從Windows XP工作管理員,檢查Process的清單

權限 windows windows xp 微軟網路伺服器 windows server service 系統管理 2008 2003 資訊系統

guess41 2010-08-04 09:28:20 ‧ 9346 瀏覽

分享至

Hi All
請問一下大家
從Windows XP工作管理員,檢查到的Process list是不是
就是目前所有正在跑的"所有Process"?
還是需要用procexp.exe或是procmon.exe來監看呢?
會有所謂的隱藏的process嗎?
懷疑電腦好像中了木馬

PS:使用Administrator權限的AP帳戶登入

謝謝

小成 iT邦高手 10 級 ‧ 2010-08-04 10:37:02 檢舉

如果是rootkit
可能就不會出現在工作管理員的列表上

又如果他是用HOOK之類的技術把DLL注入到PROCESS中
也是會看不到的

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

taylorchen

iT邦新手 3 級 ‧ 2010-08-04 14:59:59

最佳解答

建議使用sysinternal所提供的工具(無須安裝)
http://download.sysinternals.com/Files/ProcessExplorer.zip

也有線上執行版本
http://live.sysinternals.com/<toolname> or \\live.sysinternals.com\tools\<toolname>.

Process Explorer
v12.04 (June 8, 2010)
Find out what files, registry keys and other objects processes have open, which DLLs they have loaded, and more. This uniquely powerful utility will even show you who owns each process.

回應
分享
檢舉

登入發表回應

jay0123

iT邦高手 1 級 ‧ 2010-08-05 10:31:38

懷疑電腦好像中了木馬

請 google 一下 Tcpview
這支程式可以讓你知道目前所有的連線
若有怪怪的連線就可查看是什麼程式在連
就不用懷疑啦

回應
分享
檢舉

登入發表回應

yuhsheng

iT邦新手 2 級 ‧ 2010-08-06 19:48:04

多用幾支其它工具,會得到比較準備的結果,因木馬程式可能會針對特定程式作規避
其它工具如AnVir Task Manager Free,System explorer等
另針對Rootkit,可使用rootkit revealer, gmer, sophos anti-rootkit, Trend Rootkit Buster等工具來查找.