进程树是一个形象化的比喻,比如一个进程启动了一个程序,而启动的这个进程就是原来那个进程的子进程,依此形成的一种树形的结构,我们可以在进程管理器选择结束进程树,就可以结束其子进程和派生的子进程。
=========================================================================
我们知道,一些程序进程运行后,会调用其他进程来执行一些特定功能,这样就组成了一个进程树。
举个简单的例子:在Windows XP的“运行”对话框中输入“cmd”启动命令行控制台,然后在命令行
中输入“notepad”启动记事本。现在,命令行控制台进程“cmd.exe”和记事本进程“notepad.exe”
就组成了一个进程树,其中“notepad.exe”进程是由“cmd.exe”进程创建的,前者称为子进程,
后者称为父进程。现在我们用组合键Ctrl+ Alt+ Del调出任务管理器,在“进程”页面中选择“cmd.exe”,
右击鼠标并选择“结束进程树”命令(如图),这时你会发现记事本进程也被同时杀死了。如果在“notepad.exe”
进程上结束进程树的话,“cmd.exe”进程则依旧运行。因此,结束进程树的特性就是在结束一个进程的同时,
结束由该进程直接或间接创建的子进程。
那么结束进程树有什么应用呢?比如一些新型的木马服务端程序运行后,会同时生成两个木马进程,
这两个进程互相监控、互相保护。对此类木马,我们就可以分别对两个木马进程尝试使用“结束进程树”命令,
从而同时杀死两个木马进程,然后再删除木马服务端程序、清除注册表的启动数据,从而彻底清除木马。