进程也就是当前计算机运行的程序,包括前台的和后台的。在XP中,进程主要分为关键进程,应用程序进程,服务进程以及后台程序进程。关键进程也叫系统进程,是指操作系统自身必须要执行的程序,在一般情况下不允许用户结束。应用程序进程就不用说了,当然是指当前运行的应用程序。服务进程是系统进程的扩展,包括网络服务和本地服务,主要是提供给用户方便的操作。后台程序进程指隐藏运行的软件,什么监控软件啦,扫描软件啦,木马程序啦,病毒啦,这一类都是。
简单了解之后,将基本进程列出来,供大家研究和参考。
关键系统进程
csrss.exe 子系统服务进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理ip安全策略安全驱动程序
svchost.exe 包含很多系统服务
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标
附加的系统进程
mstask.exe 允许程序在指定时间运行
regsvc.exe 允许远程注册表操作
winmgmt.exe 提供系统管理信息
inetinfo.exe ftp连接和管理
tlntsvr.exe 允许远程用户登录到系统
tftpd.exe 实现tftp internet标准
termsrv.exe 提供多会话环境
taskmgr.exe XP的任务管理器
smss.exe 会话管理子系统
常见进程说明:
System Idle Process:
Windows页面内存管理进程,该进程拥有0级优先。它作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。
alg.EXE:
这是一个应用层网关服务用于网络共享。它一个网关通信插件的管理器,为“Internet连接共享服务”和“Internet连接防火墙服务”提供第三方协议插件的支持。
csrss.exe:
Client/Server Runtime ServerSubsystem,客户端服务子系统,用以控制Windows图形相关子系统。正常情况下在WindowsNT4/2000/XP/2003系统中只有一个CSRSS.EXE进程,正常位于System32文件夹中,若以上系统中出现两个(其中一个位于Windows文件夹中),或在Windows 9X/Me系统中出现该进程,则是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。另外,目前新浪利用了系统漏洞传播的一个类似于病毒的小插件,它会产生名为nmgamex.dll、sinaproc327.exe、csrss.exe三个常驻文件,并且在系统启动项中自动加载,在桌面产生一个名为“新浪游戏总动园”的快捷方式,不仅如此,新浪还将Nmgamex.dll文件与系统启动文件rundll32.exe进行绑定,并且伪造系统文件csrss.exe,产生一个同名的文件与系统绑定加载到系统启动项内,无法直接关闭系统进程后删除。手工清除方法:先先修改注册表,清除名为启动项:NMGameX.dll、csrss.exe,然后删除System32NMGameX.dll、System32sinaproc327.exe和WindowsNMWizardA14.exe三个文件,再修改Windows文件夹中的任意一个文件名,从新启动计算机后删除修改过的csrss.exe文件。
ddhelp.exe:
DirectDraw Helper是DirectX这个用于图形服务的一个组成部分,DirectX帮助程序。
dllhost.exe:
DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。如果该进程常常出错,那么可能感染Welchia病毒。
explorer.exe:
Windows Explorer用于控制Windows图形Shell,包括开始菜单、任务栏,桌面和文件管理。这是一个用户的shell,在我们看起来就像任务条,桌面等等。或者说它就是资源管理器,不相信你在运行里执行它看看。它对Windows系统的稳定性还是比较重要的,而红码也就是找它的麻烦,在c和d根下创建explorer.exe。
inetinfo.exe:
IIS Admin Service Helper,InetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用于Debug调试除错。IIS服务进程,蓝码正是利用的inetinfo.exe的缓冲区溢出漏洞。
internat.exe:
Input Locales,它主要是用来控制输入法的,当你的任务栏没有“EN”图标,而系统有internat.exe进程,不妨结束掉该进程,在运行里执行internat命令即可。这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置HKEY_USERS.DEFAULTKeyboard LayoutPreload 加载内容的。internat.exe 加载“EN”图标进入系统的图标区,允许使用者可以很容易的转换不同的输入点。当进程停掉的时候,图标就会消失,但是输入点仍然可以通过控制面板来改变。
lsass.exe:
本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个"AND"的请求,并发送给服务器,导致触发堆栈溢出,使Lsass.exe服务崩溃,系统在30秒内重新启动。这里请记住该进程的正常路径为C:WINDOWSsystem32,一些病毒,如W32.Nimos.Worm病毒会在其它位置模仿LSASS.EXE来运行。
mdm.exe:
Machine Debug Manager,Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft Script Editor脚本编辑器。Mdm.exe的主要工作是针对应用软件进行排错(Debug),说到这里,扯点题外话,如果你在系统见到fff开头的0字节文件,它们就是mdm.exe在排错过程中产生一些暂存文件,这些文件在操作系统进行关机时没有自动被清除,所以这些fff开头的怪文件里是一些后缀名为CHK的文件都是没有用的lj文件,可以任意删除而不会对系统产生不良影响。对9X系统,只要系统中有Mdm.exe存在,就有可能产生以fff开头的怪文件。可以按下面的方法让系统停止运行Mdm.exe来彻底删除以fff开头的怪文件:首先按“Ctrl+Alt+Del”组合键,在弹出的“关闭程序”窗口中选中“Mdm”,按“结束任务”按钮来停止Mdm.exe在后台的运行,接着把Mdm.exe(在System目录下)改名为Mdm.bak。运行msconfig程序,在启动页中取消对“Machine Debug Manager”的选择。这样可以不让Mdm.exe自启动,然后点击“确定”按钮,结束msconfig程序,并重新启动电脑。另外,如果你使用IE 5.X以上版本浏览器,建议禁用脚本调用(点击“工具→Internet选项→高级→禁用脚本调用”),这样就可以避免以fff开头的怪文件再次产生。
rpcss.exe:
Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。它不是在装载解释器时或引导时启动,如果使用中有问题,可以直接在在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices添加"字符串值",定向到"C:WINDOWSSYSTEMRPCSS"即可。
services.exe:
Windows Service Controller,管理Windows服务。大多数的系统核心模式进程是作为系统进程在运行。打开管理工具中的服务,可以看到有很多服务都是在调用service.exe。
smss.exe:
Session Manager Subsystem,该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(挂起)。要注意:如果系统中出现了不只一个smss.exe进程,而且有的smss.exe路径是"%WINDIR%SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒,这是一种Windows下的PE病毒,它采用VB6编写 ,是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项,还会修改系统文件WIN.INI,并在[WINDOWS]项中加入"RUN" = "%WINDIR%SMSS.EXE"。手工清除时请先结束病毒进程smss.exe,再删除%WINDIR%下的smss.exe文件,然后清除它在注册表和WIN.INI文件中的相关项即可。
snmp.exe:
Microsoft SNMP Agent,Windows简单的网络协议代理(SNMP)用于监听和发送请求到适当的网络部分。负责接收SNMP请求报文,根据要求发送响应报文并处理与WinsockAPI的接口。
spool32.exe:
Printer Spooler,Windows打印任务控制程序,用以打印机就绪。
stisvc.exe:
Still Image Service用于控制扫描仪和数码相机连接在Windows。
svchost.exe
:Service Host Process是一个标准的动态连接库主机处理服务。Svchost.exe文件对那些从动态连接库(DLL)中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的Windowssystem32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。Windows 2000一般有2个Svchost进程,一个是RPCSS(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个Svchost.exe;而在windows XP中,则一般有4个以上的Svchost.exe服务进程;Windows 2003 server中则更多。Svchost.exe是一个系统的核心进程,并不是病毒进程。但由于Svchost.exe进程的特殊性,所以病毒也会千方百计的入侵Svchost.exe。通过察看Svchost.exe进程的执行路径可以确认是否中毒。如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。一般只会在C:WindowsSystem32目录下找到一个Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。
taskmon.exe:
Windows Task Optimizer,windows任务优化器监视你使用某个程序的频率,并且通过加载那些经常使用的程序来整理优化硬盘。它的功能是监视程序的执行情况并随时报告。能够监测所有在任务栏中以窗口方式运行的程序,可打开和结束程序,还可直接调出关闭系统对话框。
tcpsvcs.exe:
TCP/IP Services Application支持透过TCP/IP连接局域网和Internet。
winlogon.exe:
Windows Logon Process,Windows NT用户登陆程序。这个进程是管理用户登录和退出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了,显示安全对话框。介绍:Microsoft Windows系统进程。在任务管理器中会看到这项进程,属于正常系统进程。
conime.exe:
Console IME(IME控制台),conime.exe是输入法编辑器,允许用户使用标准键盘就能输入复杂的字符与符号。它也是病毒光顾的常客,是否有毒,关键看它是否不可中止或无规律自动激活,如果是,那就是被病毒感染了。
iexplore.exe:
Microsoft Internet Explorer网络浏览器透过HTTP访问WWW万维网。如果你没开IE,却也有这个进程,要注意可能是感染了Backdoor.Aphexdoor病毒。
TIMPlatform.exe:
QQ外部应用开发接口管理程序,TIMPlatform.exe是QQ和Tencent Messenger共同使用的外部应用开发接口管理程序,属于QQ 2004不可或缺的底层核心模块。如果删除该程序,QQ将丧失与周边功能模块以及外部应用程序相互调用的功能。该文件可有被QQ白骨精病毒所感染,并且将原文件改名为TIMP1atform.exe(l改成了1)。请先结束本进程,然后删除TIMPlatform.exe,再将TIMP1atform.exe改为TIMPlatform.exe即可。QQ白骨精病毒是一种用VC编写的发送QQ尾巴和盗取信息的木马病毒,它通过在QQ上发送以诱惑性文字为名的EXE文件(如:超级MM,超级FLASH,请你笑纳.EXE)来传播。病毒会搜索QQ好友并自动发送病毒文件,并盗取被感染的电脑中的QQ密码。若中了此病毒请用KavQQ最新版杀毒。
wuauclt.exe:
Automatic Updates自动升级,Wuauclt.exe是主管Windows自动升级的系统进程。可以在线检测最近Windows更新。如果你没有开启自动升级的话就不会有这项进程了,而且就算你开启了它,它也不是任何时候都开启的。Wuauclt.exe占用的资源也不算太小。运行时内存占用达到了6m左右,好在自动升级不是每时每刻开着的。但是如果你关闭了这个程序的话,wscenfy.exe就会启动。
wscenfy.exe:
微软的安全中心的通知程序。在XP打上SP2后才有,一般在在你系统安全设置存在风险的时候就会出现。
以上就是我们常见的系统进程了。至于应用进程,大家可以通过运行软件后,再查看进程中多了什么,就明白了。
