启动任务管理器

任务管理器详解.txt32因为爱心，流浪的人们才能重返家园；因为爱心，疲惫的灵魂才能活

力如初。渴望爱心，如同星光渴望彼此辉映；渴望爱心，如同世纪之歌渴望永远被唱下去。

任务管理器详解

Windows的任务管理器提供了有关计算机性能的信息，并显示了计算机上所运行的程序和进

程的详细信息，可以显示最常用的度量进程性能的单位；如果连接到网络，那么还可以查看

网络状态并迅速了解网络是如何工作的，今天，我们就来全面了解任务管理器的方方面面。

一、如何启动任务管理器

最常见的方法是同时按下“Ctrl+Alt+Del”组合键，不过如果不小心接连按了两次键，

可能会导致Windows系统重新启动，假如此时还未保存数据的话，呵呵，惨了。

其实，我们可以选择一种更简单的方法，就是右键单击任务栏的空白处，然后单击选择

“任务管理器”命令。或者，按下“Ctrl+Shift+Esc”组合键也可以打开任务管理器。当然，

也可以为文件在桌面上建立一个快捷方式，然后为此快捷

方式设置一个热键，以后就可以一键打开任务管理器了。

小提示：需要说明的是，在WindowsXP中，如果未使用欢迎屏幕方式登录系统，那么按

下“Ctrl+Alt+Del”组合键，弹出的只是“Windows安全”窗口，必须选择“任务管理器”

才能够打开。

二、认识任务管理器

任务管理器的用户界面提供了文件、选项、查看、窗口、关机、帮助等六大菜单项，例

如“关机”菜单下可以完成待机、休眠、关闭、重新启动、注销、切换等操作，其下还有应

用程序、进程、性能、联网、用户等五个标签页，窗口底部则是状态栏，从这里可以查看到

当前系统的进程数、CPU使用比率、更改的内存<容量等数据，默认设置下系统每隔两秒钟对

数据进行1次自动更新，当然你也可以点击“查看→更新速度”菜单重新设置。

1.应用程序

这里显示了所有当前正在运行的应用程序，不过它只会显示当前已打开窗口的应用程序，

而QQ、MSNMesnger等最小化至系统托盘区的应用程序则并不会显示出来。

你可以在这里点击“结束任务”按钮直接关闭某个应用程序，如果需要同时结束多个任

务，可以按住Ctrl键复选；点击“新任务”按钮，可以直接打开相应的程序、文件夹、文档

或Internet资源，如果不知道程序的名称，可以点击“浏览”按钮进行搜索，其实这个“新

任务”的功能看起来有些类似于开始菜单中的运行命令。

2.进程

这里显示了所有当前正在运行的进程，包括应用程序、后台服务等，那些隐藏在系统底

层深处运行的病毒程序或木马程序都可以在这里找到，当然前提是你要知道它的名称。找到

需要结束的进程名，然后执行右键菜单中的“结束进程”命令，就可以强行终止，不过这种

方式将丢失未保存的数据，而且如果结束的是系统服务，则系统的某些功能可能无法正常使

用。

Windows的任务管理器只能显示系统中当前进行的进程，而ProcessExplorer可以树状

方式显示出各个进程之间的关系，即某一进程启动了哪些其他的进程，还可以显示某个进程

所调用的文件或文件夹，如果某个进程是Windows服务，则可以查看该进程所注册的所有服

务，需要的朋友可以从下载。

3.性能

从任务管理器中我们可以看到计算机性能的动态概念，例如CPU和各种内存的使用情况。

CPU使用情况：表明处理器工作时间百分比的图表，该计数器是处理器活动的主要指示

器，查看该图表可以知道当前使用的处理时间是多少。

CPU使用记录：显示处理器的使用程序随时间的变化情况的图表，图表中显示的采样情

况取决于“查看”菜单中所选择的“更新速度”设置值，“高”表示每秒2次，“正常”表示

每两秒1次，“低”表示每四秒1次，“暂停”表示不自动更新。

PF使用情况：正被系统使用的页面文件的量。

页面文件使用记录：显示页面文件的量随时间的变化情况的图表，图表中显示的采样情

况取决于“查看”菜单中所选择的“更新速度”设置值。

总数：显示计算机上正在运行的句柄、线程、进程的总数。

执行内存：分配给程序和操作系统的内存，由于虚拟内存的存在，“峰值”可以超过最大

物理内存，“总数”值则与“页面文件使用记录”图表中显示的值相同。

物理内存：计算机上安装的总物理内存，也称RAM，“可用”表示可供使用的内存容量，

“系统缓存”显示当前用于映射打开文件的页面的物理内存。

内核内存：操作系统内核和设备驱动程序所使用的内存，“页面”是可以复制到页面文件

中的内存，由此可以释放物理内存；“非分页”是保留在物理内存中的内存，不会被复制到页

面文件中。

4.联网

这里显示了本地计算机所连接的网络通信量的指示，使用多个网络连接时，我们可以在

这里比较每个连接的通信量，当然只有安装网卡后才会显示该选项。

5.用户

这里显示了当前已登录和连接到本机的用户数、标识(标识该计算机上的会话的数字

ID)、活动状态(正在运行、已断开)、客户端名，可以点击“注销”按钮重新登录，或者通过

“断开”按钮连接与本机的连接，如果是局域网用户，还可以向其他用户发送消息呢。

三、任务管理器的特别任务

其实，任务管理器除了终止任务、结束进程、查看性能外，它还可以完成很多更高级的

特别任务呢。下面，我们通过几个实例来介绍任务管理器的扩展应用：

同时最小化多个窗口

切换到“应用程序”标签页，按住Ctrl键同时选择需要同时最小化的应用程序项目，然

后点击这些项目中的任意一个，从右键菜单中选择“最小化”命令即可，这里同时还可以完

成层叠、横向平铺、纵向平铺等操作。

降低某软件的资源占用率

运行某软件时，该软件占用大量的系统资源，你会看到硬盘灯不停闪烁并伴随着飞速转

动的噪音，此时无论是浏览网页或是运行其他应用程序，肯定会有系统停滞的感觉。

打开“任务管理器→进程”窗口，选择该软件的进程名，然后从右键菜单中选择“设置

优先级”命令，这里可以选择实时、高、高于标准、标准、低于标准、低等不同级别，请根

据实际情况进行设置，例如设置为“低于标准”可以降低进程的优先级别，从而让Windows

为其他进程分配更多的资源。

打开处理器的超线程

P4处理器的超线程技术(Hyper-ThreadingTechnology)其实是相当于将一颗处理器分为

两个虚拟的处理器，简单地说，实现超线程需要处理器、主板、操作系统三方面的支持。如

果你使用的是WindowsXP/Server2003，而且确定自己的主板和处理器支持超线程，那么可

以切换到“性能”标签页，如果这里显示两个CPU使用记录图表的话，说明你的处理器确确

实实已经打开超线程。

当然，我们也可以在开机信息中查看超线程支持情况，一般会显示CPU1、CPU2两个处理

器名称，或者启动后进入“设备管理器”，这样同样会显示两个处理器的信息。

禁用任务管理器

任务管理器可以完成如此强大的任务，如果你使用的是公用计算机，而又不希望他人私

自操作任务管理器，可以在“开始→运行”框中键入命令打开组策略窗口，找到

“本地计算机策略→用户配置→管理模板→系统→Ctrl+Alt+Del选项”项，然后在右侧窗口

中选择“删除任务管理器”项，将其设置为“已启用”，以后按下“Ctrl+Alt+Del”组合键时

就无法操作任务管理器了。

当然，通过文中提到的其他两个方法还是可以正常操作任务管理器的，一劳永逸的解决

办法是为文件设置用户授权，当然必须使用NTFS文件系统才行，呵呵。

线程：在运行程序指令的进程的对象，线程允许在进程中进行并发操作，并使一个进程

能够在不同处理器上同时运行其程序的不同部分。

进程：一个可执行程序(例如资源管理器)或者一种服务(例如MSTask)

四：打造增强版本的任务管理器

有网友将任务管理器从Longhorn测试版操作系统中剥离出来，放在网上供下载

（/soft/epc/2004-10/）。这个版本的任务管理器可以直

接升级WindowsXP/Server2003的任务管理器，而且同原有版本相比，在识别木马和分析系

统方面的能力大大增强。今天就让我们来看看这个版本的任务管理器是如何揪出木马的。

解压缩下载文件，会得到、、等3个文件，首

先覆盖WindowsSystem32Dllcahe下的同名文件，覆盖前请事先备份源文件，接下来继续

覆盖WindowsSystem32下的同名文件，当弹出“Windows文件保护”对话框时，选择“取

消”按钮。

以前我们经常说可以利用进程来判断系统中是否有木马，但是旧版任务管理器在进程分

析和判断方面功能过于弱小，对于一般用户来说掌握这种方法有一定难度。现在好了，

Longhorn版“任务管理器”可以采用进程名、进程路径及用户名三方面相结合的方法来判断

病毒及木马。

一般来说木马和病毒会采取两种途径潜伏在进程中。一是直接利用系统现有进程。比如

、这些进程。还有一种就是通过改头换面，生成新的进程，但进

程名称同系统基本进程非常相似，不容易被发现。比如、。

后者主要是通过查看“映像名称”来揪出木马。而前者则需要分析进程所在路径。

在这里我们看到系统中有一个，这是WindowsXP中最熟悉的进程之一。但

是当我们通过点击鼠标右键菜单的“打开所在目录”，却意外发现这个进程所在的路径是

C:Windows。要知道这个进程一般是在C:windowssystem32下面。那么现在就可以初步判

定这个进程存在问题。接下来通过专门的木马工具进行扫描。

其实还有更为简便的方法，利用“映像路径”直接判断进程是否存在问题。当然你首先

需要在新版任务管理器面板上面打开“查看→选择列”，勾选其中的“映像路径”选项。然后

回到“进程”选项卡，就能够直接看到进程的路径了，有没有问题就一目了然。

注意“用户名”也是另外一个发现进程是否正确的方法。如果是系统的进程（“用户名”

为“SYSTEM”），则是正常的，如果是用户的进程，则可能是病毒了。比如，有一个

进程的用户名是其它名字，那你就需要杀毒了。

总的来说，Longhorn版任务管理器在进程管理方面得到了大大改善，灵活利用它，将帮

助你迅速发现系统中是否存在病毒或者木马，便于你及时进行清除。

小资料

基本进程：、、、、、、

、、SystemIdleProcess；

常见进程：、、、、、

、、、、，

五：任务管理器杀不了的进程关闭法

WindowsXP/2000的任务管理器是一个非常有用的工具，能让你看到系统中正在运行哪些

程序（进程），只要你平时多看任务管理器中的进程列表，熟悉系统的基本进程，就可以随时

发现可疑进程，这对防范木马和病毒大有用途，但有一些可疑进程，你用任务管理器却无法

杀掉，这该如何处理呢？

哪些系统进程不能关掉

Windows运行的时候，会启动多个进程。只要按下“Ctrl+Alt+Del”键打开任务管理器，

点击“查看”/选择列，勾选“PIO（进程标识符）”，然后单击“进程”标签，即可看到这些

进程。不过有一些进程个人用户根本用不到，例如（显示系统托盘小喇叭图标）、

（微软Office输入法）、等，我们完全可以禁止它们，这样做并不

会影响系统的正常运行。

如何关闭任务管理器杀不了的进程

如果你在任务管理器中无法关闭某个可疑进程，可以使用下面的方法强行关闭，注意不

要杀掉进程表中的系统核心进程：

使用WindowsXP/2000自带的工具

从Windows2000开始，Windows系统就自带了一个用户态调试工具Ntsd，它能够杀掉大

部分进程，因为被调试器附着的进程会随调试器一起退出，所以只要你在命令行下使用Ntsd

调出某进程，然后退出Ntsd即可终止该进程，而且使用Ntsd会自动获得Debug权限，因此

Ntsd能杀掉大部分的进程。

操作方法：单击“开始”/程序/附件/命令提示符，输入命令：ntsd-cq-pPID（把最

后那个PID，改成你要终止的进程的PID）。在进程列表中你可以查到某个进程的PID，例如

要关闭进程，输入：ntsd-cq-p408即可。

系统默认打开任务管理器后是无法查看到进程PID的，不过你可以切换到进程查看项目后，

在任务管理器菜单的的“查看-选择列”选项里勾选PID项，这样就可以查看到每个进程的

PID值了。

以上参数-p表示后面跟随的是进程PID，-cq表示执行退出Ntsd的调试命令，从命令

行把以上参数传递过去就行了。