任务管理器
使用任务管理器可以管理系统中常见的进程,以及进程的相关信息
右键其中的名称或者PID等列选择列,可以选择一些平常看不到的信息,例如路径名称、命令行
系统自带的任务管理器的功能是有限的,这里推荐使用方便查看的工具
- ProcessExplorer: https://learn.microsoft.com/en-us/sysinternals/downloads/process-explorer
- PorcessExplorer是微软官方提供的进程查看软件
- processhacker: https://processhacker.sourceforge.io/
系统进程(System)
我们一般使用的程序的进程中,都是系统随机分配的,但是系统进程不一样,是固定的。
系统进程(System)的进程ID是4,这是无法更改和替代的,负责管理和调度系统资源。它是由Windows NT操作系统创建的,用于启动和管理其他系统进程和服务
用户模式和内核模式
- 用户模式是应用程序在用户模式下运行,只能使用CPU支持指令集的一个子集,只能访问用户空间中的内存,并且不能直接访问硬件。所有的Windows应用程序都工作于用户模式。位于用户空间的代码都工作于用户模式。应用程序只能通过Windows规定的一些API访问内核模式的代码和数据
- 内核模式是核心操作系统组件在内核模式下运行。多个驱动程序在内核模式下运行,但某些驱动程序也在用户模式下运行。工作在内核模式的程序不受任何限制,可以使用CPU支持的任意指令,可以访问任意的内存空间,可以直接访问硬件。位于内核空间的代码都工作于内核模式
使用processhacker查看
右键properties查看该进程的详细信息
需要注意的点:
- 程序路径: C:\Windows\system32\ntoskrnl.exe
- 父进程: System Idle Process (0)
常见的异常情况:
- 父进程不是0
- 有多个
system进程 PID不是4- 运行回话不是
0