在日常使用电脑的过程中,我们经常会遇到一些异常的情况:比如无法删除某文件(系统提示文件正在被XX程序使用),或者电脑的网速突然变得很慢,怀疑自己的电脑有异常程序联网等,此时可以借助Windows 10的资源监视器来排查问题之所在。
1. 找出正在使用某文件的后台进程
笔者近日在尝试删除“C:/Windows/assembly”下的一个文件时,系统弹出下图的提示无法删除,但是Windows 10并没有在窗口中提示到底是什么程序在使用该文件(图1)。
此时,我们可以在任务栏的搜索框中输入“资源监视器”,启动该组件后切换到“CPU”选项卡,接着展开下方的“关联的句柄”,在其后的搜索框中输入欲删除文件的名称,回车后开始搜索。在搜索结果窗口中,我们可以看到占用该文件的程序是powershell.exe(图2)。
现在返回到图2所示的窗口,在进程列表下右击powershell.exe并选择“结束进程”,最后再返回到资源管理器窗口,即可顺利地删除该文件。大家以后在遇到类似的问题时,可以参考上面介绍的方法找出占用文件的进程并将其终止,这样就可以删除文件了。
2. 找出可疑的联网程序
除了查找文件占用的程序,借助资源监视器还可以对本机中所有联网的程序进行查看和控制。比如公司近日有台电脑在使用浏览器访问网站时,无论打开什么网页,速度都非常缓慢,因此笔者怀疑系统后台可能有恶意程序在连接外网。此时可以启动资源监视器,在图2所示的窗口中切换到“网络”选项卡,在这里就可以看到本机所有正在联网的活动程序。按提示点击“发送”或“接收”选项卡,这样每个联网程序会按照占用带宽的大小进行排序(图3)。
因为电脑的故障主要是打开网页的速度慢,一般来说正常的网络程序是不会导致这个问题的,所以为了方便排查,这里建议先将常用的网络程序如QQ、微信、浏览器等退出。接着再次打开图3所示的窗口排序,可以看到现在本机仍然有一个名为“tcd.exe”的进程在连接外网,那么这个进程在连接什么网站?按提示在“名称”选项下勾选该进程,展开下方的网络活动,在下面的窗格中就可以看到该进程连接的详细信息了,可以看到该进程正在连接多个外网的IP(图4)。
那么,怎么判断该进程连接的IP地址是否正常呢?我们可以使用“https://www.ip138.com/”提供的服务进行验证。比如上述进程连接的一个IP地址为“45.34.10.165”,打开上述的网页后将IP地址粘贴到搜索框中,回车后可以看到这里连接的是一个美国加利福尼亚洛杉矶的地址(图5)。通过对本机常用的联网程序进行排查,笔者发现目前使用的网络程序并没有需要连接到国外的,所以可以判断“tcd.exe”是一个较为可疑的程序。
接下来我们通过任务管理器查找该进程的详细位置并继续进行判断,启动任务管理器后切换到“详细信息”,在进程列表中找到tcd.exe并右击,然后选择“打开文件所在的位置”(图6)。
这样在打开的资源管理器窗口中可以看到,该文件在“C:/Users/当前用户/AppData/Local/Temp/TCD9B81.tmp”下。右击该文件并选择“属性”,再切换到“详细信息”,可以看到该文件的版本、名称、版权都是空白(图7)。
至此基本可以确定tcd.exe是一个恶意程序,返回图4所示的窗口右击tcd.exe进程并选择“终止进程”,最后再返回资源管理器窗口并将该文件删除,重启电脑后,网页打开速度慢的问题得到解决。
小提示:
资源监视器只对当前正在运行并且有网络活动(上传或下载)的程序进行监视。一些木马可能当前没有网络活动,此时可以依次点击“开始→运行”,然后输入“perfmon /report”并回车,这样Windows 10会生成一个报告(图8)。按提示打开报告,我们可以在其中查看所有连接的网络程序进行排查。当然,如果没有发现问题,可以不定时地多次运行上述的命令生成多个报告进行排查。
当然,资源监视器的用途还有很多,比如当前使用的电脑硬盘灯一直狂闪,那么就可以切换到“磁盘”选项卡,查看当前读写最频繁的进程;切换到“内存”选项卡则可以找到内存占用最大的进程,大家不妨自行尝试。