cf多开时切任务管理器怎么电脑黑屏不能看到桌面执行文件_百度知道CF多开器免费下载
资源大小:0.2M
总下载量:4,709次
周下载量:40次
软件属性:简体中文 免费软件
更新时间:
系统平台:
Win7/WinXP/Win98兼容软件
官方网站:
用户推荐:
用户评分:
相关软件:
相关合集:
CF多开器允许你同时运行多个CF程序。这款cf多开器允许你同时运行多个cf程序,只要机器负担的起,最多可同时运行10个穿越火线程序,真正的cf多开工具,绿色无毒,可放心使用。cf多开器原名为程序多开器,不仅能够多开穿越火线,还能同时运行多个例如QQ游戏、msn等常见程序,突破部分软件不允许多开的限制。
这款cf多开器允许你同时运行多个cf程序,只要机器负担的起,最多可同时运行10个穿越火线程序,真正的cf多开工具,绿色无毒,可放心使用。cf多开器原名为程序多开器,不仅能够多开穿越火线,还能同时运行多个例如QQ游戏、msn等常见程序,突破部分软件不允许多开的限制。&&&&
下载错误请点击举报
用户评分:
请打个分吧
请发表评论,字数不要少于10个哦~
小提示:您的评论对其他用户具有很重要的参考价值,请勿输入没有营养的点评内容,遇到问题请举报以方便我们及时处理。
12345678910
12345678910
12345678910explorer.exe每次打开都自动关闭 现在要用任务管理器来开东西 很麻烦 怎么办_百度知道任务管理器应用技巧
Windows 任务管理器
Windows的任务管理器提供了有关计算机性能的信息,并显示了计算机上所运行的程序和进程的详细信息,可以显示最常用的度量进程性能的单
位;如果连接到网络,那么还可以查看网络状态并迅速了解网络是如何工作的,今天,我们就来全面了解任务管理器的方方面面。
一、如何启动任务管理器
最常见的方法是同时按下“Ctrl+Alt+Del”组合键,不过如果不小心接连按了两次键,可能会导致Windows系统重新启动,假如此时还未保
存数据的话,恐怕就欲哭无泪了。
其实,我们可以选择一种更简单的方法,就是右键单击任务栏的空白处,然后单击选择“任务管理器”命令。或者,按下“Ctrl+Shift+Esc”组
合键也可以打开任务管理器,赶快试试吧。当然,你也可以为\Windows\System32\taskmgr.exe文件在桌面上建立一个快捷方式,然
后为此快捷方式设置一个热键,以后就可以一键打开任务管理器了。
小提示:需要说明的是,在Windows
XP中,如果未使用欢迎屏幕方式登录系统,那么按下“Ctrl+Alt+Del”组合键,弹出的只是“Windows安全”窗口,必须选择“任务管理器”
才能够打开。
二、认识任务管理器
任务管理器提供了文件、选项、查看、窗口、关机、帮助等六大菜单项,例如“关机”菜单下可以完成待机、休眠、关闭、重新启动、注销、切换等操作,其下
还有应用程序、进程、性能、联网、用户等五个标签页,窗口底部则是状态栏,从这里可以查看到当前系统的进程数、CPU使用比率、更改的内存容量等数据,默
认设置下系统每隔两秒钟对数据进行1次自动更新,当然你也可以点击“查看→更新速度”菜单重新设置。
1.应用程序
这里显示了所有当前正在运行的应用程序,不过它只会显示当前已打开窗口的应用程序,而QQ、MSN
Messenger等最小化至系统托盘区的应用程序则并不会显示出来。
你可以在这里点击“结束任务”按钮直接关闭某个应用程序,如果需要同时结束多个任务,可以按住Ctrl键复选;点击“新任务”按钮,可以直接打开相应
的程序、文件夹、文档或Internet资源,如果不知道程序的名称,可以点击“浏览”按钮进行搜索,其实这个“新任务”的功能看起来有些类似于开始菜单
中的运行命令。
2.进程
这里显示了所有当前正在运行的进程,包括应用程序、后台服务等,那些隐藏在系统底层深处运行的病毒程序或木马程序都可以在这里找到,当然前提是你要知
道它的名称。找到需要结束的进程名,然后执行右键菜单中的“结束进程”命令,就可以强行终止,不过这种方式将丢失未保存的数据,而且如果结束的是系统服
务,则系统的某些功能可能无法正常使用。
Windows的任务管理器只能显示系统中当前进行的进程,而Process
Explorer可以树状方式显示出各个进程之间的关系,即某一进程启动了哪些其他的进程,还可以显示某个进程所调用的文件或文件夹,如果某个进程是
Windows服务,则可以查看该进程所注册的所有服务,需要的朋友可以从下载。
3.性能
这里显示了计算机性能的动态概念,例如CPU和各种内存的使用情况。
CPU使用情况:表明处理器工作时间百分比的图表,该计数器是处理器活动的主要指示器,查看该图表可以知道当前使用的处理时间是多少。
CPU使用记录:显示处理器的使用程序随时间的变化情况的图表,图表中显示的采样情况取决于“查看”菜单中所选择的“更新速度”设置值,“高”表示每
秒2次,“正常”表示每两秒1次,“低”表示每四秒1次,“暂停”表示不自动更新。
PF使用情况:正被系统使用的页面文件的量。
页面文件使用记录:显示页面文件的量随时间的变化情况的图表,图表中显示的采样情况取决于“查看”菜单中所选择的“更新速度”设置值。
总数:显示计算机上正在运行的句柄、线程、进程的总数。
执行内存:分配给程序和操作系统的内存,由于虚拟内存的存在,“峰值”可以超过最大物理内存,“总数”值则与“页面文件使用记录”图表中显示的值相
物理内存:计算机上***的总物理内存,也称RAM,“可用”表示可供使用的内存容量,“系统缓存”显示当前用于映射打开文件的页面的物理内存。
内核内存:操作系统内核和设备驱动程序所使用的内存,“页面”是可以复制到页面文件中的内存,由此可以释放物理内存;“非分页”是保留在物理内存中的
内存,不会被复制到页面文件中。
4.联网
这里显示了本地计算机所连接的网络通信量的指示,使用多个网络连接时,我们可以在这里比较每个连接的通信量,当然只有***网卡后才会显示该选项。
5.用户
这里显示了当前已登录和连接到本机的用户数、标识(标识该计算机上的会话的数字ID)、活动状态(正在运行、已断开)、客户端名,可以点击“注销”按
钮重新登录,或者通过“断开”按钮连接与本机的连接,如果是局域网用户,还可以向其他用户发送消息呢。
三、任务管理器之特别任务
其实,任务管理器除了终止任务、结束进程、查看性能外,它还可以完成很多更高级的特别任务呢。下面,我们通过几个实例来介绍任务管理器的扩展应用:
实例一:同时最小化多个窗口
切换到“应用程序”标签页,按住Ctrl键同时选择需要同时最小化的应用程序项目,然后点击这些项目中的任意一个,从右键菜单中选择“最小化”命令即
可,这里同时还可以完成层叠、横向平铺、纵向平铺等操作。
实例二:降低BT软件的资源占用率
运行BT软件时,往往会占用大量的系统资源,你会看到硬盘灯不停闪烁并伴随着飞速转动的噪音,此时无论是浏览网页或是运行其他应用程序,肯定会有系统
停滞的感觉。
打开“任务管理器→进程”窗口,选择BT软件的进程名,然后从右键菜单中选择“设置优先级”命令,这里可以选择实时、高、高于标准、标准、低于标准、
低等不同级别,请根据实际情况进行设置,例如设置为“低于标准”可以降低进程的优先级别,从而让Windows为其他进程分配更多的资源。
实例三:打造增强版本的任务管理器
有热心网友从Longhorn中将任务管理器剥离出来并提供下载,我们可以借此来打造一个增强版本的任务管理器。解压缩下载文件,会得到
Taskkill.exe、Tasklist.exe、Taskmgr.exe等3个文件,首先覆盖\Windows\System32\Dllcahe
\下的同名文件,覆盖前请事先备份源文件,接下来继续覆盖\Windows\System32\下的同名文件,当弹出“Windows文件保护”对话框
时,选择“取消”按钮。
更换后的任务管理器不仅程序图标发生了变化,右击进程,可以发现在右键菜单中增加了打开所在目录、创建转储文件两个命令,而“查看→选择列”中增加了
命令行、映像路径两个项目,前者可以查看所显示的进程是否被伪装,后者则可以查看进程的文件路径,如图5所示,这下可不怕那些侵入系统的可疑进程了。
实例四:打开处理器的超线程
P4处理器的超线程技术(Hyper-Threading
Technology)其实是相当于将一颗处理器分为两个虚拟的处理器,简单地说,实现超线程需要处理器、主板、操作系统三方面的支持。如果你使用的是
Windows XP/Server
2003,而且确定自己的主板和处理器支持超线程,那么可以切换到“性能”标签页,如图6所示,如果这里显示两个CPU使用记录图表的话,说明你的处理器
确确实实已经打开超线程。
当然,我们也可以在开机信息中查看超线程支持情况,一般会显示CPU1、CPU2两个处理器名称,或者启动后进入“设备管理器”,这样同样会显示两个
处理器的信息。
实例五:禁用任务管理器
任务管理器可以完成如此强大的任务,如果你使用的是公用计算机,而又不希望他人私自操作任务管理器,可以在“开始→运行”框中键入
Gpedit.msc命令打开组策略窗口,找到“本地计算机策略→用户配置→管理模板→系统→Ctrl+Alt+Del选项”项,然后在右侧窗口中选择
“删除任务管理器”项,将其设置为“已启用”,以后按下“Ctrl+Alt+Del”组合键时就无法操作任务管理器了。
当然,通过文中提到的其他两个方法还是可以正常操作任务管理器的,一劳永逸的解决办法是为Taskmgr.exe文件设置用户授权,当然必须使用
NTFS文件系统才行,呵呵。
小知识:
句柄:用来惟一标识资源(例如文件中注册表项)的值,以便程序可以访问它。
线程:在运行程序指令的进程的对象,线程允许在进程中进行并发操作,并使一个进程能够在不同处理器上同时运行其程序的不同部分。
进程:一个可执行程序(例如资源管理器)或者一种服务(例如MSTask)
&&&&如何永久打开任务管理器
采取下面的步骤,可以使Windows任务管理器永久的固定在系统托盘上,从而能够方便地随时监视CPU的运行状况。
能够随时看见CPU运行概况经常会给用户带来很大的帮助。你能够通过它了解系统变慢是否是由于CPU被某一个任务耗占太多。最简单的方法是把任务管理
器添加到Windows系统托盘中。
解决方案
在缺省状态下,当任务管理器处于激活状态下,你将会在系统托盘中看见一个深绿色的方块图标。当CPU使用率超过50%时,绿色的光填满了图标的一半。
当CPU使用率到达75%时,绿光占据3/4的图标面积,以次类推。你也可以把鼠标放在该图标上,看见当时准确的CPU使用率。
为了让绿色的CPU状态监视图标一直显示在系统托盘中,你必须要让任务管理器永远处于运行状态。你可能不想每次都那么麻烦,就可以让任务管理器最小化
在系统托盘上。你可以通过打开任务管理器,单击“选项”,选择“最小化时隐藏”实现它。
为了打开任务管理器,你可以按[Ctrl]+[Shift]+[Esc],或者你可以按[Ctrl]+[Alt]+[Del],然后单击任务管理器。
如果你想要在系统开机的状况下永远打开任务管理器,有两种方法:
第一个选择是你可以进入System32目录,为taskmgr.exe.创建一个快捷方式。然后把这个快捷方式剪切,并复制到“启动”菜单(打开
“开始”菜单|“程序”|“启动”右击启动,然后单击打开,把taskmgr.exe的快捷方式贴到这里)。然后,右击“启动”菜单里的
taskmgr.exe图标,单击“属性”。在运行选项里,选择“最小化”。
第二个选择是进行注册表编辑,为下面这个键赋予REG_SZ的值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
为TaskManager添加值REG_SZ ,然后加入:
start /min c:\\winnt\system32\taskmgr.exe
现在,无论什么时候你登陆进系统,任务管理器都在那里等着你了。(不过不要忘记任务管理器本身也要占用一定的系统资源)。
&&&&&&&任务管理器五大奇招
Windows系统的任务管理器是大家经常会用到的一个程序,通常它主要被用来管理计算机进程或者查看计算机实时的工作状态。实际上它还有不少的妙用。
奇招一:在网吧也能“运行”
在网吧“混”的朋友们都知道,网吧的机子通常来说都会将运行对话框屏蔽掉,如果大家碰上某些情况需要使用运行对话框就只能束手无策了。其实这个
时候任务管理器能被临时用来代替运行对话框的作用。
先按住“Ctrl+Alt+Del”组合键尝试一下能否调出任务管理器,能调出就好办了,我们依次点击任务管理器的菜单“文件→新建任务”,弹
出“创建新任务”(图1)窗口,输入内容试试看,它跟运行对话框效果相同啊!
奇招二:快速刷新注册表
许多软件在***后会提示我们需要重新启动才能让软件正常使用,其实大部分时候这些软件只是在“小题大做”,因为重启仅仅是为了让注册表更新而
已,我们可以利用任务管理器来更快地让软件生效。
方法为:在“进程”选项卡中用鼠标选择“explorer.exe”进程,然后点击右下角的“结束进程”按钮将它结束,这个时候桌面显示消失
了。不必惊慌,我们在“创建新任务”窗口中输入“explorer.exe”。运行即可让桌面恢复显示,同时计算机的注册表也会被更新,现在软件就能正常
奇招三:优化游戏运行
许多朋友都和笔者一样还在使用1GB以下的内存,所以当我们玩3D游戏的时候就会觉得运行有些卡,这个时候除了使关闭游戏以外的所有程序以外,
似乎再没有其他节省内存的办法了,其实我们可以在运行游戏前先在任务管理器中结束“explorer.exe”进程,因为它在很多情况下可都是内存耗用大
户,结束它可为我们的游戏增加几十MB的可用内存,游戏效果当然会有更多改善。
不过此时没了桌面显示,启动游戏的方法也有所改变,我们需要打开“文件→新建任务”,然后点击“浏览”按钮进入游戏目录载入游戏主程序,点击
“确定”即可运行游戏。
奇招四:恢复浏览器网址列表
在国内被众多用户宠爱的多页面浏览器傲游和GreenBrowse都设置有一个人性化的功能,即在关闭浏览器时可以保留当前浏览的网页地址为列
表以便下次打开继续浏览。不过如果在下次浏览网页之前不小心调用了它们来打开过其他关联文件,那么你保留的重要网页地址便会化为乌有了。
别着急,下面请你跟笔者一起来对它施以小小“魔法”吧,保证让你的网页地址都恢复回来。记住,下次当你不小心调用了浏览器时,千万不要急忙关闭
窗口,这时我们可以按下“Ctrl+Alt+Del”组合键,调出“Windows任务管理器”,在“进程”选项窗口内找出与傲游对应的
“Maxthon.exe”映像(GreenBrowse对应“GreenBrowse.exe”映像),鼠标选中后按右下角“结束进程”将浏览器强制退
出。现在重启浏览器看看,网页地址列表完整如初吧?
奇招五:让电脑一秒关机
有时我们赶时间离开可能等不及电脑慢吞吞关机过程,但又担心插座未断电造成电能浪费,如果使用的是Windows
XP系统,我们此时可以用任务管理器实现一秒关机。先调出“任务管理器”,按住“Ctrl”键同时点击窗口菜单“关机→关闭”(图2),一秒钟后电脑关
闭,OK,现在可以断开插座电源马上“闪人”了。
&&&&&&&&任务管理器杀不了的
系统进程如何关闭 发现任务管理器的进程列表中有一些可疑进程,用任务管理器却无法杀掉,这该怎么办呢? Windows
XP/2000的任务管理器是一个非常有用的工具,能让你看到系统中正在运行哪些程序(进程),只要你平时多看任务管理器中的进程列表,熟悉系统的基本进
程,就可以随时发现可疑进程,这对防范木马和病毒大有裨益!
一、哪些系统进程不能关掉
Windows运行的时候,会启动多个进程。只要你按下
“Ctrl+Alt+Del”键打开任务管理器,点击“查看”/选择列,勾选“PIO(进程标识符)”,然后单击“进程”标签,即可看到这些进程。不过有
一些进程个人用户根本用不到,例如Systray.exe(显示系统托盘小喇叭图标)、Ctfmon.exe(微软Office输入法)、
Winampa.exe等,我们完全可以禁止它们,这样做并不会影响系统的正常运行。
二、如何关闭任务管理器杀不了的进程
如果你在任务管理器中无法关闭某个可疑进程,可以使用下面的方法强行关闭,注意
不要杀掉进程表中的系统核心进程:
1.使用Windows
XP/2000自带的工具
从Windows
2000开始,Windows系统就自带了一个用户态调试工具Ntsd,它能够杀掉大部分进程,因为被调试器附着的进程会随调试器一起退出,所以只要你在
命令行下使用Ntsd调出某进程,然后退出Ntsd即可终止该进程,而且使用Ntsd会自动获得Debug权限,因此Ntsd能杀掉大部分的进程。
操作方法:单击“开始”/程序/附件/命令提示符,输入命令:ntsd -c q -p
PID(把最后那个PID,改成你要终止的进程的PID)。在进程列表中你可以查到某个进程的PID,例如我们要关闭图1中的Explorer.exe进
程,输入:ntsd -c q -p 408即可。
以上参数-p表示后面跟随的是进程PID, -c
q表示执行退出Ntsd的调试命令,从命令行把以上参数传递过去就行了。
2. 使用专门的软件来杀进程
任务管理器杀不掉的进程,你可以使用专门的软件关闭。有很多软件可以杀进程,例
如进程杀手、IceSword、柳叶擦眼、系统查看大师、Kill
process等。&&
驱逐Windows系统“流氓”文件
提到驱逐文件,相信不少人都为认为这样的操作几乎不值得一提;可是,在实际驱逐文件的过程中,系统不是弹出当前系统文件正在被其他程序使用,就
是说目标文件处于只读状态。面对这些无法被驱逐出去的、近似“流氓”耍赖式的顽固文件,多数人都会选用Unlocker之类的专业工具来实现删除目的;但
是在很多情况下,我们手头并没有及时配备Unlocker之类的专业工具,面对这种情形,我们难道只能眼睁睁地看着那些无法被驱逐出去的“流氓”文件而无
奈吗?其实任何“流氓”文件的驱逐都是有章可循的,我们只要按照如下顺序稳打稳扎,就能很轻松地驱逐各种系统“流氓”文件。
关闭Explorer.exe,驱逐被占用文件
许多无法被驱逐出去的“流氓”文件,多数情况下都是因为这些文件正被另外的应用程序占用着,而在这一文件占用过程中,系统的
Explorer.exe进程往往“扮演”着反面角色,因此当我们在驱逐“流氓”文件的过程中,发现系统提示该文件正被占用的现象时,我们不妨暂时关闭掉
系统的Explorer.exe进程,然后再尝试删除“流氓”文件。
在关闭Explorer.exe系统进程时,我们可以首先同时按下键盘上的“Ctrl+Alt+Del”复合键,打开系统的任务管理器窗口,单
击该窗口中的“进程”标签,进入到如图1所示的标签页面中;
用鼠标选中该页面中的Explorer.exe进程,并单击一下“结束”按钮,在随后弹出的提示窗口中单击“是”按钮,这样的话
Explorer.exe进程就被我们暂时关闭了;
之后,在任务管理器窗口中单击“文件”菜单项,从弹出的下拉菜单中执行“新建任务”命令,在随后出现的对话框中单击“浏览”按钮,然后在弹出的
文件选择设置框中将那些无法被正常驱逐出去的“流氓”文件选中,再按一下键盘上的DEL功能键,就能实现驱逐被占用文件的目的了。
刨根挖底,“揪出”占用文件进程
有时文件被占用现象并不是由Explorer.exe系统进程引起的,所以我们即使关闭了Explorer.exe系统进程,某些“流氓”文件
仍然无法被正常驱逐出去。那么那些待删除的“流氓”文件究竟是被谁占用着呢,我们又该如何驱逐这类被占用的“流氓”文件呢?事实上,我们只有刨根挖底,
“揪出”占用文件的具体系统进程,然后强行结束该目标进程,最后就能轻松地将被占用的“流氓”文件驱逐出系统去了。要做到这一点,我们可以使用
Windows XP系统自带的“openfiles”命令,来轻松“揪出”占用文件的具体系统进程,下面就是具体的操作步骤:
首先在Windows
XP系统桌面中依次单击“开始”/“运行”命令,在弹出的系统运行文本框中,输入字符串命令“cmd”,单击回车键后,将当前系统的工作状态切换到MS-
DOS窗口的命令行状态;
其次在MS-DOS窗口的命令提示符下,输入字符串命令“openfiles”,单击回车键后,系统就能自动地将当前打开的文件所对应的程序列
表显示出来了。当然,要是在本地工作站系统中我们以前从来没有运行过“openfiles”命令时,那就需要先在MS-DOS窗口的命令提示符下,执行一
次“openfiles /local
on”字符串命令,随后系统会自动打开一个全局标志(如图2所示),重新启动一下工作站系统后,“openfiles”命令就能将当前打开文件所对应的程
序列表显示出来了。找到了占用“流氓”文件的具体工作进程后,我们再打开系统的任务管理器中的进程标签页面,结束占用“流氓”文件的具体工作进程后,再尝
试执行驱逐“流氓”文件操作,相信现在就能轻松地将它从系统中驱逐出去了。
祭出NTSD命令,结束顽固系统进程
有时候,我们虽然挖空心思找到了占用“流氓”文件的具体工作进程,可是当我们尝试在系统的进程标签页面中结束该目标进程时,该顽固系统进程怎么
也无法被顺利结束掉。碰到这种特殊情形时,我们可以先进入到系统的任务管理器窗口,单击该窗口中的“进程”标签,检查对应标签页面中是否已经显示出了对应
某个进程的标识符,如果没有看到进程标识符时,我们可以依次单击任务管理器窗口中的“查看”/“选择列”菜单命令,打开如图3所示的设置窗口,选中该窗口
中的“PID(进程标识符)”项目,再单击“确定”按钮,返回到系统的“进程”标签页面中;
在该标签页面中,找到需要关闭的进程所对应的PID,然后依次单击“开始”/“运行”命令,打开系统的运行对话框,在其中输入“cmd”字符串
命令,单击回车键后进入到系统的MS-DOS窗口;在该窗口的命令行提示符下,输入字符串命令“ntsd -c q -p
PID”(其中PID为待关闭进程所对应的进程标识符),单击回车键后无法被结束的顽固目标进程就能被强行关闭了。关闭掉占用“流氓”文件的具体工作进程
后,我们就能按照常规方法来驱逐“流氓”文件了。
借用WinRAR,强行驱逐只读文件
对于某些只读类型的“流氓”文件,我们按常规方法是无法将它从系统中驱逐出去的,此时我们不妨借助装机必备的WinRAR程序,来强行驱逐这类
只读文件。
找到无法被正常驱逐出去的“流氓”文件,然后用鼠标右键单击该目标文件,从弹出的右键菜单中执行“添加到压缩文件”命令,在随后出现的“压缩文
件名和参数”设置窗口中单击“常规”标签,打开如图4所示的标签页面;
选中该标签页面中的“压缩后删除源文件”项目,再设置好压缩文件的合适名称以及工作路径,最后单击“确定”按钮,如此一来无法被正常驱逐出去的
“流氓”文件被压缩成RAR格式的文件后,WinRAR程序就会自动将源文件驱逐出去了。之后,我们再将刚刚生成的压缩文件删除掉,就能实现强行驱逐只读
文件的目的了。
着眼细节,采取相关补救措施
还有一些“流氓”文件,由于自身存在错误或者访问该文件的权限不够,当我们在尝试驱逐这类“流氓”文件时,也有可能出现无法驱逐的现象。此时,
我们可以先尝试采取下面的补救措施,然后再对“流氓”文件进行驱逐操作:
例如,要是当前待驱逐的文件自身已经被损坏时,那我们有可能无法正常驱逐该文件,此时我们可以依次执行“开始”/“运行”命令,在弹出的系统运
行对话框中,执行“cmd”字符串命令,将系统工作状态切换到MS-DOS窗口,然后在该窗口的命令提示符下先执行“chkdsk X:
/f”字符串命令(其中X为待驱逐文件所在的磁盘分区符号),尝试将受损的“流氓”文件修复成功,之后再执行文件的驱逐操作,相信这么一来可能会将受损的
“流氓”文件从系统中驱逐出去。
如果在驱逐某个文件时,系统弹出访问权限不够的提示信息时,那我们可以先尝试使用超级管理员帐号登录Windows系统,之后再执行文件驱逐操
作。要是在超级管理员登录状态下仍然无法顺利驱逐目标文件时,我们不妨使用手工设置帐号权限的方法,来赋予当前登录帐号绝对的操作权限,并且记得打开“文
件夹选项”设置窗口,将其中的“简单文件共享”项目的选中状态取消掉,相信这么一来我们就能顺利地驱逐由于访问权限不够的“流氓”文件了。&&&&&&
&&&&&&&系统进程信息不可用解决办法
大家知道,如果怀疑某个进程是病毒、木马或者间谍软件等恶意程序带来的,那么首先就需要了解该可疑进程的路径、大小等详细信息。这就需要用“系统信息”组
件查看当前正在运行任务的详细信息。有网友认为,如果在“系统信息”组件里,某些进程的详细信息显示为不可用,那么这些进程很可能就是恶意程序─果真是这
样吗─请继续往下看。
问题描述
Windows
XP中启动“系统信息”程序窗口,在左侧控制台树中展开“软件环境” “正在运行任务”,发现有9个进程的路径、最小(最大)工作设置、版本、大小、开始
时间、文件日期等项均显示为不可用,(如图1)所示。这些进程包括:alg.exe、csrss.exe、wdfmgr.exe、
wmiprvse.exe、system、system idle process和3个svchost.exe进程。
需要注意的是,在默认情况下,Windows
XP可能有5个svchost.exe进程,其中有3个svchost.exe进程的详细信息显示为不可用。根据计算机软硬件环境的差异,可能还有其他进
程的详细信息显示为不可用。
进程解释
接下来简单介绍这些进程:
system和system idle
process并不是真正意义上的进程,它们并没有对应的进程映像文件,例如system进程并不存在一个对应的system.exe进程映像文件。所以
“系统信息”程序无法找到它们的进程信息,这是正常的。system进程实际上是代表内核模式系统线程的总和;system idle
process只是用来统计空闲的CPU时间,它的CPU占有率越高,表明当前系统的CPU越空闲。
csrss.exe进程是Windows子系统的用户模式部分,该进程工作在Local System帐户下。
svchost.exe进程是服务的宿主程序,这3个详细信息不可用的svchost.exe进程工作在network
service或者local service帐户下。可以参考以下的微软知识库文章,了解svchost.exe进程的详细信
息:/kb/314056/zh-cn。
alg.exe、wdfmgr.exe和wmiprvse.exe这三个进程,都是服务所对应的可执行文件,它们都工作在network
service或者local service帐户下。
原因分析
需要理解,进程是一个很奇妙的东西,它具有“双重性格”。就像文件夹和打印机一样,可以对进程指定访问权限,例如指定谁可以查询进程的信息、谁可以终
止这个进程等等,也就是说每一个进程都可以关联一个访问控制列表(ACL)。然而和文件夹与打印机不一样的是,进程不但可以有ACL,同时还具有一个访问
令牌(Access Token),访问令牌包含该进程所属的帐户SID列表和该进程所具有的一组特权(Privilege)。
可以把进程想象成类似于高中物理所学的“光的波粒二相性”,这样就不会忘记进程的这种“双重性格”。
当“系统信息”这个进程试图访问其他进程的详细信息时,“系统信息”进程首先需要出示其访问令牌。然后Windows的安全子系统就会根据其他进程的访问
控制列表,来比较“系统信息”进程的访问令牌,以确认是否允许“系统信息”有权限访问该进程的详细信息。
实验工具
Process
Explorer:可以利用该工具来查看进程的访问令牌,还可以查看和设置进程的访问控制列表,
可以到以下站点下载该工具:
/soft/265/265210.html
PsExec:可以利用该工具以其他帐户身份启动某个进程,可以到以下站点下载该工具:
SubInAcl:可以查看和设置进程的权限,可以到以下微软官方站点下载该工具:
查看“系统信息”进程的访问令牌
以管理员帐户登录系统,启动“系统信息”程序窗口,然后打开Process
Explorer。双击“系统信息”的对应进程HelpCtr.exe,在打开的属性对话框里切换到“Security”标签页,这就是“系统信息”进程
所获得的访问令牌,(如图2)所示。
这里需要注意的是,尽管“系统信息”程序的对应Image文件应该是msinfo32.exe,但是通过Process
Explorer监控发现,其对应的进程实际是HelpCtr.exe。
&&&&&&查看csrss.exe的访问控制列表
以csrss.exe进程为例。在Process
Explorer中双击该csrss.exe进程,在打开的属性对话框里切换到“Security”标签页。然后单击其右下角的“Permission”
按钮,即可查看csrss.exe进程的访问权限设置。可以看到该进程只允许Local
System帐户访问。单击打开对话框上的“高级”按钮,还可以查看Local System帐户具有的详细权限,(如图3)所示。
这样就可以解释为什么无法查看csrss.exe进程信息,原来只有Local
System帐户才有权限访问csrss.exe进程,而系统进程的访问令牌里并不包含Local System帐户。
查看svchost.exe的访问控制列表
接下来查看三个详细信息不可用的svchost.exe进程的访问控制列表。
在“系统信息”窗口里记下这三个svchost.exe进程的PID,然后在Process
Explorer窗口里打开该进程的属性对话框,查看其安全权限,(如图4)所示。
和csrss.exe进程相比,除了Local
System帐户外,svchost.exe进程的访问控制列表中还包含了一个未知SID(本例是S-1-5-5-0-35860),实际上这是该
svchost进程的Logon
SID,也就是该svchost进程所在登录会话的SID。也就是说,只要是在同一个登录会话里运行的进程,就可以访问该svchost.exe进程的信
和图2作比较,会发现“系统信息”进程的Logon SID是S-1-5-5-0-40881,和svchost.exe进程的Logon
SID不同,所以“系统信息”无法访问这些svchost.exe进程的详细信息。
用同样的方法,可以找到alg和wdfmgr.exe的进程信息不可用的原因。
用subinacl.exe命令行工具查看进程的访问控制列表
我们还可以利用subinacl.exe命令行工具,查看进程的访问控制列表,这里以csrss.exe进程为例。打开命令提示符窗口,运行以下命
subinacl /process csrss.exe /display=dacl
命令的部分结果类似如下显示:
=========================
+Process csrss.exe - 940
=========================
/perm. ace count =1
/pace =system ACCESS_ALLOWED_ACE_TYPE-0x0
AccessMask=0x20c79
命令结果表明csrss.exe进程仅允许SYSTEM帐户访问,所以“系统信息”组件无法获得该进程的详细信息。
解决方案
对于system和system idle
process这两个进程来说,由于它们并非真正的进程,所以无需解决办法。而对于其他详细信息“不可用”的进程,可以用以下两种方法解决:
方法1:以Local System帐户身份启动“系统信息”组件
由于详细信息“不可用”的进程,都允许Local System帐户访问其进程信息,所以这里我们尝试用Local
System帐户的身份启动“系统信息”进程,然后查看是否可以正常显示进程的信息。
要以Local System帐户身份启动进程,可以借助PsExec,可以在CMD窗口运行以下命令,以Local
System帐户的身份启动“系统信息”进程:
PsExec -d -i -s "%CommonProgramFiles%\Microsoft
Shared\MSInfo\msinfo32.exe"
可以看到,现在可以访问几乎所有进程的信息(除system和system idle process之外),(如图5)所示。
方法2:修改进程的访问控制列表
用Process Explorer修改进程访问权限
这里以csrss.exe进程为例进行介绍。在Process
Explorer程序窗口里双击打开csrss.exe进程的属性对话框,并切换到“Security”标签页。然后单击其右下角的
“Permission”按钮,打开该进程的安全权限设置对话框,单击其上的“添加”按钮,添加当前的登录帐户(假设是Admin)。回到安全权限设置对
话框,单击其上的“高级”按钮,在打开的权限项目对话框里,确保勾选以下三个权限项目,(如图6)所示:Read Memory、Query
Information和Read Permission。依次单击确定按钮,保存所作的设置。
现在应该可以在系统信息窗口看到csrss.exe进程的详细信息。然后可以用类似的方法,修改其他进程的访问权限。
用SubInAcl命令行工具设置访问权限
可以借助Windows Server Resource Kit
Tools工具包中的SubInAcl来设置进程的访问权限。打开命令提示符窗口,运行以下命令:
subinacl /process csrss.exe /grant=Admin=F
接下来运行以下命令,查看alg.exe进程现在的权限设置:
subinacl /process csrss.exe /display
命令的部分结果如下:
========================
+Process csrss.exe - 940
========================
/control=0x0
/owner =local service
/primary group =local service
/audit ace count =0
/perm. ace count =3
/pace =S-1-5-5-0-55078 ACCESS_ALLOWED_ACE_TYPE-0x0
AccessMask=0x1f0fff
/pace =system ACCESS_ALLOWED_ACE_TYPE-0x0
AccessMask=0x100201
/pace =testxp\admin ACCESS_ALLOWED_ACE_TYPE-0x0
AccessMask=0x1f0fff
可以看到,现在Admin帐户对csrss.exe进程具有完全控制权限。打开“系统信息”窗口,现在可以看到csrss.exe进程的详细信息了。
这里需要说明的是,尽管采用subinacl命令行工具可以很方便地设置进程的访问权限。但是这里还是推荐用Process
Explorer程序,不仅操作起来方便,而且可以给进程赋予最小的访问权限,而subinacl命令行工具则只能给进程赋予完全控制权限。
疑难解答
Process Explorer为什么可以查看所有进程的详细信息?原来Process
Explorer借助AdjustTokenPrivileges这个API函数,在自己进程的访问令牌里激活了SeDebugPrivilege(调试
程序)特权,(如图7)所示。由于这个SeDebugPrivilege(调试程序)特权的存在,使得Process
Explorer能够绕过其他所有进程的访问控制列表,查看其他所有进程的详细信息(当然除了system和system idle
process这两个“伪”进程之外)。(在本文撰写的过程中,得到尤杨和张康宗两位Microsoft
MVP的帮助,在此表示感谢。)
XP任务管理器一点颜色看看
Windows
XP的任务管理器通常都板着这么一副“尊容”:黑底绿线黄字。虽说倒也整齐,但却失去了五彩斑澜的绚丽。如今连Vista的任务管理器也在悄然玩着变色
(1),那咱们是不是也该给Windows XP的任务管理器一点颜色看看?
图2图3是笔者DIY的个性Windows XP任务管理器。瞧瞧,是不是有些多姿多彩、与众不同啊?
更改的方法其实也比较简单:以Windows XP SP2
VLK版为例,用WinHex打开taskmgr.exe(位于系统分区的WINDOWS\system32目录中),按下Alt+G组合键,输入任务管
理器中曲线或数值对应颜色的内存偏移量,找到正确的内存地址及原始RGB颜色值(十六进制),更改为你所期望的RGB颜色值后保存即可(图4)。附表为
Windows XP任务管理器中曲线、数值的内存偏移地址及更改前后两种颜色对应的RGB值。
提示:关于颜色的调配可以借助系统附件中的“画图”及“计算器”程序完成。大致可分为两步骤完成:
点击“开始”→“所有程序”→“附件”→“画图”,然后在“画图”程序
中,点击菜单栏“颜色”→“编辑颜色”,在随后出现的“编辑颜色”窗口中点击“规定自定义颜色”按钮,之后可以在“基本颜色”或右侧的“调色板”中点取中
意的颜色,则右下方的“红”、“绿”、“蓝”值就会显示相应的变化;
点击“开始”→“所有程序”→“附件”→“计算器”,在“计算器”程序中,点击菜单栏“查看”→“科学型”,并先选择“十进制”模式,输入上一
步中得到的“红”元素值115,再点击“十六进制”,立即可以得到该值的十六进制值73(图5),依此步骤可以得到“绿”、“蓝”元素的十六进制值,这三
者依次构成了该颜色的R(红)G(绿)B(蓝)值。
附表:
内存偏移地址(offset)
原始的颜色RGB(hex)
更改后的颜色RGB(hex)
00ff00(绿色)
ff00ff(紫红色)
008040(深绿色)
8080ff(浅蓝色)
页面文件使用记录曲线
ffff00(***)
ff0080(暗红色)
CPU使用记录曲线
00ff00(绿色)
80ffff(浅蓝色)
PF(页面文件使用率)数值
00ff00(绿色)
ff00ff(紫红色)
00ff00(绿色)
ff8000(橙色)
008040(深绿色)
8080ff(浅蓝色)
纵向座标线
ffff00(***)
80ff00(淡绿色)
ffff00(***)
ff0000(红色)
已投稿到:
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。