进程是非常重要的一项，通过其可以查看是否可疑的程序在系统中运行。在一般情况下，可以通过“任务管理器”查看Server 2003进程情况，在其“进程”选项卡下Server 2003当前显式进程一目了然。甄别是否是危险进程，管理员要对系统进程或者常用程序的进程比较了解。对于拿不准的进程或者说不知道是Server 2003上哪个应用程序开启的进程，可以在网络上搜索一下该进程名加以确定。比如大家可以在“进程知识库”(http://www.dofile.com)进行查看比对。该网站比较详细地列举了“系统进程”、“应用程序进程”、“存在安全风险的进程”。当然，病毒、木马的进程是可以由攻击者更改的，但它们为了达到目的往往会在进程名上做文章，一般会取一个与系统进程类似的名称。通常迷惑手段是变字母o为数字0，变字母l为数字1，如svch0st.exe、exp1orer.exe等，此时要仔细辨别。(图3)

　　虽然Windows Server 2003集成了进程查看器，但其功能比较简陋而且对一些通过Hook或者Rootkit方式插入正常系统进程或者隐藏的进程显得无能为力。笔者推荐类似IceSword(冰刃)这样的工具，通其可以查看进程的线程及其该进程调用的模块信息，从而帮助管理员找到隐藏的进程。(图4)