进阶保护:任务管理器的增强插件Prio

ZDNet安全频道原创翻译 转载请注明作者以及出处

通常情况下，我并不推荐软件，但O&K软件推出的Prio属于特殊的情况。我认为它是一个极为有用的安全工具，在本文中，我将告诉你这样认为的原因。
-------------------------------------------------------------------------

　　作为一名天生的多面手，我倾向于广泛了解各种各样的信息。这样，在解决复杂的IT相关问题时，可以减少错误的概率。幸运的是，在大部分时间，我都能够找到(感谢搜索引擎的帮助)相关的解决方案。

　　基于这一点，我将关注任何可以帮助找出一台计算机上会或者不会发生问题的见解、意见、规定或工具。我最近就发现了一个这样的工具，它非常有用，因此，我希望与大家分享。

　　插件简单作用强大

　　我介绍的工具是O&K软件推出的Prio。Prio可以作为插件安装到现有的Windows任务管理器中，安装完成后，会出现两个标签和一些功能。下面显示的就是服务和TCP/IP两个标签的情况：

　　Prio的开发者认为它可以保存进程运行优先级，也就意味着该程序可以保存不同于微软公司默认应用设置的优先级变化。由于这不是一个很大众的问题，因此为了避免混淆，让我们回顾一下什么是进程运行优先级。

　　进程优先级

　　当了解到计算机上同时运行进程的数目是如此之多时，我总是感到非常的惊讶。计算机的中央处理器(CPU)和随机存取存储器(RAM)是怎样确定在任何指定的时间哪条进程是在运行中的?在微软开发者网络的日志上，有关于非常复杂的进程优先级确定方式的介绍。一般来说，CPU可以根据进程优先级数据库的设置决定哪些进程拥有优先权。

　　为什么要调整优先级?

　　无论进行过多么大的改进，微软提供的进程优先级设置仍然只是一种有根据的推测而已。当象视频流或语音IP之类一些明显对时间敏感的应用，被给予不恰当的优先级时，它们的效果会变得非常差。不过，值得庆幸的是，这种问题很容易解决;所有要做的就是改变应用程序的优先级设置。

　　如何调整优先级

　　任务管理器可以调整进程的优先级，但这样的调整是临时的。如果重新启动计算机的话，配置将变成默认状态。还有一种可行的方法是在注册表中进行进程的优先级进行调整。尽管这样做是有效的，但我会尽量避免改动注册表中的数据。

　　这时间，Prio的作用就显示出来了，它可以让操作系统记住优先级设置，即使重新启动系统后，调整也不会消失。为了实现该功能，Prio在任务管理器中增加了“优先级保存”的项目，下图展示的就是相关项目：

　　请注意

　　如果不指出调整优先级不是简单的事情，需要给予十分重视的话，我想就是自己的失职了。在微软同意并给出下列警告，强调他们的关注后，才能保存更改的设置：

　　在介绍完情况后，如果说尽管在使用Prio，但我从来不对优先级设置进行调整，这听起来是不是非常的奇怪。这是因为我在前面提到的功能改进。我发现它们特别适合用于恶意软件的处理。

　　改进的项目

　　对任务管理器中的所有进程进行分析让我变得非常惭愧。我不知道每个进程的名称代表了什么。因此，在确定其中的一个是否属于恶意的时间，需要花费大量时间在搜索上。这时，Prio的作用就可以充分显示出来了，对于每一个进程，它都可以提供如下图所示的详细信息：

　　如果你将鼠标指针悬停一个进程上，就会弹出一个窗口，里面包含了运行中进程的名称、制造商、版本、可执行文件的完整路径以及和进程有关的最终服务。在对和svchost.exe进程相关的服务进行分析时，我特别赞赏该功能。

　　有些人可能认为，这项功能并不能直接提高安全性，他们的观点是正确的。不过，我想说明的是，它能够让我很快确定过程是什么，是否属于本来应该是有或没有，这肯定是与计算机安全相关的。

　　数字签名防止欺骗

　　在前面，我曾经提到过的一种清除恶意软件带来的问题的方法就是检查是否存在可疑的进程。恶意软件的开发者也了解这一点，因此，他们往往会利用svchost.exe之类熟悉的名称来对恶意软件进行伪装。

　　为了打击这种欺骗行为，很多合法工具都选择使用数字签名来保护文件的安全。这样做的效果非常好，但存在的问题是现有的任务管理器不能够利用这些信息。这让我想到了Prio的另一个优点，它可以显示进程中是否包含了数字签名。

　　在默认状态下，该功能并没有被启用。因此，需要在任务管理器菜单中，点击Prio选项，启用如下图所示的“完整性检测”功能：

　　之后，包含了数字签名的进程将显示为绿色，而没有数字签名的将会以红色突出出来：

　　该功能的作用非常大，现在你可以马上把注意力放到没有数字签名的进程上了，通常情况下，它们就是需要进一步检测的。

　　验证

　　在计算机设置完成后，我要做的第一件事情就是安装Prio并启用完整性检测。这样一来，我就可以建立Windows已激活进程的标准了。通过边注，我可以记录所有Windows应用程序的数字签名。

　　接下来，我打开安装的每个非Windows应用工具，检查它是否有数字签名。如果该应用工具没有数字签名，我也可以知道它属于合法进程，Prio可以让我采用如下所示的方法进行验证：

　　所有要做的就是在没有数字签名的进程上右击鼠标并选择“视为无效”。看起来，这样做的工作量很大，但这样做有很大的好处。当由于某种原因，一个进程被调整，Prio将立即更改绿色为红色，提醒你可能存在可疑活动。

　　总 结

　　Prio可以说是一个隐藏的宝贝，刚开始看起来没什么价值，但只要开始使用后，就会越来越醉心于其效果。我是一个任务管理器的忠诚信徒，所以任何额外的功能都会让它变得更好。

　　我很好奇希望知道是否有人在使用Prio，并且想知道，它为什么会那么默默无闻。另外，如果有其他类似的应用，我也很乐意了解它们。