學會如何在DOS中分析進程的方法，在無法進人桌面環境時就顯得非常有用。査看的方法很簡單：

　　步驟1：在win7旗艦版中“運行”欄中使用“Cmd”命令打開“命令提示符”窗口。

　　步驟2：輸入“Tasklist”命令并按Enter鍵，在隨即得到的如圖所示反饋信息中，就可以看到本機的所有進程了。

　　從上圖中可以看出，本機的進程顯示結果由五部分組成：圖像名(進程名)、PID、會話名、會話#、內存使用。此時，如果要關閉某個進程(如要終止本機的“QQ.exe”進程)，就應該首先使用Tasklist命令査找它的PID。通過上圖可以看到系統顯示本機“QQ.exe”進程的PID值為“948”。此時就可以運行“Taskkill/pid948這樣的命令將QQ.exe進程終止了。

　　對于一些系統進程來說，可以使用添加“/f”參數的方法來強行關閉，如圖所示。

　　除了我們可以看得見的進程外，還有一些隱藏進程和遠程進程是需要我們使用不同方法進行管理的——將進程隱藏起來是黑客或病毒程序常用的伎倆，查看隱藏進程有很多方法，我們推薦大家登錄“http://bbs.duze.net/downxx.asp?irl=39”下載“隱藏進程管理工具”，來完成對隱藏進程的管理。

　　步驟1：下載軟件結束并完成解壓后，運行其中的

　　“ECQ-PS.exe”文件，在打開的窗口中可以看到系統中所有的進程列表。

　　步驟2：在每個進程后面都可以看到線程有多少個,它主要關聯的程序名和路徑是什么，它是否為可疑程序，如圖所示。

　　步驟3：對于提示為“可疑”的進程.在查看具體的文件路徑后，當確認為是惡意程序時，可以選中此進程并單擊鼠標右鍵，在彈出的菜單中選擇“強行結束進程”。

　　在黑客防范中，安全髙手們常常通過“進程”來了解系統是否存在各種安全隱患。在發現了危險的進程后，關閉進程就可以暫時終止相應的程序運行。但是，這樣無疑是不能斬草除根的解決方法。那么，進程到底是由哪個程序運行時引發的昵?如果能査出進程發起的程序或文件是什么，不就可以更徹底地解決問題了嗎?

　　顯然，這是一個曾讓很多人困惑過的問題，以查看“Svchost”這個進程是由哪個程序發起為例，可以通過如下方法來解決：

　　首先，在“命令提示符”窗口中輸入并執行“Netstatabnov”命令。

　　接著，在按下回車鍵得到的反W的信息中，就可以看到每個進程發起的程序或文件列表，如圖所示。

　　此時，請注意每個進程的反饋信息右傭，都有一個相應的PID號。當我們在“Windows任務管理器”的“進程”選項卡中，單擊勾選“査看”—“選擇列”—“PID(進程標識符)”項后，就可以輕松在“進程”列表中找到對應的PID號，此時進程與發起程序的互査就顯得方便多了。

　　在win7中，除了一些系統進程會與服務(關于服務的應用，清見本書相關實例)發生關聯，一些木馬進程還會與本身的服務產生關聯。對于這樣的木馬，必須從進程、服務和對應的程序三方面同時下手，才能將其清除出系統。

　　以査看進程SVCHOST.EXE都與哪些服務關聯為例，只需使用如下方法即可：

　　首先，在“運行”欄中使用命令“Cmri”打開“命令提示符”窗口。

　　接著，在命令行中輸人“Tasklist/svc”命令，在回車后即可看到如圖所示的列表。

　　從中可以看到有五個SVCHOST.EXE進程，而總共有近二十項服務在使用這個進程。此時，就可以根搪這個“名單”對惡意進程和其對應的服務開刀了。