文字| Yu Mufa

1。使用任务管理器找出此类程序

如果您怀疑计算机上有例外，则可以使用任务管理器查看和判断。启动任务管理器后，切换到“进程”选项卡，然后单击磁盘和网络执行分类。这样，当前访问磁盘和网络的过程将根据实际的读取和写入数据以及网络流量的大小进行排序。然后，我们可以根据机器的实际情况进行判断，并快速找出异常程序。例如，作者的计算机不会在前景中运行大型程序，但是任务管理器显示磁盘为100，而“ mainfree.exe”过程是疯狂地读取和写入磁盘。

那么这是什么样的程序？切换到“详细信息”选项卡，在标题栏中右键单击，然后单击“选择列”，然后在“打开窗口”中检查“命令行”，以便您可以在窗口中看到该过程的详细路径。返回到图1中所示的窗口，然后选择“ mainfree.exe”进程，右键单击并选择“转到详细信息”，您可以自动找到指定的进程，然后右键单击该过程，然后选择“文件所在的位置”。最后，通过检查文件属性和安装路径，您可以确定这是一个异常过程。在使用安全软件进行扫描和清除后，计算机的运行速度将恢复正常。

2。查看程序网络使用的历史记录

如前处所述，一些特洛伊木马的流程通过网络与服务器进行通信，但是通常它们只定期或每天只有一次，并且在联系人完成后，许多过程都会自动退出，因此无法通过依靠任务管理器来查看它们。目前，您可以使用“网络和Internet”组件来查看网络历史记录。

在任务栏的搜索框中输入“网络和Internet”，然后在打开窗口后选择机器的网卡。例如，通过有线用户选择“以太网”，然后单击“数据使用”。

在打开的窗口中，您可以在过去30天内看到所有流程的网络记录。将鼠标悬停在程序上，以查看特定的路径信息。在这里，我们可以识别程序路径，名称等。例如，我的计算机中名为“ Annid.exe”的过程更加可疑。程序名称不仅很奇怪，而且还安装在用户的临时目录中。最后，通过检查文件属性和防病毒扫描，我们发现这是一种后门病毒。

3。通过资源监视器进行过滤主动过程

任务管理器可以显示当前活动的所有活动过程，但不能过滤进程。同时，对于网络连接的过程，无法看到远程服务器的IP地址，这是不方便地快速查找和识别可疑过程。可以借助“资源监视器”组件来补偿任务管理器的上述缺点。

例如，通过图1，我们已经知道“ mainfree.exe”过程在磁盘读取和写作中具有很大比例。启动资源监视器后，切换到“磁盘”选项卡，检查“ mainfree.exe”进程，并在下面展开“磁盘活动”，以查看当前正在读取和编写的文件信息，这更容易识别该过程的性质。如果该过程读取并写入F磁盘目录中的文件，则可以使用此提示来打开特定文件以查看属性并确定它是否是恶意文件。

要查看该过程的网络连接信息，您可以切换到下面的“网络”选项卡并展开“网络活动”，以查看进程连接的IP地址，连接端口和其他信息。可以通过IP地址判断连接信息。例如，发现“ mainfree.exe”过程已连接到外国IPS，并且本地计算机本身所需的软件无需连接到外国IPS，因此该过程非常可疑。

4。在第三方软件的帮助下进行实时查看

使用第三方软件，您可以查看有关背景过程读取和编写磁盘的信息，并在桌面上实时连接到网络。例如，Process Hacke（http://Processhacker.sourceforge.net/）将自动将其最小化到启动后的任务栏托盘。单击程序图标，然后选择“ I/O”，然后单击“锁定”按钮，然后始终显示在前景中，以便您可以实时查看桌面上读取和编写磁盘的当前过程。