如何找到微信撤回照片

首先找到你们自己手机的“文件管理”
进入管理器后，找到你本地的内部存储，找到Tencent/MicroMsg这个文件，然后找到一个名字为“aed22dba47723218”名字很长的文件夹，可能不同手机文件夹名字有点不同，反正就是他的文件夹的名字是有字母和数字组成很长的一个名字。
然后进去后，找到一个名字为“Image2”然后就会看到很多的文件夹，这些文件夹由字母和数字组成的2个字符的文件名，那么这里面就是存储的别人发的照片的缓存，我们先选择把文件夹的显示方式改为时间降序的排序，那么第一个文件就是最新的存储照片的缓存的地方。然后我们进入第一个文件夹，可以通过里面文件显示的时间来确定是不是刚刚发的照片的缓存。
关键的一步来了，大家点进去会发现里面并没有照片。没错，这个时候需要把那个对应的文件的名字后缀加上“jpg”这个，那么就可以变成jpg格式的照片显示出来了。

命令行输入top，回车

13:42:59 当前系统时间

6 days, 9:29 系统已经运行了6天6小时29分钟（在这期间没有重启过）

3 users 当前有3个用户登录系统

load average: 306,301, 179 load average后面的三个数分别是1分钟、5分钟、15分钟的负载情况。

load average数据是每隔5秒钟检查一次活跃的进程数，然后按特定算法计算出的数值。如果这个数除以逻辑CPU的数量，结果高于5的时候就表明系统在超负荷运转了。

Tasks 任务（进程），系统现在共有131个进程，其中处于运行中的有3个，127个在休眠（sleep），stoped状态的有0个，zombie状态（僵尸）的有1个。

106% us 用户空间占用CPU的百分比。

22% sy 内核空间占用CPU的百分比。

00% ni 改变过优先级的进程占用CPU的百分比

845% id 空闲CPU百分比

25% wa IO等待占用CPU的百分比

01% hi 硬中断（Hardware IRQ）占用CPU的百分比

00% si 软中断（Software Interrupts）占用CPU的百分比

在这里CPU的使用比率和windows概念不同，如果你不理解用户空间和内核空间，需要充充电了。

8300124k total 物理内存总量（8GB）

5979476k used 使用中的内存总量（57GB）

2320648k free 空闲内存总量（22G）

455544k buffers 缓存的内存量 （434M）

第五行：swap交换分区

8193108k total 交换区总量（8GB）

41568k used 使用的交换区总量（406M）

8151540k free 空闲交换区总量（8GB）

4217456k cached 缓冲的交换区总量（4GB）

内存总量（used）指的是现在系统内核控制的内存数，空闲内存总量（free）是内核还未纳入其管控范围的数量。纳入内核管理的内存不见得都在使用中，还包括过去使用过的现在可以被重复利用的内存，内核并不把这些可被重新使用的内存交还到free中去，因此在linux上free内存会越来越少，但不用为此担心。

如果出于习惯去计算可用内存数，这里有个近似的计算公式：第四行的free + 第四行的buffers + 第五行的cached，按这个公式此台服务器的可用内存： 2320648+455544 +4217456 = 66GB。

对于内存监控，在top里我们要时刻监控第五行swap交换分区的used，如果这个数值在不断的变化，说明内核在不断进行内存和swap的数据交换，这是真正的内存不够用了。

各进程（任务）的状态监控：

PID 进程id

USER 进程所有者

PR 进程优先级

NI nice值。负值表示高优先级，正值表示低优先级

VIRT 进程使用的虚拟内存总量，单位kb。VIRT=SWAP+RES

RES 进程使用的、未被换出的物理内存大小，单位kb。RES=CODE+DATA

SHR 共享内存大小，单位kb

S 进程状态。D=不可中断的睡眠状态 R=运行 S=睡眠 T=跟踪/停止 Z=僵尸进程

%CPU 上次更新到现在的CPU时间占用百分比

%MEM 进程使用的物理内存百分比

TIME+ 进程使用的CPU时间总计，单位1/100秒

COMMAND 进程名称（命令名/命令行）

问题一：为什么苹果电脑截图只显示一部分怎么改？ 全屏捕捉 mand + Shift + 3
屏幕部分画面 mand + Shift + 4（然后三指触碰拖移调整大小，）

问题二：苹果电脑怎么截屏 截图方法有很多种：
全屏捕捉
mand Shift 3
部分选择捕捉
mand Shift 4
有区域截图详解，全屏截图详解，截图保存到剪贴板
1 方法一：区域截图详解
命令：mand Shift 4
光标将变成一个小有刻着十字标尺线的十字线；
单击并拖动鼠标来突出你想拍照的区域。 拖动光标，选区将会出现半透明灰色矩形； 放开鼠标。 你应该听到一个简短的照相机快门声音是否打开你电脑的声音。这是一个截图完成信号,你截图成功了。
在桌面上可以找到你刚刚截图文件。 它将保存为后缀名为png的文件，并自动命名为“截图”后面跟标签的日期和时间。
2方法二：全屏截图
命令：mand Shift 3
按下后，同样的快门声音。
它将被保存名为为“截图”后面跟标签的日期和时间。
3方法三：截图保存到剪贴板
命令：mand Control 3
按下后将不会在桌面生成截图文件；相反截图会保存到剪贴板；
你也可以 区域截图保存到剪贴板命令：mand Control 3 ，拖动十字线到你想要截图的结尾的地方； mand V 或编辑>粘贴
粘贴你的截图到聊天对话框或相关的地方；
截屏后会自动保存在第一个桌面上。
其实os x的截屏比任何抓图软件都好用，你截屏后，可以用自带的看图软件缩小，并且可以切割成你需要的那一小块！这样就不需要再安装所谓的抓图软件，或者打开QQ去抓图了！
用qq截图 control mand A ，设置为开机自启动更方便。
望采纳，谢谢。

问题三：苹果电脑怎样截图 mand + Shift +3是全屏截图，自动将截图文件以PNG的格式保存在桌面上
mand + Shift +4是区域截图，选定区域后自动将截图文件以PNG的格式保存在桌面上
mand + Control + Shift +3 是全屏截图，保存在剪贴板里，方便粘贴
mand + Control + Shift +4 是区域截图，保存在剪贴板里，方便粘贴
貌似是Control，要不就是Option忘了，试一下吧
另外给你个网页上粘贴过来的吧，方便你使用
注：mand即苹果键，也有人称为花键。ctrl即control键。escape即键盘左上角的esc键。space空格键。
屏幕捕捉快捷键
动作：保存到-快捷键
全屏捕捉-桌面(pdf文件)：mand + shift + 3
屏幕部分画面-桌面(pdf文件)：mand + shift + 4
窗口、图标-桌面(pdf文件)：1 mand + shift + 4 2 空格
全屏捕捉-剪贴板：ctrl + mand + shift + 3
屏幕部分画面-剪贴板：ctrl + mand + shift + 4
窗口、图标-剪贴板： 1 ctrl + mand + shift + 4 2 空格
动作：-快捷键
程序冻结快捷键
停止进程-mand + 小数点
强制退出程序-mand + option + escape
强制重新启动-mand + ctrl + 电源键
启动时的快捷键
启动为安全模式-shift (在开机提示音后)
阻止自动登录-shift (显示进度条时)
阻止启动项目-shift (登录过程中)
从光盘启动系统-c
火线目标盘模式-t
从网络映像启动-n
选择启动磁盘-option
清除参数存储器(pram) mand + option + p + r
启动为 verbose 模式-mand + v
启动为单用户模式-mand + s
打开主板固件-mand + option + o + f
finder 快捷键
隐藏 finder-mand + h
隐藏其它程序-mand + option + h
清空废纸篓-mand + shift + delete
清空废纸篓(不提示)-mand + option + shift + delete
获取简介 (静态窗口) -mand + i
获取简介 (动态窗口) -mand + option + i
查找 mand + f
d出-mand + e
显示查看选项-mand + j
转到计算机-mand + shift + c
转到 home-mand + shift + h
转到 idisk-mand + shift + i
转到应用程序目录-mand + shift + a
转到个人收藏-mand + shift + f
转到目录 mand + shift + g
连接服务器 mand + k
注销 -mand + shift + q
注销 (无提示) -mand + option + shift + q
finder中的图标快捷键
选择下一图标-方向键
按首字>>

问题四：苹果手机怎么截图里面的一部分 你好，你可以在你的相册找到你截图的那张，点进去，在的右上角你会看到编辑，里面有裁剪，右下角最后一个，你就可以只选取你想要的部分了，希望可以帮到你！

问题五：苹果手机如何局部截图 没办法，只可以截图整个屏幕，在照片里修剪

问题六：苹果电脑如何剪切屏幕 听你的描述似乎是Mac QQ现在自带的截屏功能，快捷键是control+mand+A。会自动框定窗口作为截屏区域，截屏以后会存到粘帖板可以直接粘帖到聊天窗口。让我不解的是，即使是这个截屏工具，也有一个确认的步骤，也不能完全达到你说的莫名其妙的地步。总之，你可以试一下，看是不是这个，这个快捷键跟QQ收取消息的快捷键离得很近，你当时按错成这个也说不定。
有不明请继续追问，满意请随手采纳，谢谢！

问题七：苹果电脑如何截屏 1、将屏幕存储为文件：Shift+mand+3；
2、将屏幕拷贝到剪贴板：Control+Shift+mand+3；
3、将所选区域的存储为文件：Shift+mand+4；
4、将所选区域的拷贝到剪贴板：Control+Shift+mand+4；
在选区域的时候，如果再按下空格键的话，那就可以智能选择区域了！
以上都是系统自带的截图快捷键；软件的话，自带的还有“抓图”可以实现截屏；
除此之外，Mac上的QQ等即时通讯软件也是支持截图的；
比如QQ的截图快捷键就是Control+mand+A：
当然了，这些快捷键都是可以自行更改的！

问题八：苹果电脑剪切的都去哪了 osx系统对文件是没有剪切这个概念的……
只有三种 *** 作：
1：复制，直接将目标文件复制一份并放在当前目录下。
2：拷贝，首先用mand+C拷贝文件，然后用mand+V在当前位置粘贴一份复制的文件。
3：移动，首先用mand+C拷贝文件，然后用mand+option+V将拷贝的文件直接移动到目标位置。
所以对于文件 *** 作没有剪切这个概念（先复制并清除，再粘贴到目的位置，这种叫剪切）……
在上网 *** 作里是有剪切的，但你既然描述以前在桌面上，那么说明并不是网络 *** 作，而是文件 *** 作。
这种情况只可能是你不小心拖动了，将它们扔到什么文件夹里去了……实在找不到了的话，你可以打开文件夹，选择“我所有的文件”，然后按照修改时间排序，也许能找到你的。
如果记得住文件的名字，就点击屏幕右上方的放大镜图标，利用搜索来寻找你的。
实在找不到了的话，废纸篓里也去翻翻吧 =。=

问题九：苹果air笔记本电脑，如何截屏 -----Shift-----Control-----Option-----mandThunder Download PluginThunder Download Plugin
全屏截图：mand-Shift-3使用快捷键后会马上截取当前的全屏指定区域截图：mand-Shift-4使用快捷键后会出来一个带有座标的瞄准器，用鼠标的拖放可以选择需要截图的区域。mand+shift+4+space：捕获某个应用程序的窗口

问题十：MAC浏览器怎么截图？ 我就是因为QQ浏览器能截图才换这的，确实很方便。QQ浏览器支持右键选择截图功能，还能设置保存位置，好像现在至于QQ浏览器只有这功能，楼主要截图，试试吧。

用navicat自动备份mysql数据库方法：1、启动navicat软件，使用连接mysql数据库。
2、随后d出，随意起一个“连接名”;输入“主机名/ip”这里填写mysql数据库所在服务器的ip地址，用户名密码为mysql数据库的root和密码。
。

3、这样左边就可以列出数据库“连接名”的快捷方式，双击以后可以列出这个mysql里面所有的数据库，等同于“show databases”命令。如图172162069这个：

4、“单击”选定需要备份的数据库，然后点最后一项“计划任务”有的翻译为“计画任务”。如图：
5、点击创建批次处理任务
6、在d出的新窗口中“双击”可用任务中的“Backup数据库名称”，在下面的“选择任务”框中，就会出现选取的“Backup 数据库名称”也就是备份库。比如图中的wakawaka数据库。
7、点击"保存" ，随意输入一个文件名比如 chuxuefeng-wakawaka 。
8、返回 Navicat for MySQL 窗口，打开hl2库的“计画任务”。会看到计画任务里多了一个chuxuefeng-wakawaka，在chuxuefeng-wakawaka上点右键，选择“设置计画任务”。

9、在新的窗口里选择“计划”页，新建一个计划。在高级选项里，可以勾选重复任务。
10、打开高级选项，可以设定每多少小时备份一次，持续时间可以选择最大9999小时，可以设置为每天每隔3小时备份一次。实际上一般可以设定每天0:00备份一次就行了。具体的时间间隔视你的服务器情况而定。
11、设置完计划任务之后。系统会要求你输入windows本机的administrator密码。
12、现在做了计划任务的数据库每隔设定的一段时间就自动备份一次，自动备份的文件名是按时间排序的，名称是按照设定的名称来备份。如果需要恢复备份的话，可以按时间恢复数据。
13、如果需要恢复数据，那么双击相应的备份文件，点击“开始”就可以恢复数据。
如下图：

本节所讲内容：
101 进程概述和ps查看进程工具
102 uptime查看系统负载-top动态管理进程
103 前后台进程切换-nice进程优先级-screen后台执行命令
安装包地址：渗透测试实战：内网渗透之域渗透
101 进程概述和ps管理进程 1011 什么是进程？
进程： 是程序运行的过程， 动态，有生命周期及运行状态，是已启动的可执行程序的运行实例。
进程有以下组成部分：
• 已分配内存的地址空间；
• 安全属性，包括所有权凭据和特权；
• 程序代码的一个或多个执行线程；
• 进程状态
线程：进程和线程都是由 *** 作系统所体现的程序运行的基本单元，系统利用该基本单元实现系统对应用的并发性。进程和线程的区别在于：简而言之,一个程序至少有一个进程,一个进程至少有一个线程。
程序： 二进制文件（程序即二进制文件），静态实体 /bin/date,/usr/sbin/sshd
下图所示的是进程的生命周期：
父进程复制自己的地址空间（fork [fɔ:k] 分叉）创建一个新的（子）进程结构。每个新进程分配一个唯一的进程 ID （PID），满足跟踪安全性之需。PID 和 父进程 ID （PPID）是子进程环境的元素，任何进程都可以创建子进程，所有进程都是第一个系统进程的后代。
centos5或6PID为1的进程是： init
centos7 PID为1的进程是： systemd
centso8 PID为1的进程是： systemd
僵尸进程：一个进程使用fork创建子进程，如果子进程退出，而父进程并没有调用wait或waitpid获取子进程的状态信息，那么子进程的进程描述符仍然保存在系统中。这种进程称之为僵尸进程。
父进程退出了， 子进程没有退出， 那么这些子进程就没有父进程来管理，就变成僵尸进程。
1012 进程的属性
进程ID（PID)：是唯一的数值，用来区分进程
父进程的ID（PPID)
启动进程的用户ID（UID）和所归属的组（GID）
进程状态：状态分为运行R（running）、休眠S（sleep）、僵尸Z（zombie）
进程执行的优先级
进程所连接的终端名
进程资源占用：比如占用资源大小（内存、CPU占用量）
1013 使用ps查看进程工具
1、ps查看进程工具
例1：常用的参数：
a: 显示跟当前终端关联的所有进程
u: 基于用户的格式显示（U: 显示某用户ID所有的进程）
x: 显示所有进程，不以终端机来区分
例2：常用的选项组合是 ps -aux
[root@xuegod63 ~]# ps -axu | more
注： 最后一列[xxxx] 使用方括号括起来的进程是内核态的进程。 没有括起来的是用户态进程。
上面的参数输出每列含意：
USER: 启动这些进程的用户
PID: 进程的ID
%CPU 进程占用的CPU百分比；
%MEM 占用内存的百分比；
VSZ：进程占用的虚拟内存大小（单位：KB）
RSS：进程占用的物理内存大小（单位：KB）
STAT：该程序目前的状态，Linux进程有5种基本状态：
R ：该程序目前正在运行，或者是可被运行；
S ：该程序目前正在睡眠当中 (可说是 idle 状态啦！)，但可被某些讯号(signal) 唤醒。
T ：该程序目前正在侦测或者是停止了；
Z ：该程序应该已经终止，但是其父程序却无法正常的终止他，造成 zombie (疆尸) 程序的状态
D 不可中断状态
5个基本状态后，还可以加一些字母，比如：Ss、R+，如下图：
它们含意如下:：
<: 表示进程运行在高优先级上
N: 表示进程运行在低优先级上
L: 表示进程有页面锁定在内存中
s: 表示进程是控制进程
l: 表示进程是多线程的
+: 表示当前进程运行在前台
START：该 process 被触发启动的时间；
TIME ：该 process 实际使用 CPU 运作的时间。
COMMAND：该程序的实际指令
例1： 查看进程状态
[root@xuegod63 ~]# vim atxt
在另一个终端执行：
[root@xuegod63 ~]# ps -aux | grep atxt #查看状态 S表示睡眠状态， + 表示前台
root 4435 00 02 151752 5292 pts/1 S+ 20:52 0:00 vim atxt
root 4661 00 00 112676 996 pts/0 S+ 21:05 0:00 grep --color=auto atxt
在vim atxt 这个终端上 按下： ctrl+z
[1]+ 已停止 vim atxt
在另一个终端执行：
[root@xuegod63 ~]# ps -aux | grep atxt #查看状态 T表示停止状态
root 4435 00 02 151752 5292 pts/1 T 20:52 0:00 vim atxt
root 4675 00 00 112676 996 pts/0 S+ 21:05 0:00 grep --color=auto atxt
注：
ctrl-c 是发送 SIGINT 信号，终止一个进程
ctrl-z 是发送 SIGSTOP信号，挂起一个进程。将作业放置到后台(暂停) 前台进程收到这些信号，就会采取相应动作。
ctrl-d 不是发送信号，而是表示一个特殊的二进制值，表示 EOF。代表输入完成或者注销
在shell中，ctrl-d表示退出当前shell
例2： D 不可中断状态
[root@xuegod63 ~]# tar -zcvf usr-targz /usr/
#然后在另一个终端不断查看状态，由S+，R+变为D+
2、ps常用的参数： ps -ef
-e 显示所有进程
-f 显示完整格式输出
我们常用的组合： ps -ef
包含的信息如下
UID: 启动这些进程的用户，程序被该UID所拥有
PID: 该进程的ID
PPID: 该进程的父进程的ID
C: 该进程生命周期中的CPU 使用资源百分比
STIME: 进程启动时的系统时间
TTY: 表明进程在哪个终端设备上运行。如果显示 表示与终端无关，这种进程一般是内核态进程。另外， tty1-tty6 是本机上面的登入者程序，若为 pts/0 等，则表示运行在虚拟终端上的进程。
TIME: 运行进程一共累计占用的CPU时间
CMD: 启动的程序名称
例1：测试CPU使用时间。
dd if=/dev/zero of=~/zerotxt count=10 bs=100M
[root@localhost ~]# ps -axu | grep dd
注：
ps aux 是用BSD的格式来显示进程。
ps -ef 是用标准的Unix格式显示进程
102 uptime查看系统负载-top动态管理进程 1021 uptime查看CPU负载工具
[root@localhost ~]# uptime
13:22:30 up 20days, 2 users, load average: 006, 060, 048
d出消息含意如下：
13:22:30
当前时间
up 20days
系统运行时间 ，说明此服务器连续运行20天了
2 user
当前登录用户数
load average: 006, 060, 048
系统负载，即任务队列的平均长度。 三个数值分别为 1分钟、5分钟、15分钟前到现在的平均值。
任务队列的平均长度是什么？
大厅排队买票：
这时队列是4:
cpu队列数为3时，如图：
互动：例1：找出前当系统中，CPU负载过高的服务器？
服务器1： load average: 015, 008, 001 1核
服务器2： load average: 415, 608, 601 1核
服务器3： load average: 1015, 1008, 1001 4核
答案：服务器2
如果服务器的CPU为1核心，则load average中的数字 >=3 负载过高，如果服务器的CPU为4核心，则load average中的数字 >=12 负载过高。
经验：单核心，1分钟的系统平均负载不要超过3，就可以，这是个经验值。
如下图： 1人只能买1张票，排第四的人可能会急。 所以我们认为超过3就升级CPU
1022 top命令
[root@xuegod63 ~]# top #topd出的每行信息含意如下：
第一行内容和uptimed出的信息一样
进程和CPU的信息( 第二、三行)
当有多个CPU时，这些内容可能会超过两行。内容如下：
Tasks: 481 total
进程总数
1 running
正在运行的进程数
480 sleeping
睡眠的进程数
0 stopped
停止的进程数
0 zombie
僵尸进程数
Cpu(s): 00% us
系统用户进程使用CPU百分比。
00% sy
内核中的进程占用CPU百分比
00% ni
用户进程空间内改变过优先级的进程占用CPU百分比
987% id
空闲CPU百分比
00% wa
cpu等待I/0完成的时间总量。
测试：
终端1：执行：top
终端2：dd if=/dev/zero of=/atxt count=10 bs=100M
终端3：dd if=/dev/zero of=/atxt count=10 bs=100M
正常读写时，如果wa占用较多CPU，那么就是磁盘性能问题，建议更换磁盘。
如下：
00% hi（了解）
硬中断消耗时间
硬中断，占用CPU百分比。1 硬中断是由硬件产生的，比如，像磁盘，网卡，键盘，时钟等。每个设备或设备集都有它自己的IRQ（中断请求）。基于IRQ(Interrupt Request)，CPU可以将相应的请求分发到对应的硬件驱动上（注：硬件驱动通常是内核中的一个子程序，而不是一个独立的进程）。# hi -> Hardware IRQ: The amount of time the CPU has been servicing hardware interrupts
00% si（了解）
软中断消耗时间
软中断，占用CPU百分比。1 通常，软中断是一些对I/O的请求。这些请求会调用内核中可以调度I/O发生的程序。对于某些设备，I/O请求需要被立即处理，而磁盘I/O请求通常可以排队并且可以稍后处理。根据I/O模型的不同，进程或许会被挂起直到I/O完成，此时内核调度器就会选择另一个进程去运行。I/O可以在进程之间产生并且调度过程通常和磁盘I/O的方式是相同。# si -> Software Interrupts: The amount of time the CPU has been servicingsoftware interrupts
00 st （steal 偷）
st：虚拟机偷取物理的时间。比如：物理机已经运行了KVM虚拟机。KVM虚拟机占用物理机的cpu时间
内存信息(第四五行)
内容如下：
Mem: 2033552k total
物理内存总量
340392k used
使用的物理内存总量
1376636k free
空闲内存总量
316524k buff/cache
用作内核缓存的内存量。
和free -k 一个意思
Swap: 2017948k total
交换区总量
0k used
使用的交换区总量
192772k free
空闲交换区总量
1518148 avail Mem
总的可利用内存是多少
注：如果swap分区，被使用，那么你的内存不够用了。
第7行进程信息
列名
含义
PID
进程id
USER
进程所有者的用户名
PR
优先级（由内核动态调整），用户不能
NI
进程优先级。 nice值。负值表示高优先级，正值表示低优先级，用户可以自己调整
VIRT（virtual memory usage）
虚拟内存，是进程正在使用的所有内存（ps中标为VSZ）
VIRT：virtual memory usage 虚拟内存
1、进程“需要的”虚拟内存大小，包括进程使用的库、代码、数据等
2、假如进程申请100m的内存，但实际只使用了10m，那么它会增长100m，而不是实际的使用量
RES（resident memory usage）
是进程所使用的物理内存。实际实用内存（ps中标为RSS）
RES：resident memory usage 常驻内存
1、进程当前使用的内存大小，但不包括swap out
2、包含其他进程的共享
3、如果申请100m的内存，实际使用10m，它只增长10m，与VIRT相反
4、关于库占用内存的情况，它只统计加载的库文件所占内存大小
SHR
共享内存大小，单位kb
SHR：shared memory 共享内存
1、除了自身进程的共享内存，也包括其他进程的共享内存
2、虽然进程只使用了几个共享库的函数，但它包含了整个共享库的大小
3、计算某个进程所占的物理内存大小公式：RES – SHR
4、swap out后，它将会降下来
S
进程状态。
D=不可中断的睡眠状态
R=运行中或可运行
S=睡眠中
T=已跟踪/已停止
Z=僵停
%CPU
上次更新到现在的CPU时间占用百分比
%MEM
进程使用的物理内存百分比
TIME+
进程使用的CPU时间总计，单位1/100秒
COMMAND
命令名/命令行
top快捷键：
默认3s刷新一次，按s修改刷新时间
按空格 ：立即刷新。
q退出
P：按CPU排序
M：按内存排序
T按时间排序
p: 进程pid，查看某个进程状态
数字键1：显示每个内核的CPU使用率，展示cpu数量，再按下，就收起来了
u/U：指定显示的用户
h:帮助
例1：运行top，依次演示一下top的快捷键，让大家看一下效果
例2：使用TOP动态只查看某个或某些进程的信息
找到进程PID
[root@localhost ~]# vim atxt
[root@localhost ~]# ps axu | grep vim
Warning: bad syntax, perhaps a bogus '-' See /usr/share/doc/procps-328/FAQ
root 9667 00 02 143620 3344 pts/1 S<+ 19:15 0:00 vim atxt
[root@localhost ~]# top -p 9667
1023 实战1：找出系统中使用CPU最多的进程
运行top ， 找出使用CPU最多的进程 ，按大写的P，可以按CPU使用率来排序显示
互动：在linux系统中一个进程，最多可以使用100%cpu对吗？
如下图，可以看到dirtycow（脏牛漏洞，用于提权） 进程使用1968%
这是你第一次看见： 1
如果你的4核心的cpu，你可以运行400%
64核心的cpu，可以运行到6400%
1024 lsof命令
lsof命令用于查看你进程打开的文件，打开文件的进程，进程打开的端口(TCP、UDP)
-i<条件>：列出符合条件的进程。（ipv4、ipv6、协议、:端口、 @ip ）
-p<进程号>：列出指定进程号所打开的文件；
例：
[root@xuegod63 ~]# vim atxt
[root@xuegod63 ~]# ps -axu | grep atxt
root 43641 08 02 151744 5280 pts/3 S+ 18:19 0:00 vim atxt
root 43652 00 00 112676 996 pts/1 S+ 18:19 0:00 grep --color=auto atxt
[root@xuegod63 ~]# yum -y install lsof
[root@xuegod63 ~]# lsof -p 65641 #进程pid一般用于查看木马进程，在读哪些文件
[root@xuegod63 ~]# lsof -i :22 #查看端口，或查看黑客开启的后门端口是哪个进程在用
[root@xuegod63 ~]# lsof -c vim #进程名，显示vim进程现在打开的文件
[root@xuegod63 ~]# lsof /test/abctxtswp #显示占用文件abctxtswp的进程
在这个示例中，用户root正在其/test目录中进行一些 *** 作。一个 bash是实例正在运行，并且它当前的目录为/test，另一个则显示的是vim正在编辑/test下的文件。要成功地卸载/test，应该在通知用户以确保情况正常之后，中止这些进程。 这个示例说明了应用程序的当前工作目录非常重要，因为它仍保持着文件资源，并且可以防止文件系统被卸载。这就是为什么大部分守护进程（后台进程）将它们的目录更改为根目录、或服务特定的目录的原因，以避免该守护进程阻止卸载不相关的文件系统。
1025 free显示系统中可用内存和已用内存的数量
free命令查看内存使用状态
子选项：
-b：以字节为单位表示。
-k：以KB为单位显示，默认是以KB为单位显示。
-m：以MB为单位显示。
-g：以GB为单位显示。
[root@localhost ~]# free -m
total used free shared buff/cache available
Mem: 972 603 69 24 299 123
Swap: 2047 69 1978
其中：
第一行：total是总内存量，used是已经使用的内存量，free是空闲的内存，shared是多个进程共享的内存总数，buffers是缓冲内存数，cache是缓存内存数。默认单位是KB。available 实际可用
（case 加速读，buffers加速写。）
第二行开始：total系统中有972MB的物理内存，used是已经使用的内存数量。free是空闲的内存数量。shared是多个进程共享的内存数量。buff/cache用来作为缓冲和缓存的空间，内核会在内存将要耗尽时释放这部分内存给其他进程使用。availble：可使用空间,评估有多少内存可用于启动新应用程序，不包括swap，不同于free和cache字段。available字段考虑了页缓存，而不是所有可回收的内存。正因为这个原因所以通常free+buff/cache的数值要比available的数值大。
互动：执行free命令查看系统状态，这一瞬间，当前系统，真正，还有多少M 内存可以使用？
答案1：free+ buff/cache=69 +299=368M
答案2：available=123M
103 前后台进程切换- nice进程优先级-screen后台执行命令 1031 Linux后台进程与前台进程的区别
前台进程:是在终端中运行的命令，那么该终端就为进程的控制终端，一旦这个终端关闭，这个进程也随着消失
后台进程: 也叫守护进程（Daemon），是运行在后台的一种特殊进程，不受终端控制，它不需要终端的交互；Linux的大多数服务器就是用守护进程实现的。比如，Web服务器>