第一：进程是什么
　　进程为应用程序的运行实例，是应用程序的一次动态执行。看似高
深，我们可以简单地理解为：它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包
括：系统管理计算机个体和完成各种操作所必需的程序；用户开启、执行的额外程序，当然也包括用户不知道，而自动运行的非法程序（它们就有可能是病毒程序）。

　　危害较大的可执行病毒同样以“进程”形式出现在系统内部（一些病毒可能并不被进程列表显示，如“宏病毒”），那么及时查看并准确杀掉非法进程对于手工
杀毒有起着关键性的作用。

第二：什么是木马

木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。

　　传染方式：通过电子邮件附件发出或捆绑在其他的程序中。

　　病毒特性：会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

　　木马病毒的破坏性：木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序指定的地址，一般同时
内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。
　　防范措施：用户提高警惕，不下载和运行来历不明的程序，对于不明来历的邮件附件也不
要随意打开。

第三：什么是计算机病毒
　　计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着 在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。

　　除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图象上时，它们可能也 已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。可以从 不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染” 其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序,它通过不同的途径 潜伏或寄生在存储媒体（如磁盘、内存）或程序里。当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏等等。这些说法在某种意 义上借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏, 同时能够自我复制, 具有传染性。

　　所以, 计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。

第四：什么是蠕虫病毒

　　蠕虫病毒是计算机病毒的一种。它的传染机理是利用网络进行复制和传播，传染途径是通过网络和电子邮件。

　　蠕虫病毒利用了微软视窗操作系统的漏洞，计算机感染这一病毒后，会不断自动拨号上网，并利 用文件中的地址信息或者网络共享进行传播，最终破坏用户的大部分重要数据。

　　蠕虫病毒的一般防治方法是：使用具有实时监控功能的杀毒软件，并且注意不要轻易打开不熟悉的邮件附件。

第七：Dll文件是什么

　　DLL是Dynamic Link Library的缩写，意为动态链接库。在Windows中，许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独立的动态链接库，即DLL 文件，放置于系统中。当我们执行某一个程序时，相应的DLL文件就会被调用。一个应用程序可有多个DLL文件，一个DLL文件也可能被几个应用程序所共 用，这样的DLL文件被称为共享DLL文件。DLL文件一般被存放在C:\WINDOWS\SYSTEM32（NT）或C:\WINDOWS \SYSTEM（9X）目录下。

　　1、如何了解某应用程序使用哪些DLL文件

　　右键单击该应用程序并选择快捷菜单中的“快速查看”命令，在随后出现的“快速查看”窗口的“引入表”一栏中你将看到其使用DLL文件的情况。

　　2、如何知道DLL文件被几个程序使用

　　运行Regedit，进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\SharedDlls子键查看，其右边窗口中就显示了所有DLL文件及其相关数据，其中数据右边小括号内的数字就说明了 被几个程序使用，（2）表示被两个程序使用，（0）则表示无程序使用，可以将其删除
。
　　3、如何解决DLL文件丢失的情况

　　有时在卸载文件时会提醒你删除某个DLL文件可能会影响其他应用程序的运行。所以当你卸载软件时，就有可能误删共享的DLL文件。一旦出现了丢失 DLL文件的情况，如果你能确定其名称，可以在Sysbckup（系统备份文件夹）中找到该DLL文件，将其复制到System文件夹中。如果这样不行， 在电脑启动时又总是出现“***dll文件丢失……”的提示框，你可以在“开始/运行”中运行Msconfig，进入系统配置实用程序对话框以后，单击选 择“System.ini”标签，找出提示丢失的DLL文件，使其不被选中，这样开机时就不会出现错误提示了。

　　rundll的功能是以命令列的方式呼叫Windows的动态链结库。

　　Rundll32.exe与Rundll.exe的区别就在于前者是呼叫32位的链结库，后者是用于16位的链结库。
　　rundll32.exe是专门用来调用dll文件的程序。

　　如果用的是Win98，rundll32.exe一般存在于Windows目录下；

　　如果用的WinXP，rundll32.exe一般存在于Windows\System32目录下。

　　若是在其它目录，就可能是一个木马程序，它会伪装成rundll32.exe。

第八：什么是系统进程

　　进程是指在系统中正在运行的一个应用程序；线程是系统分配处理器时间资源的基本单元，或者说进程之内独立执行的一个单元。对于操 作系统而言，其调度单元是线程。一个进程至少包括一个线程，通常将该线程称为主线程。一个进程从主线程的执行开始进而创建一个或多个附加线程，就是所谓基 于多线程的多任务。

　　那进程与线程的区别到底是什么？进程是执行程序的实例。例如，当你运行记事本程序（Nodepad）时，你就创建了一个用来容纳组成 Notepad.exe的代码及其所需调用动态链接库的进程。每个进程均运行在其 专用且受保护的地址空间内。因此，如果你同时运行记事本的两个拷贝，该程序正在使用的数据在各自实例中是彼此独立的。在记事本的一个拷贝中将无法看到该程 序的第二个实例打开的数据。

　　以沙箱为例进行阐述。一个进程就好比一个沙箱。线程就如同沙箱中的孩子们。孩子们在沙箱子中跑来跑去，并且可能将沙子攘到别的孩子眼中，他们会互相踢 打或撕咬。但是，这些沙箱略有不同之处就在于每个沙箱完全由墙壁和顶棚封闭起来，无论箱中的孩子如何狠命地攘沙，他们也不会影响到其它沙箱中的其他孩子。 因此，每个进程就象一个被保护起来的沙箱。未经许可，无人可以进出。

　　实际上线程运行而进程不运行。两个进程彼此获得专用数据或内存的唯一途径就是通过协议来共享内存块。这是一种协作策略。下面让我们分析一下任务管理器 里的进程选项卡。

　　这里的进程是指一系列进程，这些进程是由它们所运行的可执行程序实例来识别的，这就是进程选项卡中的第一列给出了映射名称的原因。请注意，这里并没有 进程名称列。进程并不拥有独立于其所归属实例的映射名称。换言之，如果你运行5个记事本拷贝，你将会看到5个称为Notepad.exe的进程。它们是如 何彼此区别的呢？其中一种方式是通过它们的进程ID，因为每个进程都拥有其独一无二的编码。该进程ID由Windows NT或Windows 2000生成，并可以循环使用。因此，进程ID将不会越编越大，它们能够得到循环利用。

　　第三列是被进程中的线程所占用的CPU时间百分比。它不是CPU的编号，而是被进程占用的CPU时间百分比。此时我的系统基本上是空闲的。尽管系统看 上去每一秒左右都只使用一小部分CPU时间，但该系统空闲进程仍旧耗用了大约99%的CPU时间。

　　第四列，CPU时间，是CPU被进程中的线程累计占用的小时、分钟及秒数。请注意，我对进程中的线程使用占用一词。这并不一定意味着那就是进程已耗用 的CPU时间总和，因为，如我们一会儿将看到的，NT计时的方式是，当特定的时钟间隔激发时，无论谁恰巧处于当前的线程中，它都将计算到CPU周期之内。
　　通常情况下，在大多数NT系统中，时钟以10毫秒的间隔运行。每10毫秒NT的心脏就跳动一下。有一些驱动程序代码片段运行并显示谁是当前的线程。让 我们将CPU时间的最后10毫秒记在它的帐上。因此，如果一个线程开始运行，并在持续运行8毫秒后完成，接着，第二个线程开始运行并持续了2毫秒，这时， 时钟激发，请猜一猜这整整10毫秒的时钟周期到底记在了哪个线程的帐上？答案是第二个线程。因此，NT中存在一些固有的不准确性，而NT恰是以这种方式进 行计时，实际情况也如是，大多数32位操作系统中都存在一个基于间隔的计时机制。请记住这一点，因为，有时当你观察线程所耗用的CPU总和时，会出现尽管 该线程或许看上去已运行过数十万次，但其CPU时间占用量却可能是零或非常短暂的现象，那么，上述解释便是原因所在。上述也就是我们在任务管理器的进程选 项卡中所能看到的基本信息列。
第九：什么是应用程序

　　应用程序是指为了完成某项或某几项特定任务而被开发运行于操作系统之上的计算机程序。 应用程序与应用软件的概念不同，但常常因为概念相似而被混淆。软件指程序与其相关文档或其他从属物的集合。一般的我们视程序为软件的一个组成部分。

　　例如：一个游戏软件包括程序(*.exe)和其它图片(*.bmp等)、音效(*.wav等)等附件，那么这个程序(*.exe)称作“应用程序”， 而它与其他文件（图片、音效等）在一起合称“软件”。

　　应用程序（Application）运行在用户模式，它可以和用户进行交互，具有可视的用户界面。

　　对于应用程序，需要了解的是：每一个应用程序运行于独立的进程、他们拥有自己独立的地址空间。不同应用程序的分界线称为进程边界。

　　应用程序通常又被分为两部分：图形用户接口(GUI)和引擎（Engine)。


　　在DOS或Windows系统下其扩展名为*.exe或*.com

学习啦~~ 很多基础的概念~~但记不住，咋地办呀~~

第十：如何察看正在运行的进程

　　察看正在运行的进程的方法有很多，最简单就是使用Windows自带的进程管理器察看正在运行的进程：同时按下“Ctl Alt Del”打开Windows进程管理器。点击进程的标签，即可察看系统中进行的进程列表。或者用鼠标右键点系统状态栏“系统管理器”进入系统进程管理器。

第十一：如何强制结束一个运行中的进程

　　1、打开“终端服务管理器（任务管理器）”。

　　2、在“进程”选项卡上的“用户”列下，右键单击要结束的进程，然后单击“结束进程”。
　　注意：
　　（1）必须具有完全控制权限才能结束进程。
　　（2）要打开“终端服务管理器”，请依次单击“开始”和“控制面板”，双击“管理工具”，然后双击“终端服务管理器”。
　　（3）请注意：在没有警告的情况下结束进程会导致用户会话中的数据丢失。
　　（4）可能需要结束进程，因为应用程序没有响应
　　（5）也可以使用 tskill 命令结束进程。
　　强制结束进程的命令行
　　Windows操作系统中只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的，最后那个是Win32子系 统，ntsd本身需要它。ntsd从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出，所以可以用来在 命令行下终止进程。使用ntsd自动就获得了debug权限，从而能杀掉大部分的进程。ntsd会新开一个调试窗口，本来在纯命令行下无法控制，但如果只 是简单的命令，比如退出(q)，用-c参数从命令行传递就行了。Ntsd按照惯例也向软件开发人员提供。只有系统开发人员使用此命令。有关详细信息，请参 阅 NTSD 中所附的帮助文件。
　　用法：开个cmd.exe窗口，输入：ntsd -c q -p PID
 
　　把最后那个PID，改成你要终止的进程的ID。如果你不知道进程的ID，任务管理器->进程选项卡->查看->选择列->勾 上“PID(进程标识符)”，然后就能看见了。

　　XP下还有两个好用的工具tasklist和tskill。tasklist能列出所有的进程，和相应的信息。tskill能查杀进程，语法很简 单：tskill 程序名！

第十二：一些常见的进程

　　进程名 描述
　　smss.exe Session Manager
　　csrss.exe 子系统服务器进程
　　winlogon.exe 管理用户登录
　　services.exe 包含很多系统服务
　　lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
　　svchost.exe Windows 2000/XP 的文件保护系统
　　SPOOLSV.EXE 将文件加载到内存中以便迟后打印。
　　explorer.exe 资源管理器
　　internat.exe 托盘区的拼音图标
　　mstask.exe 允许程序在指定时间运行.
　　regsvc.exe 允许远程注册表操作。(系统服务)→remoteregister
　　tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。
　　llssrv.exe 证书记录服务
　　ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。
　　RsSub.exe 控制用来远程储存数据的媒体。
　　locator.exe 管理 RPC 名称服务数据库。
　　clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页
　　msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统或其他事务保护资源管理器。
　　grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文 件指向一个数据存储点，以节省磁盘空间（只对 NTFS 文件系统有用）。
　　snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。
 
　　以上这些进程都是对计算机运行起至关重要的，千万不要随意“杀掉”，否则可能直接影响系统的正常运行。

第十三：什么是网络钓鱼

　　网络钓鱼 （Phishing）攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信 用卡公司等可信的品牌，骗取用户的私人信息。

　　如何防备网络钓鱼？

　　不要在网上留下可以证明自己身份的任何资料，包括手机号码、身份证号、银行卡号码等。
　　不要把自己的隐私资料通过网络传输，包括银行卡号码、身份证号、电子商务网站账户等资料不要通过QQ、MSN 、Email 等软件传播，这些途径往往可能被黑客利用来进行诈骗。
　　不要相信网上流传的消息，除非得到权威途径的证明。如网络论坛、新闻组、 QQ 等往往有人发布谣言，伺机窃取用户的身份资料等。
　　不要在网站注册时透露自己的真实资料。例如住址、住宅电话、手机号码、自己使用的银行账户、自己经常去的消费场所等。骗子们可能利用这些资料去欺骗你 的朋友。
　　如果涉及到金钱交易、商业合同、工作安排等重大事项，不要仅仅通过网络完成，有心计的骗子们可能通过这些途径了解用户的资料，伺机进行诈骗。
　　不要轻易相信通过电子邮件、网络论坛等发布的中奖信息、促销信息等，除非得到另外途径的证明。正规公司一般不会通过电子邮件给用户发送中奖信息和促销 信息，而骗子们往往喜欢这样进行诈骗。