最近有網友將任務管理器從Longhorn測試版操作系統(tǒng)中剝離出來，放在網上供下載（http://www.cniti.com/soft/epc
/2004-10/taskmgr.rar）。這個版本的任務管理器可以直接升級WindowsXP/Server 2003的任務管理器，而且同原有版本相比，在識別木馬和分析系統(tǒng)方面的能力大大增強。今天就讓我們來看看這個版本的任務管理器是如何揪出木馬的。
　　Longhorn版任務管理器的源文件包括三個程序文件，分別拷貝到“C:\windows\system32\dllcache”和“C:\windows\system32”中，這個時候操作系統(tǒng)會彈出一個“Windows 文件保護”對話框，點擊“取消”按鈕，接著點擊“是”按鈕就可以了。
　　以前我們經常說可以利用進程來判斷系統(tǒng)中是否有木馬，但是舊版任務管理器在進程分析和判斷方面功能過于弱小，對于一般用戶來說掌握這種方法有一定難度。現(xiàn)在好了，Longhorn版“任務管理器”可以采用進程名、進程路徑及用戶名三方面相結合的方法來判斷病毒及木馬。
　　一般來說木馬和病毒會采取兩種途徑潛伏在進程中。一是直接利用系統(tǒng)現(xiàn)有進程。比如explorer.exe、rundll32.exe這些進程。還有一種就是通過改頭換面，生成新的進程，但進程名稱同系統(tǒng)基本進程非常相似，不容易被發(fā)現(xiàn)。比如exlporer.exe、internet.exe。
　　后者主要是通過查看“映像名稱”來揪出木馬。而前者則需要分析進程所在路徑。
　　在這里我們看到系統(tǒng)中有一個svchost.exe，這是WindowsXP中最熟悉的進程之一。但是當我們通過點擊鼠標右鍵菜單的“打開所在目錄”，卻意外發(fā)現(xiàn)這個進程所在的路徑是C:\Windows。要知道這個進程一般是在C:\windows\system32\下面。那么現(xiàn)在就可以初步判定這個進程存在問題。接下來通過專門的木馬工具進行掃描。
　　其實還有更為簡便的方法，利用“映像路徑”直接判斷進程是否存在問題。當然你首先需要在新版任務管理器面板上面打開“查看→選擇列”，勾選其中的“映像路徑”選項。然后回到“進程”選項卡，就能夠直接看到svchost.exe進程的路徑了，有沒有問題就一目了然。
　　注意“用戶名”也是另外一個發(fā)現(xiàn)進程是否正確的方法。如果是系統(tǒng)的進程（“用戶名”為“SYSTEM”），則是正常的，如果是用戶的進程，則可能是病毒了。比如，有一個svchost.exe進程的用戶名是其它名字，那你就需要殺毒了。
　　總的來說，Longhorn版任務管理器在進程管理方面得到了大大改善，靈活利用它，將幫助你迅速發(fā)現(xiàn)系統(tǒng)中是否存在病毒或者木馬，便于你及時進行清除。

　　小資料
　　基本進程：smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe、spoolsv.exe、explorer.exe、System Idle Process；
　　常見進程：internat.exe、systray.exe、rundll32.exe、loadwc.exe、ddhelp.exe、mstask.exe、ctfmon.exe、taskmagr.exe、msnmsgr.exe、wmiexe.exe。