XP必须核心进程

昵称26432967 2015-07-01

展开全文

理解系统进程有两个基本用途，一是：加深对系统架构及工作原理的理解，二是：通过进程追杀一般的病毒。下面简述一些进程。

上图为 xp sp3纯净版，没有安装任何软件，是很纯净的，所以一共有18个进程（包含任务管理器进程），

1.System Idle Process 此进程是系统内核进程，空闲的cpu为了节约消耗会给它发送一个IDLE命令，它根据收到的命令来计算cpu有多少空闲着，常常可通过它判断是否有病毒在后台运行。没有它系统不能运行。

2.System 前久它感染了病毒，于是好多解释说它是病毒。其实它也是系统内核进程，它在系统启动时就开始负责对内存管理分配，直到关机，如果它感染了病毒，会常占用高于10%的cpu ，处理方法可看DOS相关知识。没有它系统不能运行。

3.smss.exe 该进程为会话管理子系统用以初始化系统变量，调用Win32壳子系统和运行在Windows登陆过程，启动csrss.exe、winlogon.exe等进程并为它们设定参数。没有它系统不能运行。

4.alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的。

5.csrss.exe 该进程管理Windows图形相关任务，强制结束它，系统马上就蓝屏。没有它系统不能运行。

6.winlogon.exe 用户登陆程序，管理用户登录和退出。没有它系统就拒绝进一步加载用户进程，停留在欢迎界面。没有它系统不能运行。

7.services.exe 用于管理启动和停止服务。删除文件后系统无法正常开机，正常开机后可结束它，但是就不可以启动或停止任何服务了，系统每次开机启动需要它。没有它系统不能运行。

8.lsass.exe 这个本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。

9-13.svchost.exe 是系统运行DLL文件的载体进程，一般系统中有5个左右，且常常靠在一起，结束会导致系统工作不正常，远离的可以结束。没有它系统不能运行。

14.explorer.exe是图形资源管理器，结束后见不到任何窗口，但可以运行dos窗口，处理病毒时也常常这么做。没有它系统不能支持窗体。

15.spoolsv.exe 打印程序

16.taskmgr.exe 是任务管理器本身。

17.Ctfmon.exe提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。
输入法进程,可以去掉.
开始-运行-msconfig-启动-把ctfmon.exe前面的勾去掉就OK了.

在去掉以后,第一次使用输入法时必须按照下面的步骤操作后才可以使用输入法.
开始-运行-ctfmon-回车.
否则不能使用输入法.
18.conime.exe进程说明：conime.exe是输入法编辑器，允许用户使用标准键盘就能输入复杂的字符与符号! conime.exe同时可能是一个bfghost1.0远程控制后门程序。此程序允许攻击者访问你的计算机，窃取密码和个人数据。建议立即删除此进程。”

以前总是不知什么时候这个进程就悄悄启动了，后来才发现往往在运行cmd.exe之后会出现。但是conime.exe并不是cmd.exe的子进程，它的的父进程ID并没有在任务管理器中显示。
conime经常会被病毒利用感染，建议删除。可以用冰遁或手动删除（删除前要结束进程）
不过，删除之后，在CMD就不能输入中文了，如果有这个需要的朋友就不要删除它了。
文件位置：
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\dllcache\conime.exe
或者注册表禁用
注册表找到："HKEY_CURRENT_USER\Console"中的"LoadConIme"修改为"0"即可
conime.exe是处理控制台输入法相关的一个程序，往往在运行cmd.exe之后会出现，就是运行cmd.exe之后用ctrl+shift切换输入法的功能，结束了该进程就无法切换了（不过无所谓，在cmd中只输入英文嘛）。
补充：

19.wdfmgr.exe是微软microsoftwindowsmediaplayer10播放器的相关程序。该进程用于减少兼容性问题。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题

在处理问题时只需要保留以上进程，系统就可以运行。值得注意的是：svchost.exe有5个左右，且靠在一起，而其他进程都只有一个。在不运行用户程序和操作时，它们的cpu使用率应该在5%以下，而System Idle Process则在95%以上。