向一個數據儲存點，以節省磁碟空間***只對 NTFS 檔案系統有用***。

　　snmp.exe　包含代理程式可以監視網路裝置的活動並且向網路控制檯工作站彙報。

　　以上這些程序都是對計算機執行起至關重要的，千萬不要隨意“殺掉”，否則可能直接影響系統的正常執行。

　　微軟還為我們提供了一種察看系統正在執行在svchost.exe列表中的服務的方法。

　　以Windows XP為例:在“執行”中輸入:cmd，然後在命令列模式中輸入:tasklist /svc。系統列出服務列表。如果使用的是Windows 2000系統則把前面的“tasklist /svc”命令替換為:“tlist -s”即可。

　　如果你懷疑計算機有可能被病毒感染，svchost.exe的服務出現異常的話通過搜尋svchost.exe檔案就可以發現異常情況。一般只會找到一個在:“C:\Windows\System32”目錄下的svchost.exe程式。如果你在其它目錄下發現svchost.exe程式的話，那很可能就是中毒了。

　　還有一種確認svchost.exe是否中毒的方法是在工作管理員中察看程序的執行路徑。但是由於在Windows系統自帶的工作管理員不能察看程序路徑，所以要使用第三方的程序察看工具。

　　上面簡單的介紹了svchost.exe程序的相關情況。總而言之，svchost.exe是一個系統的核心程序，並不是病毒程序。但由於svchost.exe程序的特殊性，所以病毒也會千方百計的入侵svchost.exe。通過察看svchost.exe程序的執行路徑可以確認是否中毒。