【IT168 专稿】对于服务器来说,及时了解它的运行状态可以帮助我们采取更有针对性的管理维护措施,来保障服务器系统安全稳定地运行。而获取服务器系统运行状态的方式有多种,本文现在就从服务器系统进程着手,采取多种方法来帮助各位查看服务器运行状态,并对服务进程进行有效管理,确保服务器始终安全稳定地运行!
从系统信息下手,查看进程属性信息
要查看服务器系统有哪些进程正在运行时,或者要查看某一特定进程的启动时间、进程版本信息时,多数人会进入任务管理器窗口中的“进程”标签页面去查询自己所要的进程详细信息。事实上,查看服务器系统进程详细信息的方法多种,而通过Windows服务器系统内置的系统信息查看功能来查看进程信息的方法则很少有人使用,其实通过这种方法我们能查看到更加详细的进程信息,下面就是具体的查看步骤:
首先单击系统桌面中的“开始”按钮,在弹出的系统“开始”菜单中依次单击“程序”/“附件”/“系统信息”命令,打开本地计算机的系统信息列表窗口;在该列表窗口的左侧显示区域,用鼠标逐一展开“系统摘要”/“软件环境”/“正在运行任务”分支项目,在对应“正在运行任务”分支项目的右侧显示窗格中,我们将会查看到每一个服务进程的名称、路径、ID标识号、优先级、最大工作设置、最小工作设置、开始时间、版本信息等内容(如图1所示);提别是通过“路径信息”,我们还能详细地判断类似“Svchost.exe”这种服务进程的真实面貌。一旦发现有虚假的系统服务进程存在时,我们可以将它的进程ID记忆下来,然后按下“Ctrl+Del+Alt”复合键打开计算机系统的任务管理器窗口,通过其中的结束进程命令将虚假的服务进程关闭掉,以防止虚假服务进程给本地计算机系统带来潜在的安全威胁。
 |
| 图1 |
小提示:在缺省状态下,服务器系统的任务管理器窗口并不会将进程的ID标识号显示出来,此时我们可以单击任务管理器窗口菜单栏中的“查看”选项,从其后出现的下拉菜单中执行“选择列”命令,打开如图2所示的设置窗口,选中其中的“PID(进程标识符)”选项,并单击“确定”按钮,就可以将进程的ID标识号显示出来了。倘若我们在任务管理器窗口中无法将虚假的服务进程关闭时,可以依次单击“开始”/“运行”命令,在弹出的运行对话框中输入“cmd”字符串命令,将系统屏幕切换到MS-DOS命令行状态;在DOS命令行提示符下,输入字符串命令“ntsd -c q -p ID”(其中ID表示虚假服务进程的具体标识序号),单击回车键后那个顽固的虚假进程就肯定能被强行关闭掉了。
还有一点需要提醒各位注意的是,要是打开系统的进程标签页面后,看不到服务进程的具体“用户名”信息时,我们可以先尝试打开图2所示的界面,并选中其中的的“用户名”选项,要是通过这种方法还无法将进程的“用户名”信息显示出来的话,那我们可以依次单击“开始”/“程序”/“管理工具”/“服务”命令,在随后弹出的系统服务列表窗口中,用鼠标双击“Terminal Service”项目,打开该服务的属性设置界面,在该界面中检查一下“Terminal Service”服务此时是否处于运行状态,倘若发现该服务已被停止或者还没有被配置的话,那我们只要单击“启动”按钮将该服务及时启动起来,那样一来服务进程的具体“用户名”信息就能显示在进程标签页面中了。
|
| 图2 |
从系统命令下手,查看进程加载文件
许多DLL木马往往都是通过Rundll32.exe系统进程加载到服务器系统中的,其实我们如果能够及时查清楚Rundll32.exe系统进程当前究竟调用的是什么DLL文件,就能将隐藏在系统中的一些DLL木马“揪”出来了,以防止其对服务器造成安全威胁。在查看Rundll32.exe系统进程究竟加载的是什么DLL文件时,可以使用Windows服务器系统自带的WMIC命令来实现,下面就是具体的查看步骤:
首先单击系统桌面中的“开始”按钮,在弹出的系统“开始”菜单中执行“运行”命令,打开系统运行文本框,在其中输入字符串命令“WMIC”,单击回车键后,系统就会自动安装WMIC,并且将系统屏幕切换到MS-DOS窗口,同时DOS命令提示符变成“wmic:root\cli>”,如图3所示;
|
| 图3 |
倘若发现目前的任务管理器窗口中存在Rundll32.exe系统进程时,我们只要在“wmic:root\cli>”命令提示符下输入字符串命令“process where[description="rundll32.exe"]”,单击回车键后我们就能在随后的结果界面中看到该系统进程所调用的DLL系统文件了。
同样地如果我们要查看其他服务进程加载了哪些DLL文件时,只需要将上面字符穿命令中的“rundll32.exe”换成目标进程名称就可以了。倘若在“wmic:root\cli>”提示符下单纯地执行“process”命令的话,我们还能获取所有活动系统进程在当前状态下的命令行参数,通过这种方法我们往往能查看到任务管理器进程标签页面中无法显示的“隐形”进程。
从外来工具下手,远程管理服务进程
我们知道,任何应用程序都必须通过进程的方式才能正常运行,所以通过查看、分析服务器的进程信息可以及时了解服务器的运行状态,而且这也是解决服务器故障比较常用的一种方法。不过在包含有多台服务器的局域网网络中,逐一到现场去检查每一服务器的进程信息,其工作量将是十分巨大的,不利于提高局域网服务器的管理维护效率;那我们能不能不到每台服务器的现场,也能远程查看或管理该服务器系统中的各种服务进程呢?答案是肯定的,我们可以借助一款名为DameWare NT Utilities4.2的网络管理工具,就能轻松对局域网网络中任何一台服务器的服务进程进行远程管理操作了,现在就让我们一起来看看该工具究竟是怎么远程管理各个服务器系统服务进程的吧:
首先从网上将DameWare NT Utilities4.2网络管理程序下载到本地计算机中,然后按照正确的方法将该程序安装在用于管理其他服务器的特定计算机中;安装好该程序后,从系统的“开始”菜单中执行相关的DameWare程序命令,这样一来该网络管理工具就会自动对局域网网络中的所有工作站以及服务器进行扫描,并将扫描得到的结果完全显示在主程序界面中的“Browser”列表区域中,那样的话我们就能开始对网络中所有服务器的服务进程进行远程管理和维护了。
接着用鼠标双击“Browser”列表区域中的“Processers”选项,在对应的右侧显示区域中我们将看到服务进程列表,该列表将会自动显示出远程服务器系统正在运行的各种进程,选中某一个目标服务进程后,我们就能查看到对应该进程的CPU的耗费时间、ID标识号、线程数、内存占用量,通过这种查看方法我们能清楚地知道哪些进程出现了异常情况。例如,一旦发现某个服务进程CPU的耗费时间比较长,而且消耗的内存资源比较大时,再加上该进程的名称看上去相当陌生时,那该进程多半是异常进程,此时我们可以用鼠标将该服务进程选中,同时点击列表区域下方的“End selected Process”按钮,将可疑服务进程及时关闭掉,以防止该进程对远程服务器造成安全威胁。此外,我们还能通过该管理工具远程查看目标服务器系统此时正在运行什么程序,甚至还能远程运行服务器系统的某些应用程序。
