在Windows 98或更高版本中，使用 Ctrl+Alt+Delete 组合键就可以直接调出。不过如果接连按了两次的话，可能会导致Windows系统重新启动，假如此时还未保存数据的话，恐怕就欲哭无泪了。

在Windows 2000中点击 Ctrl+Alt+Delete 组合键后点“任务管理器”。

在Windows XP中点击 Ctrl+Alt+Delete或是Ctrl+Shift+Esc 组合键后点“任务管理器”。也可以用滑鼠右键点击系统列选择“任务管理器”。也可以在开始→运行里输入taskmgr(或taskmgr.exe）回车，还可以点击“Ctrl+Alt+.“此处的“.”为小键盘区符号。

在Windows Vista中使用Ctrl+Shift+Esc 组合键调出， 也可以用滑鼠右键点击系统列选择“任务管理器”。

在Windows7及Windows8中使用Ctrl+Shift+Esc 组合键调出，也可以用滑鼠右键点击系统列选择“任务管理器”，另外Ctrl+Alt+Delete 组合键也可以出现，只不过还要回到锁定界面就是了。

其实，我们可以选择一种更简单的方法，就是右键单击系统列的空白处，然后单击选择“任务管理器”命令。或者，按下“Ctrl+Shift+Esc”组合键也可以打开任务管理器，赶快试试吧。当然，你也可以为\Windows\System32\taskmgr.exe档案在桌面上建立一个捷径，然后为此捷径设定一个热键，以后就可以一键打开任务管理器了。

小提示：在Windows XP中，如果未使用欢迎萤幕方式登录系统，那幺按下“Ctrl+Alt+Del”组合键，弹出的只是“Windows安全”视窗，必须选择“任务管理器”才能打开。

使用“运行”对话框打开任务管理器。

一，使用组合键“Win+R”键打开运行对话框。

输入taskmgr(或taskmgr.exe），单击运行，即打开。

二，成功打开任务管理器。

任务管理器的用户界面提供了进程、性能、套用历史记录、开机启动项列表、用户、详细信息与服务等选单项。在不能使用滑鼠的情况下，可以在选中具体的套用，按下delete按钮，即可强制关闭指定套用。

这里显示了所有当前正在运行的应用程式，不过它只会显示当前已打开视窗的应用程式，而QQ、MSN Messenger等最小化至系统托盘区的应用程式则并不会显示出来。

你可以在这里点击“结束任务”按钮直接关闭某个应用程式，如果需要同时结束多个任务，可以按住Ctrl键複选；点击“新任务”按钮，可以直接打开相应的程式、资料夹、文档或Internet资源，如果不知道程式的名称，可以点击“浏览”按钮进行搜寻，其实这个“新任务”的功能看起来有些类似于开始选单中的运行命令。

这里显示了所有当前正在运行的进程，包括应用程式、后台服务等，那些隐藏在系统底层深处运行的病毒程式或木马程式都可以在这里找到，当然前提是你要知道它的名称。找到需要结束的进程名，然后执行右键选单中的“结束进程”命令，就可以强行终止，不过这种方式将丢失未保存的数据，而且如果结束的是系统服务，则系统的某些功能可能无法正常使用。

Windows的任务管理器只能显示系统中当前进行的进程，而Process Explorer可以树状方式显示出各个进程之间的关係，即某一进程启动了哪些其他的进程，还可以显示某个进程所调用的档案或资料夹，如果某个进程是Windows服务，则可以查看该进程所注册的所有服务。

从任务管理器中我们可以看到计算机性能的动态概念，例如CPU和各种记忆体的使用情况。CPU使用情况：表明处理器工作时间百分比的图表，该计数器是处理器活动的主要指示器，查看该图表可以知道当前使用的处理时间是多少。CPU使用记录：显示处理器的使用程式随时间的变化情况的图表，图表中显示的採样情况取决于“查看”选单中所选择的“更新速度”设定值，“高”表示每秒2次，“正常”表示每秒1次，“低”表示每四秒1次，“暂停”表示不自动更新。

PF使用情况：PF是页面档案page file的简写。但这个数字常常会让人误解，以为是系统当时所用页面档案大小。正确含义则是正在使用的记忆体之和，包括物理记忆体和虚拟记忆体。那幺如何得知实际所使用的页面档案大小昵？一般用第三方软体，比如PageFile Monitor，也可以通过windows控制台来看。本人的页面档案预设了。

页面档案使用记录：显示页面档案的量随时间的变化情况的图表。也可以使用“更新速度”设定项。

总数：显示计算机上正在运行的句柄、执行绪、进程的总数。

执行记忆体：分配给程式和作业系统的记忆体，由于虚拟记忆体的存在，“峰值”可以超过最大物理记忆体，“总数”值则与“页面档案使用记录”图表中显示的值相同。

句柄数：所谓句柄实际上是一个数据，是一个Long （整长型）的数据。

句柄是WINDOWS用来标识被应用程式所建立或使用的对象的唯一整数，WINDOWS使用各种各样的句柄标识诸如应用程式实例，视窗，控制，点阵图，GDI对象等等。WINDOWS句柄有点象C语言中的档案句柄。

从上面的定义中的我们可以看到，句柄是一个标识符，是拿来标识对象或者项目的，它就象我们的姓名一样，每个人都会有一个，不同的人的姓名不一样，但是，也可能有一个名字和你一样的人。从数据类型上来看它只是一个16位的无符号整数。应用程式几乎总是通过调用一个WINDOWS函式来获得一个句柄，之后其他的WINDOWS函式就可以使用该句柄，以引用相应的对象。

如果想更透彻一点地认识句柄，我可以告诉大家，句柄是一种指向指针的指针。我们知道，所谓指针是一种记忆体地址。应用程式启动后，组成这个程式的各对象是住留在记忆体的。如果简单地理解，似乎我们只要获知这个记忆体的首地址，那幺就可以随时用这个地址访问对象。但是，如果您真的这样认为，那幺您就大错特错了。我们知道，Windows是一个以虚拟记忆体为基础的作业系统。在这种系统环境下，Windows记忆体管理器经常在记忆体中来回移动对象，依此来满足各种应用程式的记忆体需要。对象被移动意味着它的地址变化了。如果地址总是如此变化，我们该到哪里去找该对象呢?

为了解决这个问题，Windows作业系统为各应用程式腾出一些记忆体储地址，用来专门登记各套用对象在记忆体中的地址变化，而这个地址（存储单元的位置）本身是不变的。Windows记忆体管理器在移动对象在记忆体中的位置后，把对象新的地址告知这个句柄地址来保存。这样我们只需记住这个句柄地址就可以间接地知道对象具体在记忆体中的哪个位置。这个地址是在对象装载（Load）时由系统分配给的，当系统卸载时（Unload）又释放给系统。

句柄地址（稳定）→记载着对象在记忆体中的地址————→对象在记忆体中的地址（不稳定）→实际对象

本质：WINDOWS程式中并不是用物理地址来标识一个记忆体块，档案，任务或动态装入模组的，相反的，WINDOWS API给这些项目分配确定的句柄，并将句柄返回给应用程式，然后通过句柄来进行操作。

但是必须注意的是程式每次从新启动，系统不能保证分配给这个程式的句柄还是原来的那个句柄，而且绝大多数情况的确不一样的。假如我们把进入电影院看电影看成是一个应用程式的启动运行，那幺系统给应用程式分配的句柄总是不一样，这和每次电影院售给我们的门票总是不同的一个座位是一样的道理。

执行绪是指程式的一个指令执行序列，WIN32 平台支持多执行绪程式，允许程式中存在多个执行绪。在单 CPU 系统中，系统把 CPU 的时间片按照调度算法分配给各个执行绪，因此各执行绪实际上是分时执行的，在多 CPU 的 Windows NT 系统中， 同一个程式的不同执行绪可以被分配到不同的 CPU 上去执行。由于一个程式的各执行绪是在相同的地址空间运行的，因此设及到了如何共享记忆体， 如何通信等问题，这样便需要处理各执行绪之间的同步问题，这是多执行绪编程中的一个难点。

执行绪，也被称为轻量进程（lightweight processes）。计算机科学术语，指运行中的程式的调度单位。

执行绪是进程中的实体，一个进程可以拥有多个执行绪，一个执行绪必须有一个父进程。执行绪不拥有系统资源，只有运行必须的一些数据结构；它与父进程的其它执行绪共享该进程所拥有的全部资源。执行绪可以创建和撤消执行绪，从而实现程式的并发执行。一般，执行绪具有就绪、阻塞和运行三种基本状态。

在多中央处理器的系统里，不同执行绪可以同时在不同的中央处理器上运行，甚至当它们属于同一个进程时也是如此。大多数支持多处理器的作业系统都提供编程接口来让进程可以控制自己的执行绪与各处理器之间的关联度（affinity）。

进程是程式在一个数据集合上运行的过程（注：一个程式有可能同时属于多个进程），它是作业系统进行资源分配和调度的一个独立单位，进程可以简单的分为系统进程（包括一般Windows程式和服务进程）和用户进程。

物理记忆体：计算机上安装的总物理记忆体，也称RAM，“可用数”物理记忆体中可被程式使用的空余量。但实际的空余量要比这个数值略大一点，因为物理记忆体不会在完全用完后才去转用虚拟记忆体的。也就是说这个空余量是指使用虚拟记忆体（pagefile）前所剩余的物理记忆体。“系统快取”被分配用于系统快取用的物理记忆体量。主要来存放程式和数据等。一但系统或者程式需要，部分记忆体会被释放出来，也就是说这个值是可变的。

认可用量总数：其实就是被作业系统和正运行程式所占用记忆体总和，包括物理记忆体和虚拟记忆体（page file）。它和上面的PF使用率是相等的。“限制”指系统所能提供的最高记忆体量，包括物理记忆体（RAM）和虚拟（page file）记忆体。“峰值”指一段时间内系统曾达到的记忆体使用最高值。如果这个值接近上面的“限制”的话，意味着要幺你增加物理记忆体，要幺增加pagefile，否则系统会给你颜色看的！

核心记忆体：作业系统核心和设备驱动程式所使用的记忆体，“分页数”是可以複製到页面档案中的记忆体，一旦系统需要这部分物理记忆体的话，它会被映射到硬碟，由此可以释放物理记忆体；“未分页”是保留在物理记忆体中的记忆体，这部分不会被映射到硬碟，不会被複製到页面档案中。

这里显示了本地计算机所连线的网路通信量的指示，使用多个网路连线时，我们可以在这里比较每个连线的通信量，当然只有安装网卡后才会显示该选项。

这里显示了当前已登录和连线到本机的用户数、标识（标识该计算机上的会话的数字ID）、活动状态（正在运行、已断开）、客户端名，可以点击“注销”按钮重新登录，或者通过“断开”按钮连线与本机的连线，如果是区域网路用户，还可以向其他用户传送讯息呢。

在Windows XP SP3中，如果只有Administrator一个用户，则不会显示该选项。

任务的详细信息，仅在Windows 8及以后版本中存在。

其实，任务管理器除了终止任务、结束进程、查看性能外，它还可以完成很多更高级的特别任务呢。下面，我们通过几个实例来介绍任务管理器的扩展套用：

切换到“应用程式”标籤页，按住Ctrl键同时选择需要同时最小化的应用程式项目，然后点击这些项目中的任意一个，从右键选单中选择“最小化”命令即可，这里同时还可以完成层叠、横向平铺、纵向平铺等操作。

实例二：降低BT软体的资源占用率

运行BT软体时，往往会占用大量的系统资源，你会看到硬碟灯不停闪烁并伴随着飞速转动的噪音，此时无论是浏览网页或是运行其他应用程式，肯定会有系统停滞的感觉。

打开“任务管理器→进程”视窗，选择BT软体的进程名，然后从右键选单中选择“设定优先权”命令，这里可以选择实时、高、高于标準、标準、低于标準、低等不同级别，请根据实际情况进行设定，例如设定为“低于标準”可以降低进程的优先权别，从而让Windows为其他进程分配更多的资源。

有热心网友从Longhorn中将任务管理器剥离出来并提供下载，我们可以藉此来打造一个增强版本的任务管理器。解压缩下载档案，会得到Taskkill.exe、Tasklist.exe、Taskmgr.exe等3个档案，首先覆盖\Windows\System32\Dllcahe\下的同名档案，覆盖前请事先备份源档案，接下来继续覆盖\Windows\System32\下的同名档案，当弹出“Windows档案保护”对话框时，选择“取消”按钮。

更换后的任务管理器不仅程式图示发生了变化，右击进程，可以发现在右键选单中增加了打开所在目录、创建转储档案两个命令，而“查看→选择列”中增加了命令行、映像路径两个项目，前者可以查看所显示的进程是否被伪装，后者则可以查看进程的档案路径。

实例四：打开处理器的超执行绪

P4处理器的超执行绪技术（Hyper-ThreadingTechnology）其实是相当于将一颗处理器分为两个虚拟的处理器，简单地说，实现超执行绪需要处理器、主机板、作业系统三方面的支持。如果你使用的是Windows XP/Server 2003，而且确定自己的主机板和处理器支持超执行绪，那幺可以切换到“性能”标籤页，如果这里显示两个CPU使用记录图表的话，说明你的处理器确确实实已经打开超执行绪。

当然，我们也可以在开机信息中查看超执行绪支持情况，一般会显示CPU1、CPU2两个处理器名称，或者启动后进入“设备管理器”，这样同样会显示两个处理器的信息。

任务管理器可以完成如此强大的任务，如果你使用的是公用计算机，而又不希望他人私自操作任务管理器，可以在“开始→运行”框中键入Gpedit.msc命令打开组策略视窗，找到“本地计算机策略→用户配置→管理模板→系统→Ctrl+Alt+Del选项”项，然后在右侧视窗中选择“删除任务管理器”项，将其设定为“已启用”，以后按下“Ctrl+Alt+Del”组合键时就无法操作任务管理器了。

当然，通过文中提到的其他两个方法还是可以正常操作任务管理器的，一劳永逸的解决办法是为Taskmgr.exe档案设定用户授权，当然必须使用NTFS档案系统才行，呵呵。

也可以修改注册表来禁用：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system

新建Dword值：DisableTaskMgr=1（禁用）DisableTaskMgr=0（解禁）

句柄：用来惟一标识资源（例如档案中注册表项）的值，以便程式可以访问它。

执行绪：在运行程式指令的进程的对象，执行绪允许在进程中进行并发操作，并使一个进程能够在不同处理器上同时运行其程式的不同部分。

进程：一个可执行程式（例如资源管理器）或者一种服务（例如MSTask)

6.当任务管理器的界面出现不正常，如性能.进程的切换栏不见了，无法最大化最小化时等等时，你可以採取以下措施恢复如无管理器的界面。操作如下：在框线上空白处双击即可！！

Windows系统的任务管理器是大家经常会用到的一个程式，通常它主要被用来管理计算机进程或者查看计算机实时的工作状态。实际上它还有不少的妙用。

奇招一：在网咖也能“运行”

在网咖“混”的朋友们都知道，网咖的机子通常来说都会将运行对话框禁止掉，如果大家碰上某些情况需要使用运行对话框就只能束手无策了。其实这个时候任务管理器能被临时用来代替运行对话框的作用。

先按住“Ctrl+Alt+Del”组合键尝试一下能否调出任务管理器，能调出就好办了，我们依次点击任务管理器的选单“档案→新建任务”，弹出“创建新任务”（图1）视窗，输入内容试试看，它跟运行对话框效果相同啊！

奇招二：快速刷新注册表

许多软体在安装后会提示我们需要重新启动才能让软体正常使用，其实大部分时候这些软体只是在“小题大做”，因为重启仅仅是为了让注册表更新而已，我们可以利用任务管理器来更快地让软体生效。

方法为：在“进程”选项卡中用滑鼠选择“explorer.exe”进程，然后点击右下角的“结束进程”按钮将它结束，这个时候桌面显示消失了。不必惊慌，我们在“创建新任务”视窗中输入“explorer.exe”。运行即可让桌面恢复显示，同时计算机的注册表也会被更新，软体就能正常使用了。

奇招三：最佳化游戏运行

许多朋友都和笔者一样还在使用1GB以下的记忆体，所以当我们玩3D游戏的时候就会觉得运行有些卡，这个时候除了使关闭游戏以外的所有程式以外，似乎再没有其他节省记忆体的办法了，其实我们可以在运行游戏前先在任务管理器中结束“explorer.exe”进程，因为它在很多情况下可都是记忆体耗用大户，结束它可为我们的游戏增加几十MB的可用记忆体，游戏效果当然会有更多改善。

不过此时没了桌面显示，启动游戏的方法也有所改变，我们需要打开“档案→新建任务”，然后点击“浏览”按钮进入游戏目录载入游戏主程式，点击“确定”即可运行游戏。

在W2K/XP中，同时按下Ctrl+Alt+Del键，可以打开Windows任务管理器，单击“进程”，可以看到很多正在运行的EXE进程：

【System Idle Process】：这是关键进程，只有16kB，循环统计CPU的空闲度，这个值越大越好。该进程不能被结束，该进程似乎没低于过25%，大多数情况下保持50%以上。

【system】：system是windows页面记忆体管理进程，拥有0级优先。（当system后面出现.exe时是netcontroller木马病毒生成的档案，出现在c:\\windows目录下，建议将其删除。）

【explorer】：explorer.exe控制着标準的用户界面、进程、命令和桌面等。explorer.exe总是在后台运行，根据系统的字型、背景图片、活动桌面等情况的不同，通常会消耗5.8MB到36MB记忆体不等。（explorer.exe和Internet Explorer可不同）

【IEXPLORE】：iexplore.exe是Microsoft对网际网路的主要编程器.，这个微软视窗套用让你畅游网路有了地方。iexplore.exe是非常必要的过程，不应终止，除非怀疑造成问题。它的作用是加快我们再一次打开IE的速度，当关闭所有IE视窗时，它将依然在后台运行。当我们用它上网冲浪时，占有7.3MB甚至更多的记忆体，记忆体随着打开浏览器视窗的增加也增多。

【ctfmon】：这是安装了WinXP后，在桌面右下角显示的语言栏。如果不希望它出现，可通过下面的步骤取消：控制台－区域和语言选项－语言－详细信息－文字服务和输入语言－（首选项）语言栏－语言栏设定－把在桌面上显示语言栏的勾取消。这样会为你节省4MB多的记忆体。

【wowexec】：用于支持16位作业系统的关键进程，不能终止。

【csrss】：这是Windows的核心部份之一，全称为Client Server Process。这个只有4K的进程经常消耗3MB到6MB左右的记忆体，不能终止，建议不要修改此进程。

【dovldr32】：为了节省记忆体，可以将禁止，它占用大约2.3MB到2.6MB的记忆体。

【winlogon】：这个进程处理登录和注销任务，事实上，这个进程是必需的，它的大小和你登录的时间有关。

【services】：services.exe是微软windows作业系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程式对你系统的正常运行是非常重要的，该进程系统禁止结束。

【svchost】：Svchost.exe是属于微软windows作业系统的系统程式，用于执行dll档案。这个程式对你系统的正常运行是非常重要的。开机出现“Generic Host Process for Win32 Services遇到问题需要关闭”一般都是说的这个进程找不到dll档案所致。

【msmsgs】：这是微软的Windows Messengr(即时通信软体）着名的MSN进程，在WinXP的家庭版和专业版里面绑定的，如果你还运行着Outlook和MSN Explorer等程式，该进程会在后台运行支持所有这些微软号称的很Cool的，NET功能等新技术。

【msn6】：这是微软在WinXP里面的MSN浏览器进程，当msmsgs.exe运行后才有这个进程。

【Point32】：这是安装了特殊的滑鼠软体（Intellimouse等等）后启动的等程式，这不是系统必须的进程，通过用户许可协定安装。由于在WinXP里面内建了很多滑鼠新功能，所以，就没有必要在系统后台运行，既浪费1.1MB到1.6MB的记忆体，还要在系统列占个地方！

【spoolsv】：用于将windows印表机任务传送给本地印表机，关闭以后一会又自己开开。

【Promon】：这是Intel系列网卡配置和安装的程式，在系统列显示图示控制程式，占据大约656KB到1.1MB的记忆体。

【smss】：只有45KB的大小却占据着300KB到2MB的记忆体空间，这是一个Windows的核心进程之一，是windowsNT核心的会话管理程式。

【taskmgr】：如果你看到了这个进程在运行，其实就是看这个进程的“任务管理器”本身。它大约占用了3.2MB的记忆体，当你最佳化系统时，不要忘了把它也算进去。

【Tastch】：在XP系统中安装了powerToys后会出现此进程，按Alt+Tab键显示切换图示，大约占用1.4MB到2MB的记忆体空间。

【lsass】：本地安全许可权服务。是微软安全机制的系统进程，主要处理一些特殊的安全机制和登录策略。

【atievxx】：这是随ati显示卡硬体产品驱动一起安装而来。它不是纯粹的系统程式，但如果终止它，可能会导致不可知的问题。

【alg】：这是微软windows作业系统自带的程式。它用于处理微软windows网路连线共享和网路连线防火墙，这个程式对你系统的正常运行是非常重要的。

非windows任务管理器：大多数人会想起Windows任务管理器，但是Windows的这个任务管理器实在是太简陋了，因此很多人转而使用第三方软体。在网上的流行的第三方任务管理器比较多，比如WinProc、Windows Processes、Windows进程管理器等。

让我们从任务管理器中抓病毒和木马

任何病毒和木马存在于系统中，都无法彻底和进程脱离关係，即使採用了隐藏技术，也还是能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那幺多，哪些是正常的系统进程，哪些是木马的进程，而经常被病毒木马假冒的系统进程在系统中又扮演着什幺角色呢？请看本文。

当我们确认系统中存在病毒，但是通过“任务管理器”查看系统中的进程时又找不出异样的进程，这说明病毒採用了一些隐藏措施，总结出来有三法

系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发现过系统中存在这样的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下，发现区别了幺？这是病毒经常使用的伎俩，目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却完全不同。又或者多一个字母或少一个字母，例如explorer.exe和iexplore.exe本来就容易搞混，再出现个iexplorer.exe就更加混乱了。如果用户不仔细，一般就忽略了，病毒的进程就逃过了一劫。

如果用户比较心细，那幺上面这招就没用了，病毒会被就地正法。于是乎，病毒也学聪明了，懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe，和正常的系统进程名分毫不差。那幺这个进程是不是就安全了呢？非也，其实它只是利用了“任务管理器”无法查看进程对应执行档这一缺陷。我们知道svchost.exe进程对应的执行档位于“C:\WINDOWS\system32”目录下（Windows2000则是C:\WINNT\system32目录），如果病毒将自身複製到“C:\WINDOWS\”中，并改名为svchost.exe，运行后，我们在“任务管理器”中看到的也是svchost.exe，和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗？但在Vista（或更高版本）中的windows任务管理器可以看到进程的路径，病毒的这招就没用了.

除了上文中的两种方法外，病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒採用了进程插入技术，将病毒运行所需的dll档案插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了，除非我们藉助专业的进程检测工具，否则要想发现隐藏在其中的病毒是很困难的。

上文中提到了很多系统进程，这些系统进程到底有何作用，其运行原理又是什幺？下面我们将对这些系统进程进行逐一讲解，相信在熟知这些系统进程后，就能成功破解病毒的“以假乱真”和“偷梁换柱”了。

常被病毒冒充的进程名有：svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由svchost.exe进程来启动。而系统服务是以动态程式库（DLL）形式实现的，它们把可执行程式指向svchost，由svchost调用相应服务的动态程式库来启动服务。我们可以打开“控制台”→“管理工具”→服务，双击其中“ClipBook”服务，在其属性面板中可以发现对应的执行档路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”服务，可以发现其执行档路径为“C:\WINDOWS\system32\svchost.exe-kLocalService”，而“Server”服务的执行档路径为“C:\WINDOWS\system32\svchost.exe-knetsvcs”。正是通过这种调用，可以省下不少系统资源，因此系统中出现多个svchost.exe，其实只是系统的服务而已。

在Windows2000系统中一般存在2个svchost.exe进程，一个是RPCSS(RemoteProcedureCall）服务进程，另外一个则是由很多服务共享的一个svchost.exe；而在WindowsXP中，则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个，就要小心了，很可能是病毒假冒的，检测方法也很简单，使用一些进程管理工具，例如Windows最佳化大师的进程管理功能，查看svchost.exe的执行档路径，如果在“C:\WINDOWS\system32”目录外，那幺就可以判定是病毒了。

常被病毒冒充的进程名有：iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束，那幺包括系统列、桌面、以及打开的档案都会统统消失，单击“任务管理器”→“档案”→“新建任务”，输入“explorer.exe”后，消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。

explorer.exe进程默认是和系统一起启动的，其对应执行档的路径为windows所在目录，除此之外则为病毒。

iexplore.exe

常被病毒冒充的进程名有：iexplorer.exe、iexploer.exe、iexplorer.exe进程和上文中的explorer.exe进程名很相像，因此比较容易搞混，其实iexplore.exe是Microsoft Internet Explorer所产生的进程，也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了，iexplore.exe进程名的开头为“ie”，就是IE浏览器的意思。

iexplore.exe进程对应的可执行程式位于%ProgramFiles%\InternetExplorer目录中（64位系统则是在%ProgramFiles%\InternetExplorer或是%ProgramFiles (X86)%\InternetExplorer中），存在于其他目录则为病毒，除非你将该资料夹进行了转移。此外，有时我们会发现没有打开IE浏览器的情况下，系统中仍然存在iexplore.exe进程，这要分两种情况：1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用防毒软体进行查杀吧。

rundll32.exe

常被病毒冒充的进程名有：rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL档案中的内部函式，系统中存在多少个Rundll32.exe进程，就表示Rundll32.exe启动了多少个的DLL档案。其实rundll32.exe我们是会经常用到的，他可以控制系统中的一些dll档案，举个例子，在“命令提示符”中输入“rundll32.exeuser32.dll,LockWorkStation”，回车后，系统就会快速切换到登录界面了。rundll32.exe的路径为“C:\Windows\system32”（或X:\Windows\system32,"X"代表windows所在分区），在别的目录则可以判定是病毒。

常被病毒冒充的进程名有：spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“PrintSpooler”所对应的可执行程式，其作用是管理所有本地和网路列印伫列及控制所有列印工作。如果此服务被停用，计算机上的列印将不可用，同时spoolsv.exe进程也会从计算机上消失。如果你不存在印表机设备，那幺就把这项服务关闭吧，可以节省系统资源。停止并关闭服务后，如果系统中还存在spoolsv.exe进程，这就一定是病毒伪装的了。

限于篇幅，关于常见进程的介绍就到这里，我们平时在检查进程的时候如果发现有可疑，只要根据两点来判断：

1.仔细检查进程的档案名称；

2.检查其路径。

通过这两点，一般的病毒进程肯定会露出马脚。

找个管理进程的好帮手

系统内置的“任务管理器”功能太弱，肯定不适合查杀病毒。因此我们可以使用专业的进程管理工具，例如Procexp。Procexp可以区分系统进程和一般进程，并且以不同的颜色进行区分，让假冒系统进程的病毒进程无处可藏。

运行Procexp后，进程会被分为两大块，“SystemIdleProcess”下属的进程属于系统进程，

explorer.exe”下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon.exe等都隶属于“SystemIdleProcess”，如果你在“explorer.exe”中发现了svchost.exe，那幺不用说，肯定是病毒冒充的。

当任务管理器被系统管理员禁用时，如何解禁？其实方法很简单，现提供方法如下：

点击“开始→运行”，键入“regedit”回车打开“注册表编辑器”，依次展开[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]，检查其下一个名为“System”的项，在“任务管理器”被停用的情况下，“System”项下应该有一个名为“DisableTaskMgr”的字串符值，键值为1，将1改成0；或者乾脆删除“System”项，就能解除“任务管理器”的锁定。

其实利用“组策略”或者注册表来限制用户运行“任务管理器”或者“注册表编辑器”都是不太严谨的做法，因为只要下载安装第三方的进程管理工具及注册表编辑器（比如Icesword）就能实现相同的目的了。

Windows任务管理器是大家对进程进行管理的主要工具，在它的“进程”选项卡中能查看当前系统进程信息。在默认设定下，一般只能看到映像名称、用户名、CPU占用、记忆体使用等几项，而更多如I/O读写、虚拟记忆体大小等信息却被隐藏了起来。可别小看了这些被隐藏的信息，当系统出现莫名其妙的故障时，没準就能从它们中间找出突破口。

1.查杀会自动消失的双进程木马

前段时间朋友的电脑中了某木马，通过任务管理器查出该木马进程为“system.exe”，终止它后再刷新，它又会复活。进入安全模式把C:\WINDOWS\SYSTEM32\system.exe删除，重启后它又会重新载入，怎幺也无法彻底清除它。从此现象来看，朋友中的应该是双进程木马。这种木马有监护进程，会定时进行扫描，一旦发现被监护的进程遭到查杀就会复活它。而且很多双进程木马互为监视，互相复活。因此查杀的关键是找到这“互相依靠”的两个木马档案。藉助任务管理器的PID标识可以找到木马进程。

调出Windows任务管理器，首先在“查看→选择列”中勾选“PID（进程标识符）”，这样返回任务管理器视窗后可以看到每一个进程的PID标识。这样当我们终止一个进程，它再生后通过PID标识就可以找到再生它的父进程。启动命令提示符视窗，执行“taskkill /im system.exe /f”命令。刷新一下电脑后重新输入上述命令，可以看到这次终止的system.exe进程的PID为1536，它属于PID为676的某个进程。也就是说PID为1536的system.exe进程是由PID为676的进程创建的。返回任务管理器，通过查询进程PID得知它就是“internet.exe”进程。

找到了元兇就好办了，重新启动计算机，使用安全模式运行，点入开始选单使用搜寻功能找到木马档案C:\WINDOWS\internet.exe ，然后将它们删除即可。前面无法删除system.exe，主要是由于没有找到internet.exe（且没有删除其启动键值），导致重新进入系统后internet.exe复活木马。

单位一电脑一开机上网就发现硬碟灯一直闪个不停，硬碟狂旋转。显然是本机有什幺程式正在进行数据的读取，但是反覆防毒也没发现病毒、木马等恶意程式。

打开该电脑并上网，按Ctrl+Alt+Del键启动了任务管理器，切换到“进程”选项卡，点击选单命令“查看→选择列”，同时勾选上“I/O写入”和“I/O写入位元组”两项。确定后返回任务管理器，发现一个陌生的进程hidel.exe，虽然它占用的CPU和记忆体并不是特别大，但是I/O的写入量却大得惊人，看来就是它在捣鬼了，赶紧右击它并选择“结束进程”终止，果然硬碟读写恢复正常了。

如果出现异常如没有关机项则双击一下任务管理视窗旁边空白区域就出来了.

如果故障依旧，请修复一下系统

1、开机按F8进入安全模式后然后退出（即重启），就可以进入正常模式（修复注册表）。

2、如果故障依旧，请你用系统自带的系统还原，还原到你没有出现这次故障的时候修复（如果正常模式恢复失败，请开机按F8进入到安全模式中使用系统还原）。

3、如果故障依旧，使用系统盘修复，打开命令提示符输入SFC /SCANNOW 回车（SFC和/之间有一个空格），插入原装系统盘修复系统，系统会自动对比修复的。

4、如果故障依旧，在BIOS中设定光碟机为第一启动设备插入系统安装盘按R键选择“修复安装”即可。

5、如果故障依旧，建议重装作业系统。

方法一：利用组策略：

开始/运行/gpedit.msc,

在用户配置-管理模板-系统-CTRL+ALT+DEL选项，在左边找到“删除任务管理器”

双击打开，设定为未配置，或者禁用。

方法二：打开记事本，把下面的内容保存成.reg档案，然后双击导入恢复。

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskmgr"=dword:00000000.

（最后一行留一空行）

方法三：修改注册表。打开注册表，展开到：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

找到"DisableTaskmgr"把dword值设定为00000000。

方法四：複製下面全部的文字到记事本，再保存成inf（也可以保存成txt，然后改后缀名为inf） ，然后右键安装

[version]

Signature=$CHICAGO$

[defaultinstall]

addreg=My.add.reg

[My.add.reg]

HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr,0x00010001,0;

[VERSION]

SIGNATURE=$CHICAGO$

[DEFAULTINSTALL]

DELREG=DELETEME

[DELETEME]

HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

在“运行”中键入“gpedit.msc”，启动“组策略”编辑器。在“本地策略”中依次展开“用户配置→管理模板→系统→Ctrl+Alt+Del选项”分支，在右侧视窗中双击“删除任务管理器”策略，在弹出的策略设定对话框中选择“未配置”选项，单击“确定”以后，按“Ctrl+Alt+Del”组合键就可以调出“系统列管理器”了

1、点击开始选单－运行－输入taskmgr并回车调出任务管理器。或者右击系统列，调出任务管理器，只是作者喜欢用command而已。调任务管理器后如下图所示：

2、此时，我们双击任务管理器的空白处；双击之后如下呈下图所示状态：我们再次双击任务管理器的空白处：可以看到任务管理器已经还原现常见形式。其实，任务管理器显示不全，是因为我们无意中双击到了空白的地方，所以才会被隐藏起来。

提示：双击任务管理器的空白处，可以在隐藏管理器选单和显示完全的管理器之间进行切换。

3、可以查看是不是因为停止了“Terminal Services”服务 。 右键点击我的电脑。 然后点击服务。然后找到“Terminal Services”服务，然后将其“启动类型”设定为“手动”或“自动”，并点击“启动”按钮，确保“服务状态”为“已启动”后退出设定，重新打开“任务管理器”即可 ·

4、打开任务管理器， 然后切换到进程， 然后点击上面的查看- 选择列。把用户名前面的√打上就可以恢复！

5、点击：开始→运行→输入gpedit.msc 然后在用户配置→管理模板→系统→CTRL+ALT+DELE选项。最后在左边找到“删除任务管理器”双击打开，设定为未配置，或者禁用即可。

在windows 8中，任务管理器发生理念翻天覆地的变化。Windows 8将自带和系统更加协调的任务管理器UI以及更强大的程式管理机制，令用户更加方便。