如何利用任务管理器揪找到暗藏的木马

深入解析Windows任务管理器：揭示隐藏进程与资源占用真相

Windows任务管理器作为我们管理进程的主要工具，它的“进程”选项卡为我们展示了当前系统的进程信息。在默认设置下，我们一般只能看到映像名称、用户名、CPU占用、内存使用等基本信息，而更为深入的如I/O读写、虚拟内存大小等信息却被隐藏了起来。这些被隐藏的信息，往往能在系统出现疑难杂症时，为我们提供破解的线索。

一、任务管理器助力查杀双进程木马

前段时间，朋友的电脑中了某木马病毒，通过任务管理器查出木马进程为“system.exe”，但在终止后，它又会重新加载，似乎无法彻底清除。这种情况很可能是遇到了双进程木马。这种木马有监护进程，会定时扫描，一旦发现被监护的进程遭到查杀就会复活。而且现在很多双进程木马互为监视，互相复活。要成功查杀这类木马，关键在于找到那“相依为命”的两个木马文件。借助任务管理器的PID标识可以帮助我们找到木马进程。

在任务管理器的“查看→选择列”中勾选“PID（进程标识符）”，这样就能看到每个进程的PID标识。当我们终止一个进程后，它再次启动时，通过PID标识就可以找到启动它的父进程。比如通过执行“taskkill /im system.exe /f”命令终止system.exe进程后，我们发现其PID为1536，而创建它的则是PID为676的进程——inter.exe。

找到元凶后，我们可以重新启动系统进入安全模式，使用搜索功能找到木马文件c＼windows＼inter.exe并将其删除。之前无法删除system.exe，主要是因为没有找到inter.exe并删除其启动键值，导致重新进入系统后inter.exe复活木马。

二、揪出狂写硬盘的P2P程序

单位的某台电脑一开机上网，硬盘就疯狂旋转。打开任务管理器，在“查看→选择列”中勾选“I/O写入”和“I/O写入字节”，发现一个陌生的进程hidel.exe虽然占用的CPU和内存并不大，但I/O的写入量却大得惊人。结束该进程后，硬盘读写恢复正常。

Windows任务管理器是一个强大的工具，只要我们能充分利用它提供的功能，就能更好地管理我们的系统资源，解决各种疑难杂症。