快速找出后臺訪問磁盤和網(wǎng)絡的程序

俞木發(fā)

1. 使用任務管理器找出此類程序

如果懷疑自己的電腦有異常，那么可以利用任務管理器來查看和判斷。啟動任務管理器后切換到“進程”選項卡，然后分別點擊“磁盤”和“網(wǎng)絡”執(zhí)行排序。這樣，當前正在后臺訪問磁盤和網(wǎng)絡的進程，會按照實際讀寫數(shù)據(jù)量和網(wǎng)絡流量的大小排序。然后我們再根據(jù)本機的實際情況來判斷，就可以很快地找出異常程序。比如筆者的電腦在前臺并沒有運行大型程序，任務管理器中卻顯示磁盤占比為100%，其中“Mainfree.exe”進程正在瘋狂地讀寫磁盤（圖1）。

那么這是一個什么程序呢？切換到“詳細信息”選項卡，在標題欄右擊并點擊“選擇列”，在打開的窗口中勾選“命令行”，這樣就可以在窗口中看到進程的詳細路徑。返回圖1所示的窗口并選中“Mainfree.exe”進程，右擊并選擇“轉(zhuǎn)到詳細信息”，可以自動定位到指定的進程，再右擊該進程并選擇“打開文件所在的位置”（圖2）。最后通過查看文件屬性、安裝路徑，就可以判斷為一個異常進程。用安全軟件掃描并清除后，電腦運行速度就恢復了正常。

2. 查看程序使用網(wǎng)絡的歷史

如前言所述，一些木馬進程會通過網(wǎng)絡和服務器通信，但是很多時候只是定時聯(lián)系或者每天只聯(lián)系一次，而且在聯(lián)系完成后很多進程還會自動退出，這樣依靠任務管理器就無法查看。此時可以再借助“網(wǎng)絡和Internet”組件查看聯(lián)網(wǎng)的歷史記錄。

在任務欄的搜索框中輸入“網(wǎng)絡和Internet”，接著在打開該窗口后選中本機的網(wǎng)卡，如通過有線上網(wǎng)的用戶選擇“以太網(wǎng)”，點擊“數(shù)據(jù)使用量”（圖3）。在打開的窗口中就可以看到最近30天所有進程的聯(lián)網(wǎng)記錄，將鼠標懸停在程序上即可看到具體的路徑信息。這里我們可以根據(jù)程序路徑、名稱等加以甄別，比如筆者的電腦中名為“annid.exe”的進程聯(lián)網(wǎng)就比較可疑，不僅程序名怪異，而且是安裝在用戶的臨時目錄中（圖4）。最終通過查看文件屬性和殺毒掃描，發(fā)現(xiàn)正是一個后門病毒。

3. 通過資源監(jiān)視器篩選活動進程

任務管理器可以顯示當前所有活動的進程，但是無法篩選進程。同時，對于網(wǎng)絡連接的進程，也無法看到連接遠程服務器的IP地址，這樣不方便快速地找到和甄別可疑進程。可以借助“資源監(jiān)視器”組件來彌補任務管理器的上述不足。

比如通過圖1已經(jīng)知道“mainfree.exe”進程讀寫磁盤占比較高，啟動資源監(jiān)視器后切換到“磁盤”選項卡，勾選“mainfree.exe”進程，在下方展開“磁盤活動”，可以看到當前正在讀寫的文件信息，更便于甄別進程的性質(zhì)。如該進程讀寫的是F盤目錄下的文件，可以通過這個提示，打開具體文件查看屬性，判斷其是否為惡意文件（圖5）。

而要查看進程的網(wǎng)絡連接信息，則可以切換到“網(wǎng)絡”選項卡，展開下方的“網(wǎng)絡活動”，可以看到進程連接的IP地址、連接端口等信息。通過IP地址可以對連接信息加以判斷，比如發(fā)現(xiàn)“mainfree.exe”進程連接的都是國外的I P，而本機自身需要的軟件并沒有需要連接到國外IP的，因此該進程就極為可疑（圖6）。

4. 借助第三方軟件實時查看

利用第三方軟件，可以在桌面上實時地查看后臺進程讀寫磁盤和連接網(wǎng)絡的有關信息。比如Process Hacke（http： // processhacker. sourceforge.net/），啟動后會自動最小化到任務欄托盤中，點擊程序圖標并選擇“I/O”，再點擊鎖定按鈕，還可以讓其始終在前臺顯示，這樣在桌面上就可以實時地看到當前讀寫磁盤的進程了（圖7）。

如果要查看后臺進程網(wǎng)絡連接的信息，在圖7所示的界面中點擊“I /O”旁邊的下拉按鈕，切換到“Network”即可（圖8）。而要查看更詳細的連接信息（如連接的端口等），則需要切換到程序主窗口，定位到“Network”選項卡中查看。