Longhorn版任務(wù)管理器的源文件包括三個(gè)程序文件，分別拷貝到“C:\windows\system32\dllcache”和“C:\windows\system32”中，這個(gè)時(shí)候操作系統(tǒng)會(huì)彈出一個(gè)“Windows 文件保護(hù)”對(duì)話框，點(diǎn)擊“取消”按鈕，接著點(diǎn)擊“是”按鈕就可以了。

　　以前我們經(jīng)常說(shuō)可以利用進(jìn)程來(lái)判斷系統(tǒng)中是否有木馬，但是舊版任務(wù)管理器在進(jìn)程分析和判斷方面功能過(guò)于弱小，對(duì)于一般用戶來(lái)說(shuō)掌握這種方法有一定難度。現(xiàn)在好了，Longhorn版“任務(wù)管理器”可以采用進(jìn)程名、進(jìn)程路徑及用戶名三方面相結(jié)合的方法來(lái)判斷病毒及木馬。

　　一般來(lái)說(shuō)木馬和病毒會(huì)采取兩種途徑潛伏在進(jìn)程中。一是直接利用系統(tǒng)現(xiàn)有進(jìn)程。比如explorer.exe、rundll32.exe這些進(jìn)程。還有一種就是通過(guò)改頭換面，生成新的進(jìn)程，但進(jìn)程名稱同系統(tǒng)基本進(jìn)程非常相似，不容易被發(fā)現(xiàn)。比如exlporer.exe、internet.exe。

　　后者主要是通過(guò)查看“映像名稱”來(lái)揪出木馬。而前者則需要分析進(jìn)程所在路徑。

　　在這里我們看到系統(tǒng)中有一個(gè)svchost.exe，這是WindowsXP中最熟悉的進(jìn)程之一。但是當(dāng)我們通過(guò)點(diǎn)擊鼠標(biāo)右鍵菜單的“打開(kāi)所在目錄”，卻意外發(fā)現(xiàn)這個(gè)進(jìn)程所在的路徑是C:\Windows。要知道這個(gè)進(jìn)程一般是在C:\windows\system32\下面。那么現(xiàn)在就可以初步判定這個(gè)進(jìn)程存在問(wèn)題。接下來(lái)通過(guò)專門的木馬工具進(jìn)行掃描。

　　其實(shí)還有更為簡(jiǎn)便的方法，利用“映像路徑”直接判斷進(jìn)程是否存在問(wèn)題。當(dāng)然你首先需要在新版任務(wù)管理器面板上面打開(kāi)“查看→選擇列”，勾選其中的“映像路徑”選項(xiàng)。然后回到“進(jìn)程”選項(xiàng)卡，就能夠直接看到svchost.exe進(jìn)程的路徑了，有沒(méi)有問(wèn)題就一目了然。

　　注意“用戶名”也是另外一個(gè)發(fā)現(xiàn)進(jìn)程是否正確的方法。如果是系統(tǒng)的進(jìn)程（“用戶名”為“SYSTEM”），則是正常的，如果是用戶的進(jìn)程，則可能是病毒了。比如，有一個(gè)svchost.exe進(jìn)程的用戶名是其它名字，那你就需要?dú)⒍玖恕?/p>

　　總的來(lái)說(shuō)，Longhorn版任務(wù)管理器在進(jìn)程管理方面得到了大大改善，靈活利用它，將幫助你迅速發(fā)現(xiàn)系統(tǒng)中是否存在病毒或者木馬，便于你及時(shí)進(jìn)行清除。

　　小資料

　　基本進(jìn)程：smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe、spoolsv.exe、explorer.exe、System Idle Process；
　　常見(jiàn)進(jìn)程：internat.exe、systray.exe、rundll32.exe、loadwc.exe、ddhelp.exe、mstask.exe、ctfmon.exe、taskmagr.exe、msnmsgr.exe、wmiexe.exe，