<DIV class=postTitle>最基本的系統(tǒng)進(jìn)程(也就是說(shuō),這些進(jìn)程是系統(tǒng)運(yùn)行的基本條件,有了這些進(jìn)程,系統(tǒng)就能正常運(yùn)行): . x$ X- M2 q3 }- l
smss.exe Session Manager & p5 D; i4 R5 p7 _6 {7 @: }$ s
csrss.exe 子系統(tǒng)服務(wù)器進(jìn)程 + i4 k% R' T' Z5 W
winlogon.exe 管理用戶登錄
: S- e( t/ ~7 l& m8 N2 kservices.exe 包含很多系統(tǒng)服務(wù)
" w5 J1 K6 p6 [0 G q3 b3 U- q$ f4 Nlsass.exe 管理 IP 安全策略以及啟動(dòng) ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動(dòng)程序。(系統(tǒng)服務(wù))
; J3 b5 i* N$ y v3 W2 ?7 l; u產(chǎn)生會(huì)話密鑰以及授予用于交互式客戶/服務(wù)器驗(yàn)證的服務(wù)憑據(jù)(ticket)。(系統(tǒng)服務(wù)) ; [* u$ s6 W; c9 h2 O& A9 ]
svchost.exe 包含很多系統(tǒng)服務(wù) 5 L# v/ U. D# c* e
SPOOLSV.EXE 將文件加載到內(nèi)存中以便遲后打印。(系統(tǒng)服務(wù)) 5 s; y0 E) d, M$ o) @
explorer.exe 資源管理器 " q, x; X/ J# g0 u7 v& N+ I2 w
internat.exe 托盤區(qū)的拼音圖標(biāo) </DIV>
$ b. N2 B* y# h< >; {: C* H! J ?0 ]
附加的系統(tǒng)進(jìn)程(這些進(jìn)程不是必要的,你可以根據(jù)需要通過(guò)服務(wù)管理器來(lái)增加或減少): - |. \& k$ F: b6 t- d
mstask.exe 允許程序在指定時(shí)間運(yùn)行。(系統(tǒng)服務(wù)) & h+ s) | Q$ M5 I
regsvc.exe 允許遠(yuǎn)程注冊(cè)表操作。(系統(tǒng)服務(wù))
& X, P6 f! U. @% B5 xwinmgmt.exe 提供系統(tǒng)管理信息(系統(tǒng)服務(wù))。
& h" R" x! f {( T Sinetinfo.exe 通過(guò) Internet 信息服務(wù)的管理單元提供 FTP 連接和管理。(系統(tǒng)服務(wù)) % ^: |3 T! P1 z( K& b+ e
tlntsvr.exe 允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺(tái)程序。(系統(tǒng)服務(wù)) 7 A; ^! b x+ n2 [
允許通過(guò) Internet 信息服務(wù)的管理單元管理 Web 和 FTP 服務(wù)。(系統(tǒng)服務(wù)) * |) I$ { _4 k& f2 |
tftpd.exe 實(shí)現(xiàn) TFTP Internet 標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)不要求用戶名和密碼。遠(yuǎn)程安裝服務(wù)的一部分。(系統(tǒng)服務(wù))
1 `( C2 o% W( ]termsrv.exe 提供多會(huì)話環(huán)境允許客戶端設(shè)備訪問(wèn)虛擬的 Windows 2000 Professional 桌面會(huì)話以及運(yùn)行在服務(wù)器上的基 于 Windows 的程序。(系統(tǒng)服務(wù))
. C' _+ G9 }2 }7 rdns.exe 應(yīng)答對(duì)域名系統(tǒng)(DNS)名稱的查詢和更新請(qǐng)求。(系統(tǒng)服務(wù)) </P>1 n& ?) T3 j8 Y# H
<>
1 ` M$ Q4 Y& O% ~8 g- s, Z& X: f以下服務(wù)很少會(huì)用到,上面的服務(wù)都對(duì)安全有害,如果不是必要的應(yīng)該關(guān)掉
; N& H* t( E3 M3 X4 S4 X V4 Etcpsvcs.exe 提供在 PXE 可遠(yuǎn)程啟動(dòng)客戶計(jì)算機(jī)上遠(yuǎn)程安裝 Windows 2000 Professional 的能力。(系統(tǒng)服務(wù)) 1 d. A$ [- [8 D: H$ P
支持以下 TCP/IP 服務(wù):Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系統(tǒng)服務(wù)) 2 c' G, V, i6 `9 S
ismserv.exe 允許在 Windows Advanced Server 站點(diǎn)間發(fā)送和接收消息。(系統(tǒng)服務(wù))
% N8 W }" k0 {6 }; Y2 Z5 nups.exe 管理連接到計(jì)算機(jī)的不間斷電源(UPS)。(系統(tǒng)服務(wù)) ; }- H, t4 }8 m) k3 T
wins.exe 為注冊(cè)和解析 NetBIOS 型名稱的 TCP/IP 客戶提供 NetBIOS 名稱服務(wù)。(系統(tǒng)服務(wù)) # r0 `1 i7 ~2 U) W: h
llssrv.exe License Logging Service(system service) 8 y3 S3 T3 a: T/ d# \$ h! t2 i3 r
ntfrs.exe 在多個(gè)服務(wù)器間維護(hù)文件目錄內(nèi)容的文件同步。(系統(tǒng)服務(wù))
* x+ v. w8 N! o8 P5 D1 LRsSub.exe 控制用來(lái)遠(yuǎn)程儲(chǔ)存數(shù)據(jù)的媒體。(系統(tǒng)服務(wù))
4 A( U: ]# M. ]0 _# alocator.exe 管理 RPC 名稱服務(wù)數(shù)據(jù)庫(kù)。(系統(tǒng)服務(wù)) : a B9 i a; B) _5 U
lserver.exe 注冊(cè)客戶端許可證。(系統(tǒng)服務(wù))
$ d# l B, k3 A/ V+ V: Z7 kdfssvc.exe 管理分布于局域網(wǎng)或廣域網(wǎng)的邏輯卷。(系統(tǒng)服務(wù)) % P, p6 x/ c: r
clipsrv.exe 支持“剪貼簿查看器”,以便可以從遠(yuǎn)程剪貼簿查閱剪貼頁(yè)面。(系統(tǒng)服務(wù)) - }9 C* I% _5 t- p% U2 @; E' L
msdtc.exe 并列事務(wù),是分布于兩個(gè)以上的數(shù)據(jù)庫(kù),消息隊(duì)列,文件系統(tǒng),或其它事務(wù)保護(hù)資源管理器。(系統(tǒng)服務(wù))
# Z. p; j0 ], {5 Yfaxsvc.exe 幫助您發(fā)送和接收傳真。(系統(tǒng)服務(wù)) G' N. e& K" ~
cisvc.exe Indexing Service(system service)
1 \+ k' H* \) Q. {dmadmin.exe 磁盤管理請(qǐng)求的系統(tǒng)管理服務(wù)。(系統(tǒng)服務(wù)) 5 K8 T9 @6 x- D* ^0 D
mnmsrvc.exe 允許有權(quán)限的用戶使用 NetMeeting 遠(yuǎn)程訪問(wèn) Windows 桌面。(系統(tǒng)服務(wù)) ' G. g! ]" P: l: D
netdde.exe 提供動(dòng)態(tài)數(shù)據(jù)交換 (DDE) 的網(wǎng)絡(luò)傳輸和安全特性。(系統(tǒng)服務(wù))
1 K& _" r: R# [smlogsvc.exe 配置性能日志和警報(bào)。(系統(tǒng)服務(wù)) 7 a- O9 ~# q+ q. Q0 v: w% Q
rsvp.exe 為依賴質(zhì)量服務(wù)(QoS)的程序和控制應(yīng)用程序提供網(wǎng)絡(luò)信號(hào)和本地通信控制安裝功能。(系統(tǒng)服務(wù)) 8 l; \. m: o! p z
RsEng.exe 協(xié)調(diào)用來(lái)儲(chǔ)存不常用數(shù)據(jù)的服務(wù)和管理工具。(系統(tǒng)服務(wù)) # R4 @/ p' S, E4 b3 O$ S
RsFsa.exe 管理遠(yuǎn)程儲(chǔ)存的文件的操作。(系統(tǒng)服務(wù)) ! W# z+ M1 C6 R
grovel.exe 掃描零備份存儲(chǔ)(SIS)卷上的重復(fù)文件,并且將重復(fù)文件指向一個(gè)數(shù)據(jù)存儲(chǔ)點(diǎn),以節(jié)省磁盤空間。(系統(tǒng)服務(wù))
5 n0 h6 T/ D3 {; |* [SCardSvr.exe 對(duì)插入在計(jì)算機(jī)智能卡閱讀器中的智能卡進(jìn)行管理和訪問(wèn)控制。(系統(tǒng)服務(wù)) : e# |' i' r, ?% j' @( I+ Y
snmp.exe 包含代理程序可以監(jiān)視網(wǎng)絡(luò)設(shè)備的活動(dòng)并且向網(wǎng)絡(luò)控制臺(tái)工作站匯報(bào)。(系統(tǒng)服務(wù)) 5 e; q U. ]+ g7 f
snmptrap.exe 接收由本地或遠(yuǎn)程 SNMP 代理程序產(chǎn)生的陷阱消息,然后將消息傳遞到運(yùn)行在這臺(tái)計(jì)算機(jī)上 SNMP 管理程序 * y# X9 s0 s2 d( w
。(系統(tǒng)服務(wù)) - f4 X; o+ G, c5 _2 u" i! i/ O& {
UtilMan.exe 從一個(gè)窗口中啟動(dòng)和配置輔助工具。(系統(tǒng)服務(wù))
8 {: v+ |; b: I2 Tmsiexec.exe 依據(jù) .MSI 文件中包含的命令來(lái)安裝、修復(fù)以及刪除軟件。(系統(tǒng)服務(wù)) </P>
9 h9 v# {3 D' g8 x- |1 z0 J( d) k- h
<>詳細(xì)說(shuō)明:</P>& O2 H8 @7 L' z4 `4 [
<P>win2k運(yùn)行進(jìn)程/ a7 p& |! i2 _6 X- v P4 v5 e
Svchost.exe 8 T6 F0 P1 x; o+ @6 Y8 I
Svchost.exe文件對(duì)那些從動(dòng)態(tài)連接庫(kù)中運(yùn)行的服務(wù)來(lái)說(shuō)是一個(gè)普通的主機(jī)進(jìn)程名。Svhost.exe文件定位 在系統(tǒng)的%systemroot%\system32文件夾下。在啟動(dòng)的時(shí)候,Svchost.exe檢查注冊(cè)表中的位置來(lái)構(gòu)建需要加載的服務(wù)列表。這就會(huì)使多個(gè)Svchost.exe在同一時(shí)間運(yùn)行。每個(gè)Svchost.exe的會(huì)話期間都包含一組服務(wù), 以至于單獨(dú)的服務(wù)必須依靠Svchost.exe怎樣和在那里啟動(dòng)。這樣就更加容易控制和查找錯(cuò)誤。
# q) [+ j( @7 uSvchost.exe 組是用下面的注冊(cè)表值來(lái)識(shí)別。 </P>7 c! f6 U3 r% a, M1 G
<P>HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost : t6 R( D4 P7 S2 o
每個(gè)在這個(gè)鍵下的值代表一個(gè)獨(dú)立的Svchost組,并且當(dāng)你正在看活動(dòng)的進(jìn)程時(shí),它顯示作為一個(gè)單獨(dú)的例子。每個(gè)鍵值都是REG_MULTI_SZ類型的值而且包括運(yùn)行在Svchost組內(nèi)的服務(wù)。每個(gè)Svchost組都包含一個(gè)或多個(gè)從注冊(cè)表值中選取的服務(wù)名,這個(gè)服務(wù)的參數(shù)值包含了一個(gè)ServiceDLL值。
# l' W" Z& I- F, G* GHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service </P>1 X/ I7 i) e8 C0 u2 o
<P>更多的信息 * S# c3 ^+ Y% i* A) }
為了能看到正在運(yùn)行在Svchost列表中的服務(wù)。 5 E- K/ q5 A9 ^( [
開(kāi)始-運(yùn)行-敲入cmd & D" O6 l+ j1 B: T8 G3 y/ C" |- {
然后在敲入 tlist -s (tlist 應(yīng)該是win2k工具箱里的冬冬)
" @2 x: Q! P/ F$ [! KTlist 顯示一個(gè)活動(dòng)進(jìn)程的列表。開(kāi)關(guān) -s 顯示在每個(gè)進(jìn)程中的活動(dòng)服務(wù)列表。如果想知道更多的關(guān)于 8 d( c9 H' `# T6 F2 q. w
進(jìn)程的信息,可以敲 tlist pid。 </P>
; }% g7 Z2 d8 i<P>Tlist 顯示Svchost.exe運(yùn)行的兩個(gè)例子。
5 L* X5 T$ u) p1 V( c* b0 System Process 4 ?$ v Q! d2 Q; G% b. Z
8 System
) F& `/ n# I9 _# O3 `0 c4 a/ u# U0 s132 smss.exe
% ~3 s7 n% y% S160 csrss.exe Title:
) ^7 N0 r+ o; c% [) `5 c5 f& M4 ^180 winlogon.exe Title: NetDDE Agent , N5 H; L+ l6 _2 ~) T5 L
208services.exe
8 ^" \( C7 R( t ]: z" ~Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkstation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi
) _8 a4 {6 T# G9 X( P, a( o& v1 v220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
0 |* u6 ]9 C) h! s% _404 svchost.exe Svcs: RpcSs ) G2 B) u6 K2 W- Z: k2 O. h2 j
452 spoolsv.exe Svcs: Spooler
3 z0 ^1 b+ `' f544 cisvc.exe Svcs: cisvc
+ [# Z6 |" O7 {6 _556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
+ G1 a' i$ n* H: \2 g2 ~8 a; q2 k580 regsvc.exe Svcs: RemoteRegistry
$ M# |% t" V- @6 U3 j6 c. j2 i596 mstask.exe Svcs: Schedule : W2 D$ T% H7 ^8 j6 [
660 snmp.exe Svcs: SNMP ' m- M) c0 r9 O0 s7 c0 M! ]9 z4 M
728 winmgmt.exe Svcs: WinMgmt
* N5 |5 M. v7 S0 L0 m T7 [852 cidaemon.exe Title: OleMainThreadWndName
' {( o- G" `' s! A/ w) p812 explorer.exe Title: Program Manager
5 z% j3 I% a$ F0 Z1032 OSA.EXE Title: Reminder 6 f( q8 B9 J+ D- B0 q& ~
1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s 1 L0 k6 o; t- p7 x$ c, I. x
1080 MAPISP32.EXE Title: WMS Idle & N! G" C' a7 b! B& F3 O, `# u
1264 rundll32.exe Title: ! |' u9 h t7 M1 n0 J$ R
1000 mmc.exe Title: Device Manager
! h) l# P% f; u/ E# `8 C1144 tlist.exe
" R5 X, t8 F8 U: o) _在這個(gè)例子中注冊(cè)表設(shè)置了兩個(gè)組。 - F; A" [4 [: Q5 L
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
8 u: S1 @4 g: A" d! mnetsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
' L5 p- Q8 |0 b! W) S8 qrpcss :Reg_Multi_SZ: RpcSs </P>3 P) E& q' t D8 x
<P>smss.exe </P>- I- f, X# P: F8 {: p
<P>csrss.exe</P>
, N8 H. p4 G. b/ F* ^) u/ K. s<P>這個(gè)是用戶模式Win32子系統(tǒng)的一部分。csrss代表客戶/服務(wù)器運(yùn)行子系統(tǒng)而且是一個(gè)基本的子系統(tǒng) 9 K s2 k' L1 F# ^- I
必須一直運(yùn)行。csrss 負(fù)責(zé)控制windows,創(chuàng)建或者刪除線程和一些16位的虛擬MS-DOS環(huán)境。 </P>
& M4 m5 J" O$ |( ?<P>explorer.exe
+ n! U/ v" @# p這是一個(gè)用戶的shell(我實(shí)在是不知道怎么翻譯shell),在我們看起來(lái)就像任務(wù)條,桌面等等。這個(gè)
+ Q' x6 \& g5 ]# f' Q0 o( c進(jìn)程并不是像你想象的那樣是作為一個(gè)重要的進(jìn)程運(yùn)行在windows中,你可以從任務(wù)管理器中停掉它,或者重新啟動(dòng)。
# U& I2 l+ k7 B: p" _! a8 _通常不會(huì)對(duì)系統(tǒng)產(chǎn)生什么負(fù)面影響。 </P>% B2 _+ |* A: |' L) v2 d8 b/ B A. g
<P>internat.exe </P>; D' u; J3 Q" v) z; {
<P>這個(gè)進(jìn)程是可以從任務(wù)管理器中關(guān)掉的。
6 p/ K: X0 {# M9 b& winternat.exe在啟動(dòng)的時(shí)候開(kāi)始運(yùn)行。它加載由用戶指定的不同的輸入點(diǎn)。輸入點(diǎn)是從注冊(cè)表的這個(gè)位置 * \5 ~( Z3 ^% E8 `7 h6 x& H- _& l
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加載內(nèi)容的。 4 M2 n3 w0 a) S" n; F
internat.exe 加載“EN”圖標(biāo)進(jìn)入系統(tǒng)的圖標(biāo)區(qū),允許使用者可以很容易的轉(zhuǎn)換不同的輸入點(diǎn)。 7 z. |0 \+ p0 b9 A7 \
當(dāng)進(jìn)程停掉的時(shí)候,圖標(biāo)就會(huì)消失,但是輸入點(diǎn)仍然可以通過(guò)控制面板來(lái)改變。 </P>
$ i* U. G2 V. M( U- W, }<P>lsass.exe 6 K5 V, E7 l$ N) W
這個(gè)進(jìn)程是不可以從任務(wù)管理器中關(guān)掉的。
, V: L2 e7 ]+ i+ t& \ ~這是一個(gè)本地的安全授權(quán)服務(wù),并且它會(huì)為使用winlogon服務(wù)的授權(quán)用戶生成一個(gè)進(jìn)程。這個(gè)進(jìn)程是
" S$ J `. Z& t通過(guò)使用授權(quán)的包,例如默認(rèn)的msgina.dll來(lái)執(zhí)行的。如果授權(quán)是成功的,lsass就會(huì)產(chǎn)生用戶的進(jìn)入 % ^9 X" t* `" K y; v
令牌,令牌別使用啟動(dòng)初始的shell。其他的由用戶初始化的進(jìn)程會(huì)繼承這個(gè)令牌的。 </P>5 ~4 H8 M' [& Z
<P>mstask.exe " K4 B' [+ s1 _8 [( Y/ _ o
這個(gè)進(jìn)程是不可以從任務(wù)管理器中關(guān)掉的。 4 e# N* `2 |0 N. ^/ W
這是一個(gè)任務(wù)調(diào)度服務(wù),負(fù)責(zé)用戶事先決定在某一時(shí)間運(yùn)行的任務(wù)的運(yùn)行。 </P>5 w) e& k$ z$ O. j! N& @
<P>smss.exe
, e: v+ q3 T( z( v# W這個(gè)進(jìn)程是不可以從任務(wù)管理器中關(guān)掉的。
! x) O0 Q3 x' Q# F7 |) F7 ^6 ^: v這是一個(gè)會(huì)話管理子系統(tǒng),負(fù)責(zé)啟動(dòng)用戶會(huì)話。這個(gè)進(jìn)程是通過(guò)系統(tǒng)進(jìn)程初始化的并且對(duì)許多活動(dòng)的, ( L) F* ?; S0 P3 A) o! O
包括已經(jīng)正在運(yùn)行的Winlogon,Win32(Csrss.exe)線程和設(shè)定的系統(tǒng)變量作出反映。在它啟動(dòng)這些
5 u* o! }3 @5 I+ r- P* b進(jìn)程后,它等待Winlogon或者Csrss結(jié)束。如果這些過(guò)程時(shí)正常的,系統(tǒng)就關(guān)掉了。如果發(fā)生了什么 . c! R" j3 e% T N# Z$ Z
不可預(yù)料的事情,smss.exe就會(huì)讓系統(tǒng)停止響應(yīng)(就是掛起)。 </P>/ O+ C3 A! E. o7 X y% }- u6 G3 \
<P>spoolsv.exe
. ^/ \' F/ g$ T3 N4 ~這個(gè)進(jìn)程是不可以從任務(wù)管理器中關(guān)掉的。
" s6 A( D. P7 Q: f. T; G8 @緩沖(spooler)服務(wù)是管理緩沖池中的打印和傳真作業(yè)。 </P>+ M0 s. a$ y/ X
<P>service.exe ! l. h ]: ]5 @. s+ {/ i$ d, o
這個(gè)進(jìn)程是不可以從任務(wù)管理器中關(guān)掉的。 9 K6 V9 g( @1 E) u8 w" Y
大多數(shù)的系統(tǒng)核心模式進(jìn)程是作為系統(tǒng)進(jìn)程在運(yùn)行。 </P>% g' W0 X q/ O
<P>System Idle Process 4 M4 D2 p) u, F
這個(gè)進(jìn)程是不可以從任務(wù)管理器中關(guān)掉的。
& j& h0 |$ F9 c4 G) W這個(gè)進(jìn)程是作為單線程運(yùn)行在每個(gè)處理器上,并在系統(tǒng)不處理其他線程的時(shí)候分派處理器的時(shí)間。 </P>
" z- R0 e* \# A<P>taskmagr.exe 0 r3 J3 ~* o q9 t; q
這個(gè)進(jìn)程是可以在任務(wù)管理器中關(guān)掉的。
. u \8 L, e/ o6 x4 p這個(gè)進(jìn)程就是任務(wù)管理器。 </P>; h; S% a6 b, y& p! L6 I& w
<P>winlogon.exe
$ Y F% X/ W# Q/ b3 a這個(gè)進(jìn)程是管理用戶登錄和推出的。而且winlogon在用戶按下CTRL+ALT+DEL時(shí)就激活了,顯示安全對(duì)話框。 </P>3 L: C: x9 p: c( D* h5 g& S
<P>winmgmt.exe
, D8 S }1 s4 B. B8 xwinmgmt是win2000客戶端管理的核心組件。當(dāng)客戶端應(yīng)用程序連接或當(dāng)管理程序需要他本身的服務(wù)時(shí)這個(gè)進(jìn)程初始化</P>$ |$ P6 W; ^+ E; ^2 s$ @+ r3 q* P
<P> -----------------------------------------</P>4 _# \2 m3 @7 O: \
<P><FONT color=#ff0000>抓木馬的同學(xué)可以學(xué)習(xí)一下!</FONT></P> |
發(fā)表于 2005-3-12 23:45:59
收藏