比如,在
Windows XP的“运行”对话框中输入“
cmd”启动命令行控制台,然后在命令行中输入“
notepad”启动
记事本,那么命令行控制台
进程“cmd.exe”和
记事本进程“notepad.exe”就组成了一个进程树。其中“notepad.exe”进程是由“cmd.exe”进程创建的,前者称为子进程,后者称为
父进程。接着我们用组合键Ctrl+ Alt+ Del调出任务管理器,在“
进程”页面中选择“cmd.exe”,右击鼠标并选择“结束进程树”命令,这时你会发现
记事本进程也被同时杀死了。如果在notepad.exe”
进程上结束进程的话,“cmd.exe”进程则依旧运行。因此,结束进程树的特性就是在结束一个进程的同时结束由该进程直接或间接创建的子进程。
一些新型的
木马服务端程序运行后,会同时生成两个
进程,这两个进程互相监控并保护。对此类
木马,就可以分别对两个木马
进程尝试使用“结束进程树”命令,从而同时杀死两个木马进程,然后再删除木马
服务端程序、清除注册表的启动数据,从而彻底清除木马。
进程树的概念基于图论的有向树的概念。一个进程树由若干个系统进程和它们之间的关系构成。进程树中的每个进程是树的节点。如果
进程A创建了进程B,就称A是B的
父进程,B是A的子进程。若一个
进程不是任何其它进程的子进程,则称之为根进程或进程家族的祖先。