上周我的电脑突然卡成PPT,打开任务管理器一看,一个叫“Windows Update Service”的进程占着80%的CPU。我第一反应是更新在后台跑,但奇怪的是,我明明关掉了自动更新。实测后发现,这货是个伪装成系统进程的挖矿木马。今天我就拿这次经历,手把手教你怎么用任务管理器揪出这种“隐形蛀虫”。
第一步:观察进程名称和路径
在任务管理器里右键可疑进程,选“打开文件所在位置”。真的系统进程通常位于C:\Windows\System32,而伪装进程往往藏在用户文件夹或临时目录。我那次点开,发现文件在C:\Users\我的用户名\AppData\Local\Temp下,路径明显不对。接着看数字签名:右键进程属性,点击“数字签名”页,如果没有签名或签名无效,基本可以断定是冒牌货。
第二步:比对CPU占用波动规律
真实的系统服务(比如svchost.exe)CPU占用一般平稳或偶尔脉冲,而挖矿木马会持续高占用,且在你打开任务管理器瞬间会突然下降(因为它在检测调试工具)。我那次就发现,只要我按Ctrl+Shift+Esc,那个进程的CPU立马从80%掉到5%,等十几秒后又回升。用性能监视器(perfmon)持续记录,能更清楚看到这种“隐身”模式。
第三步:用资源监视器查线程关联
任务管理器有时隐藏了子进程。按Win+R输入resmon打开资源监视器,在CPU选项卡里勾选那个可疑进程,展开它关联的线程。我那次发现它居然在疯狂读写一个叫做“msvcr120.dll”的异常文件,而正常系统服务不会这么做。杀毒软件查不出?直接把进程结束,然后删除那个文件夹,再扫描一次全盘,世界清净了。
问:任务管理器里CPU占用总和超过100%,正常吗?
答:正常。任务管理器显示的是每个逻辑核心的占用率之和,如果你有8核16线程,上限就是1600%。超过100%只说明多核在同时工作,不代表系统过载。你可以切换到“性能”标签查看整体CPU使用率,那个才是真实的百分比。
问:为什么某些进程占CPU很高,但任务管理器里看不到它的名字?
答:可能被系统服务宿主进程(svchost.exe)托管了,或者进程名字被隐藏。打开资源监视器,在CPU列表里按“映像名称”排序,找占CPU高的svchost.exe,然后点开它,在“服务”栏里能看到具体绑定的服务名称,比如“WSearch”(Windows搜索)。如果这个服务你不需要,可以直接禁用。
问:用任务管理器结束高CPU进程后,系统不稳定怎么办?
答:结束前先看看进程的PID(在任务管理器“详细信息”标签里找到PID列),然后用管理员身份运行命令提示符,输入taskkill /f /pid [PID]强制结束。如果之后电脑蓝屏或重启,可能是杀掉了关键系统进程。可以回退到上一步,用进程树结束(右键进程,选“结束进程树”)只结束子进程,或者重启电脑让系统自动恢复。建议结束前先备份重要数据。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 2305938578@qq.com 举报,一经查实,本站将立刻删除,本文链接:https://www.spubm.cn/71009.html
