很多软件会在后台读写磁盘和访问网络。如果后台进程的磁盘读写数据量过大,会导致系统运行速度缓慢;频繁访问网络则会导致网速降低;而一些木马也会通过访问网络和木马服务器来通信。那么,如何快速地找出后台正在读写磁盘和使用网络的程序,又如何通过网络连接历史揪出可疑程序呢?下面笔者介绍一些实用的方法。
文|俞木发
1. 使用任务管理器找出此类程序
如果怀疑自己的电脑有异常,那么可以利用任务管理器来查看和判断。启动任务管理器后切换到“进程”选项卡,然后分别点击“磁盘”和“网络”执行排序。这样,当前正在后台访问磁盘和网络的进程,会按照实际读写数据量和网络流量的大小排序。然后我们再根据本机的实际情况来判断,就可以很快地找出异常程序。比如笔者的电脑在前台并没有运行大型程序,任务管理器中却显示磁盘占比为100%,其中“MAInfree.exe”进程正在疯狂地读写磁盘。
那么这是一个什么程序呢?切换到“详细信息”选项卡,在标题栏右击并点击“选择列”,在打开的窗口中勾选“命令行”,这样就可以在窗口中看到进程的详细路径。返回图1所示的窗口并选中“Mainfree.exe”进程,右击并选择“转到详细信息”,可以自动定位到指定的进程,再右击该进程并选择“打开文件所在的位置”。最后通过查看文件属性、安装路径,就可以判断为一个异常进程。用安全软件扫描并清除后,电脑运行速度就恢复了正常。
2. 查看程序使用网络的历史
如前言所述,一些木马进程会通过网络和服务器通信,但是很多时候只是定时联系或者每天只联系一次,而且在联系完成后很多进程还会自动退出,这样依靠任务管理器就无法查看。此时可以再借助“网络和Inte.NET”组件查看联网的历史记录。
在任务栏的搜索框中输入“网络和Internet”,接着在打开该窗口后选中本机的网卡,如通过有线上网的用户选择“以太网”,点击“数据使用量”。
在打开的窗口中就可以看到最近30天所有进程的联网记录,将鼠标悬停在程序上即可看到具体的路径信息。这里我们可以根据程序路径、名称等加以甄别,比如笔者的电脑中名为“annid.exe”的进程联网就比较可疑,不仅程序名怪异,而且是安装在用户的临时目录中。最终通过查看文件属性和杀毒扫描,发现正是一个后门病毒。
3. 通过资源监视器筛选活动进程
任务管理器可以显示当前所有活动的进程,但是无法筛选进程。同时,对于网络连接的进程,也无法看到连接远程服务器的IP地址,这样不方便快速地找到和甄别可疑进程。可以借助“资源监视器”组件来弥补任务管理器的上述不足。
比如通过图1已经知道“mainfree.exe”进程读写磁盘占比较高,启动资源监视器后切换到“磁盘”选项卡,勾选“mainfree.exe”进程,在下方展开“磁盘活动”,可以看到当前正在读写的文件信息,更便于甄别进程的性质。如该进程读写的是F盘目录下的文件,可以通过这个提示,打开具体文件查看属性,判断其是否为恶意文件。
而要查看进程的网络连接信息,则可以切换到“网络”选项卡,展开下方的“网络活动”,可以看到进程连接的IP地址、连接端口等信息。通过IP地址可以对连接信息加以判断,比如发现“mainfree.exe”进程连接的都是国外的IP,而本机自身需要的软件并没有需要连接到国外IP的,因此该进程就极为可疑。
4. 借助第三方软件实时查看
利用第三方软件,可以在桌面上实时地查看后台进程读写磁盘和连接网络的有关信息。比如Process Hacke(http://processhacker.sourceforge.net/),启动后会自动最小化到任务栏托盘中,点击程序图标并选择“I/O”,再点击锁定按钮,还可以让其始终在前台显示,这样在桌面上就可以实时地看到当前读写磁盘的进程了。
如果要查看后台进程网络连接的信息,在图7所示的界面中点击“I/O”旁边的下拉按钮,切换到“Network”即可。而要查看更详细的连接信息(如连接的端口等),则需要切换到程序主窗口,定位到“Network”选项卡中查看。CF