20070527-Process Explorer 說明
http://www.microsoft.com/technet/sysinternals/utilities/ProcessExplorer.mspx
當我們懷疑記憶體中有木馬病毒或遠端遙控程式在常駐的時候,我們常會打開工作管理員來檢查,可是工作管理員只顯示執行中程式的名稱,卻無法顯示該程式的所在目錄,倘若問題程式是以類似某系統程式的名稱出現,自然很容易可以判斷程式的真偽,不過萬一問題程式是以相同於某系統程式的名稱出現,那就很容易讓管理者產生誤判了。
舉例來說,Windows系統有一支相當重要,卻常被冒名的系統程序svchost.exe,它存放在%Systemroot%\System32(註1)目錄下,木馬病毒常以類似的檔案名稱如svhost.exe、svhost32.exe或svch0st.exe出現,以混淆管理者的視聽,其中W32.Welchia.Worm病毒更以同檔名、不同存放目錄的方式(註2)出現。透過工作管理員是很難有效判斷程式真偽的,所以在此介紹各位改用Sysinternals的免費程式Process Explorer來替代工作管理員。只要透過簡單的設定修改,就可以在Process Explorer主畫面下觀察到所有執行中程序的所在目錄,因此對於以同檔名不同存放目錄出現的問題程式就能夠一眼看穿了。