大家知道,如果怀疑某个进程是病毒、木马或者间谍软件等恶意程序带来的,那么首先就需要了解该可疑进程的路径、大小等详细信息
Windows进程信息不可用解决办法(4)
查看svchost.exe的访问控制列表
接下来查看三个详细信息不可用的svchost.exe进程的访问控制列表。
在“系统信息”窗口里记下这三个svchost.exe进程的PID,然后在Process Explorer窗口里打开该进程的属性对话框,查看其安全权限,(如图4)所示。
图4
和csrss.exe进程相比,除了Local System帐户外,svchost.exe进程的访问控制列表中还包含了一个未知SID(本例是S-1-5-5-0-35860),实际上这是该svchost进程的Logon SID,也就是该svchost进程所在登录会话的SID。也就是说,只要是在同一个登录会话里运行的进程,就可以访问该svchost.exe进程的信息。
和图2作比较,会发现“系统信息”进程的Logon SID是S-1-5-5-0-40881,和svchost.exe进程的Logon SID不同,所以“系统信息”无法访问这些svchost.exe进程的详细信息。
用同样的方法,可以找到alg和wdfmgr.exe的进程信息不可用的原因。
用subinacl.exe命令行工具查看进程的访问控制列表
我们还可以利用subinacl.exe命令行工具,查看进程的访问控制列表,这里以csrss.exe进程为例。打开命令提示符窗口,运行以下命令:
subinacl /process csrss.exe /display=dacl
命令的部分结果类似如下显示:
=========================
+Process csrss.exe - 940
=========================
/perm. ace count =1
/pace =system ACCESS_ALLOWED_ACE_TYPE-0x0 AccessMask=0x20c79
命令结果表明csrss.exe进程仅允许SYSTEM帐户访问,所以“系统信息”组件无法获得该进程的详细信息。
网友评论