俞木发

1找出正在使用某文件的后台进程

笔者近日在尝试删除“C：＼Windows＼assembly”下的一个文件时，系统弹出下圖的提示无法删除，但是Windows 10并没有在窗口中提示到底是什么程序在使用该文件（图1）。此时，我们可以在任务栏的搜索框中输入“资源监视器”，启动该组件后切换到“CPU”选项卡，接着展开下方的“关联的句柄”，在其后的搜索框中输入欲删除文件的名称，回车后开始搜索。在搜索结果窗口中，我们可以看到占用该文件的程序是powershell.exe（图2）。

现在返回到图2所示的窗口，在进程列表下右击powershell.exe并选择“结束进程”，最后再返回到资源管理器窗口，即可顺利地删除该文件。大家以后在遇到类似的问题时，可以参考上面介绍的方法找出占用文件的进程并将其终止，这样就可以删除文件了。

2找出可疑的联网程序

除了查找文件占用的程序，借助资源监视器还可以对本机中所有联网的程序进行查看和控制。比如公司近日有台电脑在使用浏览器访问网站时，无论打开什么网页，速度都非常缓慢，因此笔者怀疑系统后台可能有恶意程序在连接外网。此时启动资源监视器，在图2所示的窗口中切换到“网络”选项卡，在这里就可以看到本机所有正在联网的活动程序。按提示点击“发送”或“接收”选项卡，这样每个联网程序会按照占用带宽的大小进行排序（图3）。

因为电脑的故障主要是打开网页的速度慢，一般来说正常的网络程序是不会导致这个问题的，所以为了方便排查，这里建议先将常用的网络程序如QQ、微信、浏览器等退出。接着再次打开图3所示的窗口排序，可以看到现在本机仍然有一个名为“tcd.exe”的进程在连接外网，那么这个进程在连接什么网站？按提示在“名称”选项下勾选该进程，展开下方的网络活动，在下面的窗格中就可以看到该进程正在连接多个外网的IP（图4）。

那么，怎么判断该进程连接的IP地址是否正常呢？我们可以使用“https：∥www.ip138.com/”提供的服务进行验证。比如上述进程连接的一个IP地址为“45.34.10.165”，打开上述的网页后将IP地址粘贴到搜索框中，回车后可以看到这里连接的是一个美国加利福尼亚洛杉矶的地址（图5）。通过对本机常用的联网程序进行排查，笔者发现目前使用的网络程序并没有需要连接到国外的，所以可以判断“tcd.exe”是一个较为可疑的程序。

接下来我们通过任务管理器查找该进程的详细位置并继续进行判断，启动任务管理器后切换到“详细信息”，在进程列表中找到tcd.exe并右击，然后选择“打开文件所在的位置”（图6）。

这样在打开的资源管理器窗口中可以看到，该文件在“C：＼Users＼当前用户＼APPData＼Local＼Temp＼TCD9881.tmp”下。右击该文件并选择“属性”，再切换到“详细信息”，可以看到该文件的版本、名称、版权都是空白（图7）。

至此基本可以确定tcd.exe是一个恶意程序，返回图4所示的窗口，右击tcd.exe进程并选择“终止进程”，最后再返回资源管理器窗口并将该文件删除，重启电脑后，网页打开速度慢的问题得到解决。

当然，资源监视器的用途还有很多，比如当前使用的电脑硬盘灯一直狂闪，那么就可以切换到“磁盘”选项卡，查看当前读写最频繁的进程;切换到“内存”选项卡则可以找到内存占用最大的进程，大家不妨自行尝试。