Windows 进程在计算机或笔记本电脑的正常运行中起着重要作用。 其中一些,如 csrss.exe 和 winlogon.exe,非常重要,如果您决定错误地终止它们,您最终可能会导致计算机崩溃。 恶意软件作者利用这一点来感染健康的 Windows 系统。 前提是病毒、广告软件、间谍软件和特洛伊木马可以随便命名——甚至可以用标准的 Windows 系统进程命名。
如何判断 Windows 进程是否合法
有两种方法可以检查 Windows 进程是合法的还是恶意软件的来源:通过它们的应用程序属性和使用第三方工具,例如 CrowdStrike 的 CrowdInspect。
1.通过进程属性验证Windows进程的合法性
所有授权的 Windows 进程文件都连接到 Microsoft、官方软件/应用程序开发人员或内置的 Microsoft 帐户,例如 TrustedInstaller.exe,它管理 WindowsApps 等文件夹。
要确定 Windows 11 或 10 进程是否合法而非恶意软件来源,您需要深入了解其应用程序属性。 转到选项卡 “细节” 并寻找该过程的官方版权所有者。 如果是 Microsoft、应用程序开发人员或 TrustedInstaller,您就可以开始了。
同样在 Windows 11/10 中,您可以检查选项卡 “数字签名” 来处理特性。 在这里,您会找到带有最新时间戳的官方数字签名,为您提供额外的保证。
因为签名是这些过程的驱动程序 需要 Microsoft 的标准权限 (此外,任何未经授权的设备根访问都被阻止 UEFI 安全启动),恶意软件作者现在不可能在 Windows 11 中伪造数字签名。
从平庸到非常重要,比如 服务.exe أو “svchost.exe” 所有 Windows 11 进程都使用时间戳进行数字签名。 对于每次成功的 Windows 更新,都会验证此身份验证。
另一方面,Windows 10 进程属性可能完全缺少数字签名选项卡。 此外,某些进程可能无法正确显示版权信息。
但是,即使在 Windows 10 上,关键任务内部系统进程(如 Winlogon.exe)也会始终显示此信息。 您可以通过其他方式验证软件的真伪。 此外,如果您在 Windows 10 或 11 中安装未签名的驱动程序,则后续重启时不会出现数字签名。
2.用CrowdInspect检查Windows进程的合法性
在 Windows 10 和 Windows 11 上,您可以使用外部软件应用程序检查流程文件的有效性:CrowdStrike 的 CrowdInspect。 CrowdInspect 是一款免费的基于主机的实时进程扫描工具,可使用 VirusTotal 等检测引擎在后台扫描恶意软件。
- 从官方链接下载 CrowdInspect ZIP 文件 然后点击解压后的程序运行。 您无需安装任何东西。
- 接受许可协议并转到可以对 Windows 计算机上的所有后台进程执行混合分析的屏幕。 使用内置的 API 密钥并单击 “行”.
3. 等待 CrowdInspect 将 Windows 设备上的全套后台程序和进程填满您的屏幕。
您可以通过颜色代码检查程序的状态。 任何干净的项目都用绿色图标表示。 如果有疑问,您会在图标旁边看到问号。 对于具有低风险威胁的项目,有一个黄色图标。 高风险项目用红色图标表示。 如果您的设备没有问题,您将不会看到任何黄色或红色图标。
4. 要进一步验证是否存在恶意软件问题,请右键单击该进程并单击 查看 HA 测试结果. 您应该不会注意到任何错误,这是一个安全的迹象,表明您没有在处理任何恶意软件。
看起来像恶意软件的常见 Windows 11/10 进程列表
1.资源管理器.exe
通用 Windows 文件资源管理器程序 explorer.exe 可从任务栏和桌面轻松访问。 它的主要目的是充当 Windows 11/10 设备上所有文件和文件夹的文件管理器。 由于其至关重要,explorer.exe 是攻击者最喜欢的目标。
病毒检测: explorer.exe 恶意软件通常表现为特洛伊木马、勒索软件(尤其是电子邮件)和 Adobe Flash 文件。 合法软件始终位于 “C:\Windows”, 重复项可能出现在驱动器 D、程序文件、隐藏文件夹或任何其他计算机位置。
行动: 如果您的计算机上有两到三个 explorer.exe 实例,只要它们都具有有效的数字签名和位置,您就不必担心。 当有多个进程占用CPU时,在CrowdInspect中选择dummy processes,然后右键 停止进程。
2.lsass.exe
lsass.exe 代表本地安全机构子系统服务,它在 Windows 用户身份验证之后运行。 除了恶意软件,您永远不应该终止原始进程,因为这将导致您的系统无法访问 管理员帐户和本地帐户 ,这会导致设备重新启动。
病毒检测: 恶意软件作者用来伪装 lsass 的常用方法是替换小写字母 “ L” 用一封信 “一世” 大写或大写字母 “L。” 注意任何故意的拼写错误。 此外,任何无效的数字签名和文件都在该文件夹之外 “C:\Windows\System32” 这是一个显而易见的礼物。
行动: 从任务管理器中退出 lsass 虚拟进程。 如果您不确定字符是否 “ L” 母亲 “一世” ,从 CrowdInspect 做同样的事情。 多个有效的 lsass 实例很好,不要被弄乱。
3.RuntimeBroker.exe
RuntimeBroker.exe 是一个安全的 Microsoft 进程,其工作是管理从 Microsoft Store 下载的任何应用程序的权限。 验证照片应用程序等软件的真实性。 如果任何应用程序不属于您的 Windows 机器,Runtime Broker 会通过消耗过多的额外内存来提醒您。
病毒检测: 如果您的 Windows 计算机感染了 RuntimeBroker.exe 病毒,您将在其他计算机位置看到它的存在 “C:\Windows\System32。” 因为软件是非法的,内存泄漏会急剧上升,使你的 CPU 负担过重。 您还会注意到虚假案例的无效数字签名。
行动: 打开 مديرالمهام。 انقرفوق 多个实例 对 Runtime Broker 有效并单击 “完成工作”. 这将结束特定应用程序的任何问题。 对于伪造的 RuntimeBroker.exe 条目,从 CrowdInspect 中终止它们。
4.winlogon.exe
对于 Windows 后台进程,没有什么比 winlogon.exe 更重要了。 它不仅管理登录过程,还加载用户配置文件、控制屏幕保护程序以及连接到多个网络。 它位于 “C:\Windows\System32。”
病毒检测: 通常是间谍软件或键盘记录程序,winlogon.exe 是一种非常危险的恶意软件,可以导致系统开始崩溃,这很容易识别。 如果您正在运行 Windows Defender,它会警告您立即删除该文件并终止使用的任何载体(电子邮件、Web 浏览器)。
行动: 安全的 winlogon.exe 可执行文件在 CrowdInspect 中不会包含多个实例。 其他虚假实例应在到达时使用 Windows Defender 建议删除。
5.svchost.exe
Svchost.exe指的是 Windows 服务主机 ,它是一个共享服务进程,充当一个 shell 来加载各种 Windows 服务。 根据打开的应用程序的数量,通常有许多 svchost.exe 实例作为单个进程运行。
病毒检测: 当 svchost.exe 恶意软件发现被重复进程或拼写变量阻止的受保护文件夹或程序时,您会遇到它 “svhosts.exe”. 它们大多是勒索软件或银行诈骗工具。 它们的源向量包括 PDF、ZIP 文件和 JavaScript。
行动: 这些特洛伊木马通常是低级威胁,但应尽快删除。 配备标准防病毒工具和 Windows Defender 可删除不在 “C:\Windows\System32”。
6.Office点击运行.exe
如果您使用的是 Office 工具(如 Word、Excel 或 PowerPoint),那么您会遇到一个名为 OfficeClickToRun.exe 的可执行文件。 它的工作是在您的设备上运行最新版本的 Microsoft Office 并处理更新。 即使不是恶意软件,OfficeClickToRun.exe 也可能占用您的 CPU 内存。 但是,如果定期删除临时文件,负担就会小很多。
病毒检测: 可执行文件是否位于 Microsoft 共享文件夹中除 Program Files 之外的任何位置? 额外的文件对您的系统来说是不健康的。 此外,您的 Windows 计算机应该只运行一个 OfficeClickToRun.exe 实例。 验证其他人的数字签名。
行动: 虽然它本身并无害处,但 OfficeClickToRun.exe 的虚假实例会阻塞您的系统内存。 通常他们会遇到受感染的文件和文档,必须立即将其删除。
7.igfxem.exe
igfxEM.exe是一个未知的后台进程,它是管理Intel显卡所必需的,因此对于显卡的显示非常重要。 它预装在您的设备上,应该单独放置,因为它根本不会给系统造成负担。
病毒检测: 如果您有多个 igfxEM 实例(以及所指出的拼写错误),请验证数字签名是否正确。 如果它显示 Intel 和 Microsoft,则没有恶意软件。 否则,您没有原始 igfxEM 文件,应该删除此过程。
行动: 如果您有有效的数字签名,您不应该采取任何行动——即使有多个英特尔实例。 如果您的原始 Intel 显卡似乎已损坏,请尝试从 “devmgmt.msc”, 设备管理器,在“开始”菜单中。
8.csrss.exe
Csrss.exe 代表客户端服务器运行时子系统,它是一个合法的用户进程,旨在管理 Windows 图形活动,例如关闭 GUI 和系统控制台服务。 将其与恶意软件混淆是很常见的。 终止它们对您的系统来说可能是致命的,从而导致崩溃。
病毒检测: 和其他程序一样 “C:\Windows\System32” ,csrss.exe 静静地留在后台,您只会在 CrowdInspect 中找到一两个实例。 任何可疑文件都将包含无效的数字签名并丢失版权详细信息。
行动: csrss.exe 经常被流氓安全软件公司和技术骗子用作设备被感染的“证据”。 这不是真正的恶意软件,因此您永远不应因为错误的技术建议而终止当前进程。
9.GoogleCrashHandler.exe文件
如果你的 Windows 机器上有任何谷歌程序,包括谷歌浏览器,你会发现一个名为 GoogleCrashHandler.exe 的可执行文件,它是谷歌更新程序包的一部分。 这不是 Windows 的关键组件,可以安全轻松地删除,但它也不总是恶意软件。
病毒检测: 如果Google CrashHandler.exe 的数字签名无效,即没有经过Google 签名,那么我们正在寻找可能是间谍软件或rootkit 感染的迹象,因为正常运行是安全的。
行动: 从系统的任务管理器中删除任何或所有 GoogleCrashHandler.exe 实例,尽管它并不总是恶意软件。 除非您想向 Google 发送崩溃报告,否则您不希望不必要地使 CPU 负担过重。
10.Spoolsv.exe
Spoolsv.exe 是一个本机 Windows 进程,与 Printing Spooler 服务集成,可将字体和图形转换为打印机硬件和任何虚拟打印机。 这是从 MS-DOS 开始就存在的核心 Windows 进程。 终止 spoolsv.exe 进程的任何有效条目将导致设备失败和系统重新启动。
病毒检测: 虽然它看起来像一些恶意软件,但 spoolsv.exe 是一个安全、合法的 Windows 进程。 任何其他进程都将缺少 Microsoft 的数字签名。 如果恶意软件作者使用相似的名称来定位您的系统,Windows Defender 应该会提醒您。
行动: 如果 spoolsv.exe 进程已通过 Microsoft 数字签名验证,则不应采取任何操作。 否则,转到任务管理器结束进程。
11. 任务管理器
Windows 任务管理器 (taskmgr.exe) 是一个非常重要的程序,它控制所有基本的 Windows 进程和应用程序。 关闭此根程序及其派生程序(例如 taskhostw.exe)对您的系统来说可能是致命的,恶意软件作者也知道这一点。
病毒检测: 如果您觉得与任务管理器关联的程序运行不正常,请检查其文件位置,该位置应位于 “C:\Windows\System32”。 重新启动设备以查看问题是否消失。 如果任务管理器的可疑实例仍然存在,我们会扫描可能的恶意软件。 另一个标志是他的数字签名,这将是无效的。
行动: 可以指定任意 “任务管理器” – 与可执行文件一样 – 感染了恶意软件并从任务管理器本身终止。 但是,如果您在 Windows 10 中遇到 TaskSchedulerHelper.dll 错误,请采取所示的纠正步骤。
摘要:类似于 Windows 进程的恶意软件警告标志
以下是如何处理与标准 Windows 系统进程类似的任何可疑进程的快速摘要。 您可能会或可能不会处理任何恶意软件,但跟踪这些警告标志很重要。
- 检查应用程序属性详细信息以获得正确的版权: Windows 11 和 Windows 10 中的每个程序都有一个文件位置。 从那里你可以访问 “细节” فيعلامةالتبويب “特性”。 确保版权属于 Windows、TrustedInstaller 或合法进程所有者,如 Google、Intel、NVIDIA 等。 如果不是,我们正在寻找需要从系统中删除的恶意软件的可能来源。
- 检查 Windows Process 程序的 CPU 使用率: 当多个系统一起工作时,Windows CPU 使用率出现峰值是正常的。 但是,同一软件的许多实例都会降低系统速度,这令人担忧。 应立即识别并关闭不必要的程序。
- 检查可疑 Windows 进程的数字签名: 这是验证过程的最重要和最简单的方法。 如果进程的数字签名无效且来源不可信,则很可能是恶意软件。
- 检查可疑进程的文件位置: 大多数 Windows 文件进程在您的计算机上都有明确定义的位置。 它可以是 “C:\Windows\System32” 、程序文件或其他一些明确定义的位置。 您不应在其他区域(例如驱动器 D)中找到此过程的实例,因为它表明可能存在恶意软件。
经常问的问题
Q 1. 如果某个 Windows 进程已经是恶意的,应该怎么办?
回答。 任何合法的 Windows 进程都不会损害您的系统。 但是,如果存在包含恶意软件的此类进程的重复实例,请转至 CrowdInspect,右键单击该进程,然后单击 “结束过程”. 如果 Windows Defender 正在运行,它将处理这些恶意软件实例。 另请阅读以找出原因 Windows Defender 是您唯一需要的防病毒软件.
Q2. 当一个有效的 Windows 进程终止时会发生什么,您如何从那里恢复?
回答。 如果您不小心终止了一个有效的 Windows 进程,后果将取决于该进程对您的系统的重要性。 如果是不必要的软件进程,对Windows机器是没有影响的。
对于影响较大的进程,例如 winlogon.exe 和 csrss.exe,Windows 有一个内置机制来防止它们意外终止。 但是,如果您坚持并尝试从任务管理器中终止系统,您的设备将自行关闭,需要重新启动。 在最坏的情况下,它可能会因熔毁而导致完全停电和永久性损坏。
如果低影响进程是 Windows 计划启动和维护不可或缺的一部分,系统将报告严重故障,并且 自动关闭它。 启动后 ,问题就会消失。
