大家知道,如果怀疑某个进程是病毒、木马或者间谍软件等恶意程序带来的,那么首先就需要了解该可疑进程的路径、大小等详细信息
Windows进程信息不可用解决办法(3)
查看“系统信息”进程的访问令牌
以管理员帐户登录系统,启动“系统信息”程序窗口,然后打开Process Explorer。双击“系统信息”的对应进程HelpCtr.exe,在打开的属性对话框里切换到“Security”标签页,这就是“系统信息”进程所获得的访问令牌,(如图2)所示。
图2
这里需要注意的是,尽管“系统信息”程序的对应Image文件应该是msinfo32.exe,但是通过Process Explorer监控发现,其对应的进程实际是HelpCtr.exe。
查看csrss.exe的访问控制列表
以csrss.exe进程为例。在Process Explorer中双击该csrss.exe进程,在打开的属性对话框里切换到“Security”标签页。然后单击其右下角的“Permission”按钮,即可查看csrss.exe进程的访问权限设置。可以看到该进程只允许Local System帐户访问。单击打开对话框上的“高级”按钮,还可以查看Local System帐户具有的详细权限,(如图3)所示。
图3
这样就可以解释为什么无法查看csrss.exe进程信息,原来只有Local System帐户才有权限访问csrss.exe进程,而系统进程的访问令牌里并不包含Local System帐户。
网友评论