如何利用任务管理器揪找到暗藏的木马

Windows任务管理器是进程管理的核心工具，它提供了一个全面的视图来查看当前系统的进程信息。默认情况下，我们只能看到映像名称、用户名、CPU占用和内存使用等基础信息，但更多如I/O读写、虚拟内存大小等深层数据却被隐藏了起来。这些被隐藏的信息，在系统遭遇难以解释的故障时，可能会成为解决问题的关键所在。

让我们更深入地了解如何使用任务管理器来解决实际问题：

1. 查杀智能复活的双进程木马

朋友的电脑被某木马程序入侵，该木马通过任务管理器显示为“system.exe”，尝试终止它后，它又会重新出现。在安全模式下删除相关文件后，重启时它依然会重新加载，似乎无法彻底清除。这很可能是双进程木马在幕后操纵。这种木马有监护进程，会定时扫描，一旦发现被监护的进程被查杀就会复活。并且，现在的双进程木马常常互相监视，相互复活。

为了彻底消灭这种木马，我们需要找到这些“相依为命”的两个木马文件。这时，任务管理器的PID标识就派上了用场。通过它，我们可以找到木马进程的标识。在任务管理器的“查看→选择列”中勾选“PID（进程标识符）”，我们就可以看到每个进程的PID。当我们终止一个进程后，通过PID标识，我们可以找到创建它的父进程。例如，通过命令提示符执行“taskkill /im system.exe /f”命令后，我们可以看到system.exe的PID为1536，其创建者是PID为676的internet.exe进程。找到源头后，我们可以进入安全模式，删除木马文件internet.exe。之前无法删除system.exe主要是因为没删除internet.exe并清除其启动键值。

2. 发现疯狂读写硬盘的P2P程序

单位的一台电脑一开机上网，硬盘灯就持续闪烁，硬盘疯狂旋转。看起来有程序在读取数据，但杀毒软件并未发现病毒或木马。

通过任务管理器，我们发现一个陌生的进程hidel.exe。虽然它占用的CPU和内存不大，但I/O的写入量却异常巨大。结束这个进程后，硬盘读写恢复正常。这个陌生的进程原来是罪魁祸首。我们在使用任务管理器时，可以通过“查看→选择列”同时勾选“I/O写入”和“I/O写入字节”两项，以便及时发现并处理这类问题。

以上两个例子展示了任务管理器的重要性和使用技巧。在日常使用中，我们可以充分利用任务管理器来管理进程，优化系统性能，及时发现并解决潜在问题。