在 Windows 上识别未知进程的最佳方法是什么？

当我这样做时，我通常使用两种工具的组合。

First Process Explorer，它基本上是破解的任务管理器。我真的不知道为什么 Micorsoft 不只是将一个替换为另一个。这个应用程序会告诉哪些进程正在运行，它们是否是另一个进程的子进程，进程的所有者是谁，该进程正在使用哪些文件，它启动的时间，它的路径等。这个工具不会从基本层面告诉你。它甚至具有内置的谷歌搜索功能，可以在互联网上查找有关流程的更多信息。

其次是 Process Explorers 的近亲Process Monitor。Process Monitor 类似于进程资源管理器，只是它向您显示有关进程正在做什么的更详细的信息。该工具将显示一个进程正在尝试读取/删除/修改哪些文件和注册表项，以及每当进行更改时正在写入注册表/文件系统的内容。因为这个更加冗长，所以我必须谨慎警告您，如果您尝试在较旧/较弱的计算机上使用它，因为它可能会导致系统崩溃，从而导致系统过载。但是，您可以应用过滤器来帮助限制来自它的输入量，这可能是首选方式，因为当视图未被过滤以隐藏与您的故障排除无关的任何内容时，此工具确实向您显示太多。

1. 谷歌
2. Hijackthis将日志带到Hijackthis.de
3. 进程监视器
4. Process Explorer这包含大量信息，包括是否已打包

从使用大量内存或 CPU 时间的任何事情开始。

对于任何新服务器，请花时间弄清楚在正常使用期间会发生什么。只有这样，您才能确定什么是不正确的。

大多数影响服务器的问题都在“性能”选项卡上可见，因此从那里开始，然后向下钻取。或者，从应用程序和系统事件日志的顶部开始。在您熟悉它们之前，您可能必须在 Google 上搜索它们以确定它们是否非凡。

作为一般规则，大多数失败的进程不会在%systemroot%\system32，除了dllhost.exe（托管 IIS 对象）。跟踪问题比从进程中猜测问题更好，因此使用Process Explorer将网络使用情况和锁定文件映射到进程。如果这是不可能的，请熟悉这些：

netstat -ano
netstat -e
tasklist
openfiles

这些具有通过 telnet/ psexec工作的优势。如果您发现某些事情变得疯狂，请在终止进程之前尝试使用服务选项卡停止相关服务。永远不要关闭手柄，无论它多么诱人。

另外，不要忽视Performance Monitor。它比其他来源需要更多的工作，但如果你错过了高峰，你可以开始记录候选人。

如果您在 google 中输入可执行文件的名称，您通常会得到一些详细说明这些进程所属的页面。

从中你可以决定什么属于什么不属于。

解决 Windows 问题的好处是，某个地方的某个人会遇到您遇到的问题，并且可以通过 Google 进行搜索 - 所以只需搜索“xxx 是什么”，我相信您会找到最不受欢迎的windows代码列出了很多次。