<DIV class=postTitle>最基本的系統進程(也就是說�����,這些進程是系統運行的基本條件,有了這些進程,系統就能正常運行):
/ x+ c2 l+ M/ o1 A# ]$ Psmss.exe Session Manager
K, N4 c4 Q3 D( f8 xcsrss.exe 子系統服務器進程 % L' E7 y$ a# W# O2 k5 h
winlogon.exe 管理用戶登錄 - ~* x: c9 x% V. B, _% |
services.exe 包含很多系統服務
$ K0 `, M2 e$ F/ |8 w _; x# elsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序���。(系統服務)
5 @% b7 I( @) @, D! w產生會話密鑰以及授予用于交互式客戶/服務器驗證的服務憑據(ticket)。(系統服務)
# u1 ^1 Q6 L9 `" V7 D* U- K" {9 Ysvchost.exe 包含很多系統服務
]3 Z$ t3 g9 i% ^' z" ^& ?SPOOLSV.EXE 將文件加載到內存中以便遲后打印。(系統服務) % ]; Z2 d t t* ~) ?+ p( V
explorer.exe 資源管理器 5 a6 b% F$ j$ G9 n& b
internat.exe 托盤區的拼音圖標 </DIV>, x. Z7 n! B' W! O( x
< >- z- t8 P& I( [+ K1 p0 x
附加的系統進程(這些進程不是必要的,你可以根據需要通過服務管理器來增加或減少):
/ S% a4 j2 d3 `. D4 Imstask.exe 允許程序在指定時間運行��。(系統服務)
0 g, i3 Q% v% ^, A: L( C6 ?regsvc.exe 允許遠程注冊表操作�����。(系統服務)
, k0 ~9 f. U+ P/ w* h! Awinmgmt.exe 提供系統管理信息(系統服務)��。 7 s4 J8 z" Y0 `' i2 _
inetinfo.exe 通過 Internet 信息服務的管理單元提供 FTP 連接和管理。(系統服務) % X3 S+ @' F7 E- {/ `. D$ k
tlntsvr.exe 允許遠程用戶登錄到系統并且使用命令行運行控制臺程序�����。(系統服務)
+ W. L0 ^/ r$ B* g允許通過 Internet 信息服務的管理單元管理 Web 和 FTP 服務���。(系統服務) ( d- V, w& Y# ~+ S& f
tftpd.exe 實現 TFTP Internet 標準�����。該標準不要求用戶名和密碼�����。遠程安裝服務的一部分。(系統服務)
; ~5 z B% w1 G% Q5 x5 |termsrv.exe 提供多會話環境允許客戶端設備訪問虛擬的 Windows 2000 Professional 桌面會話以及運行在服務器上的基 于 Windows 的程序。(系統服務) - u6 V4 S3 U; E4 z5 T
dns.exe 應答對域名系統(DNS)名稱的查詢和更新請求。(系統服務) </P>" Y' \8 x) b5 r6 @7 K' O8 w! M
<>: O) K+ R; x6 E" s6 ]
以下服務很少會用到�����,上面的服務都對安全有害���,如果不是必要的應該關掉
1 n3 A6 D# U* W$ A6 {tcpsvcs.exe 提供在 PXE 可遠程啟動客戶計算機上遠程安裝 Windows 2000 Professional 的能力���。(系統服務)
3 W+ J5 I P2 W& R" L3 l支持以下 TCP/IP 服務:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day���。(系統服務) ! ~3 _9 V Q# \- o
ismserv.exe 允許在 Windows Advanced Server 站點間發送和接收消息���。(系統服務)
6 L( @/ a7 q& A1 j5 fups.exe 管理連接到計算機的不間斷電源(UPS)���。(系統服務) ( g# I( B$ H" e, @- L
wins.exe 為注冊和解析 NetBIOS 型名稱的 TCP/IP 客戶提供 NetBIOS 名稱服務���。(系統服務)
% s& }' v6 N/ c* N5 Q0 ?% }) m1 Ellssrv.exe License Logging Service(system service)
/ n5 z5 n5 d5 d. _. \0 p7 sntfrs.exe 在多個服務器間維護文件目錄內容的文件同步��。(系統服務) 2 M: ^4 S N- o
RsSub.exe 控制用來遠程儲存數據的媒體。(系統服務)
# r$ G, a6 j0 `6 D9 O8 Blocator.exe 管理 RPC 名稱服務數據庫���。(系統服務)
6 }0 v; w ^- q6 Elserver.exe 注冊客戶端許可證。(系統服務) - I) h2 E; ?! A7 V; ?' ]+ _
dfssvc.exe 管理分布于局域網或廣域網的邏輯卷���。(系統服務)
& I+ r- o7 y! oclipsrv.exe 支持“剪貼簿查看器”,以便可以從遠程剪貼簿查閱剪貼頁面�����。(系統服務)
7 X* C; \& |1 u* V& Imsdtc.exe 并列事務���,是分布于兩個以上的數據庫���,消息隊列��,文件系統���,或其它事務保護資源管理器��。(系統服務) 5 g k4 s+ O f$ I! p
faxsvc.exe 幫助您發送和接收傳真。(系統服務)
, Z0 j: `3 S" t# U3 m, a4 Rcisvc.exe Indexing Service(system service) ) H/ r6 ~" F8 M+ Q! ^+ M e
dmadmin.exe 磁盤管理請求的系統管理服務�����。(系統服務)
9 l0 K2 d& \0 {mnmsrvc.exe 允許有權限的用戶使用 NetMeeting 遠程訪問 Windows 桌面�����。(系統服務) : @* Q, e1 d9 _& z1 v! d r' b- @' x
netdde.exe 提供動態數據交換 (DDE) 的網絡傳輸和安全特性。(系統服務) 5 O+ O+ r; G1 u" D9 B0 e) e3 N7 R
smlogsvc.exe 配置性能日志和警報。(系統服務) z0 e- z! b2 j7 y; E# z
rsvp.exe 為依賴質量服務(QoS)的程序和控制應用程序提供網絡信號和本地通信控制安裝功能��。(系統服務)
8 n9 F5 I; ~$ S& M, m: TRsEng.exe 協調用來儲存不常用數據的服務和管理工具��。(系統服務)
n* t2 f5 @ O' y& M& Z% xRsFsa.exe 管理遠程儲存的文件的操作�����。(系統服務)
1 X' T8 U( ]2 B. Lgrovel.exe 掃描零備份存儲(SIS)卷上的重復文件��,并且將重復文件指向一個數據存儲點,以節省磁盤空間���。(系統服務)
- M, d0 v5 C4 `6 g0 u7 kSCardSvr.exe 對插入在計算機智能卡閱讀器中的智能卡進行管理和訪問控制。(系統服務) , u ?9 _" j! j% Z+ a7 e d& t) E
snmp.exe 包含代理程序可以監視網絡設備的活動并且向網絡控制臺工作站匯報���。(系統服務) - T$ K" X' ^5 S7 E
snmptrap.exe 接收由本地或遠程 SNMP 代理程序產生的陷阱消息,然后將消息傳遞到運行在這臺計算機上 SNMP 管理程序
- k' N1 [. `% K��。(系統服務) , r7 v9 d) T1 l; @' g" D% ]7 x. G
UtilMan.exe 從一個窗口中啟動和配置輔助工具��。(系統服務) 1 ~* g; @3 R2 a* O7 e$ x- U, u4 g2 m
msiexec.exe 依據 .MSI 文件中包含的命令來安裝�����、修復以及刪除軟件。(系統服務) </P>
2 W# v, Y4 n1 x/ y/ g1 k( A5 Z: ]( J" W7 \# K3 m
<>詳細說明:</P>5 |, m, _4 @2 k9 q& h& c! z
<P>win2k運行進程( {& |6 N5 ^# W; N! n
Svchost.exe
& t" P3 ?6 s$ `/ Q( f9 ESvchost.exe文件對那些從動態連接庫中運行的服務來說是一個普通的主機進程名��。Svhost.exe文件定位 在系統的%systemroot%\system32文件夾下���。在啟動的時候��,Svchost.exe檢查注冊表中的位置來構建需要加載的服務列表���。這就會使多個Svchost.exe在同一時間運行。每個Svchost.exe的會話期間都包含一組服務�����, 以至于單獨的服務必須依靠Svchost.exe怎樣和在那里啟動��。這樣就更加容易控制和查找錯誤��。
t/ p3 x/ q D. |4 a2 HSvchost.exe 組是用下面的注冊表值來識別。 </P>' H5 @- ^. y' T# w+ M
<P>HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
" C% w9 [* |/ k% `/ s每個在這個鍵下的值代表一個獨立的Svchost組,并且當你正在看活動的進程時�����,它顯示作為一個單獨的例子���。每個鍵值都是REG_MULTI_SZ類型的值而且包括運行在Svchost組內的服務��。每個Svchost組都包含一個或多個從注冊表值中選取的服務名���,這個服務的參數值包含了一個ServiceDLL值�����。
, [+ g3 p+ `, {6 ]2 FHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service </P># C x1 [% u- p/ T
<P>更多的信息 ( D( r4 }- S5 `, O# N8 f
為了能看到正在運行在Svchost列表中的服務。
7 Z7 e: z7 y" X4 S' R開始-運行-敲入cmd
1 I7 |& T- [/ Y& {4 E" S然后在敲入 tlist -s (tlist 應該是win2k工具箱里的冬冬) 9 l6 h5 \5 [/ n" q
Tlist 顯示一個活動進程的列表�����。開關 -s 顯示在每個進程中的活動服務列表��。如果想知道更多的關于
5 a+ m3 a! m* s進程的信息��,可以敲 tlist pid。 </P>2 {7 N# l& _) v$ h4 b) [$ e0 e
<P>Tlist 顯示Svchost.exe運行的兩個例子�����。
& _/ d+ a1 I9 L/ t+ |0 System Process 5 q9 ]* e2 P5 K) ~- _4 @- ~8 Z
8 System " k0 B* f0 u2 M" [/ G1 F9 z0 e
132 smss.exe $ J G5 F( Z2 M5 d
160 csrss.exe Title: ' b& o! z; F8 ?; V
180 winlogon.exe Title: NetDDE Agent 7 H2 C, z9 J. @! \
208services.exe
9 i* y3 a V4 I+ o9 o+ L! E& W% ySvcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkstation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi 2 Z: T1 R4 C: ~
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs . m9 ?+ t4 F0 p ^7 D# {
404 svchost.exe Svcs: RpcSs
. u% M) E* G9 g/ K452 spoolsv.exe Svcs: Spooler
7 z# b, s& r, v8 n544 cisvc.exe Svcs: cisvc 0 ~; w6 K! `; n$ o' j* P) K
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv 2 L5 @- a1 k+ @2 i8 r4 P: e$ n
580 regsvc.exe Svcs: RemoteRegistry
U' ]$ U9 F* L0 K& C- W9 h596 mstask.exe Svcs: Schedule
+ h8 }4 L: c) l. @8 |) T3 M" M/ ~660 snmp.exe Svcs: SNMP
* @4 B. A& m# Q1 r, f& A4 ^; x728 winmgmt.exe Svcs: WinMgmt
3 R8 o$ I w; W, k0 a) D6 c; L852 cidaemon.exe Title: OleMainThreadWndName
2 Y& b/ y3 s- Z812 explorer.exe Title: Program Manager
. o6 C% ^4 d9 x W) k( I+ {! ~9 F1032 OSA.EXE Title: Reminder x9 f4 K: y4 ]" r. d* X
1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s - u) q8 r# |. e2 m* |
1080 MAPISP32.EXE Title: WMS Idle . H7 P7 ^' ]- Y o! l, D- l: p6 V* l
1264 rundll32.exe Title:
. ?# M; s0 F. O: `4 |" L) Y1000 mmc.exe Title: Device Manager
( D/ `9 i# Y- X9 ]! ]1144 tlist.exe
% h. {! K" @. F* ]$ f) G2 _" r在這個例子中注冊表設置了兩個組��。 9 {5 r( l0 ^0 a; K
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
8 b1 }. f8 ^5 [netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
( s. D5 z) J1 N2 f& Prpcss :Reg_Multi_SZ: RpcSs </P>- ]) F% g0 M0 {5 H! u
<P>smss.exe </P>" @/ x( O, P! A! f, Y: H
<P>csrss.exe</P>
; O% n" O0 [. A, n; O4 Z: |<P>這個是用戶模式Win32子系統的一部分。csrss代表客戶/服務器運行子系統而且是一個基本的子系統 1 t, {% k3 w' L. y1 ~
必須一直運行�����。csrss 負責控制windows���,創建或者刪除線程和一些16位的虛擬MS-DOS環境�����。 </P>2 H$ o8 K3 ?7 o8 H- i7 P ]* ~
<P>explorer.exe
1 R; g" j8 [: R& A l這是一個用戶的shell(我實在是不知道怎么翻譯shell)��,在我們看起來就像任務條��,桌面等等。這個 5 s0 _3 K6 Y5 ^8 B# d" M0 p
進程并不是像你想象的那樣是作為一個重要的進程運行在windows中���,你可以從任務管理器中停掉它,或者重新啟動���。 ' K+ d9 W+ E$ ?8 t" w
通常不會對系統產生什么負面影響。 </P>2 d/ M5 f, j9 g0 [" N
<P>internat.exe </P>4 r5 H* S* |, k9 w/ n5 y
<P>這個進程是可以從任務管理器中關掉的�����。 0 A+ f: @- \7 V1 @! C, C1 M7 D
internat.exe在啟動的時候開始運行��。它加載由用戶指定的不同的輸入點�����。輸入點是從注冊表的這個位置 8 T! G3 s9 B& p. n7 g+ ?. n8 e7 m
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加載內容的���。 U' R& d, x* ]4 U: e5 f3 l
internat.exe 加載“EN”圖標進入系統的圖標區���,允許使用者可以很容易的轉換不同的輸入點�����。 8 h& X1 x0 j0 G+ |$ C" _
當進程停掉的時候���,圖標就會消失�����,但是輸入點仍然可以通過控制面板來改變。 </P>6 U+ M1 y3 G! i0 A
<P>lsass.exe 9 V' A3 m0 L! R0 v
這個進程是不可以從任務管理器中關掉的�����。
7 V$ g1 s m/ T: W/ \這是一個本地的安全授權服務��,并且它會為使用winlogon服務的授權用戶生成一個進程���。這個進程是
& M' O6 o+ J* _! \) U通過使用授權的包���,例如默認的msgina.dll來執行的���。如果授權是成功的�����,lsass就會產生用戶的進入 K# Y6 U' S2 z4 ?, S
令牌���,令牌別使用啟動初始的shell�����。其他的由用戶初始化的進程會繼承這個令牌的��。 </P>
( O7 `2 k P& Q: c<P>mstask.exe
2 }; W% b4 l' s3 q' k$ ^4 [ d這個進程是不可以從任務管理器中關掉的。
7 y/ u; e Q0 K0 X9 l0 [# K" M這是一個任務調度服務,負責用戶事先決定在某一時間運行的任務的運行���。 </P>4 @4 H* q+ v$ S; l$ ~
<P>smss.exe
6 V# J. y$ {1 _+ E這個進程是不可以從任務管理器中關掉的。
2 {" F- C- A) P8 T" Y, @這是一個會話管理子系統,負責啟動用戶會話�����。這個進程是通過系統進程初始化的并且對許多活動的��, % T( y) z M% G+ W z
包括已經正在運行的Winlogon�����,Win32(Csrss.exe)線程和設定的系統變量作出反映�����。在它啟動這些 5 D5 Z# A7 ?8 s7 c
進程后,它等待Winlogon或者Csrss結束��。如果這些過程時正常的��,系統就關掉了���。如果發生了什么
" e6 G: T! u/ K' Y3 X4 ~9 H% v不可預料的事情,smss.exe就會讓系統停止響應(就是掛起)。 </P>
9 N. ~% L# \/ B6 _: C) y7 x<P>spoolsv.exe
$ e& f" x6 [& X9 U9 g- R! X0 Z* v這個進程是不可以從任務管理器中關掉的。 h# f2 B+ I7 J( j# r
緩沖(spooler)服務是管理緩沖池中的打印和傳真作業。 </P>
; A) i+ W" g3 x' t1 Q- Z2 f c<P>service.exe $ r+ p1 H& S2 j2 r1 L6 i* [6 J
這個進程是不可以從任務管理器中關掉的�����。
- H5 p5 E; T; Z. c% r大多數的系統核心模式進程是作為系統進程在運行��。 </P>
+ ~0 B" E+ ?/ ]3 M. Q$ D3 H<P>System Idle Process % u0 P% [2 W$ v
這個進程是不可以從任務管理器中關掉的���。
7 Z& x! T7 p# ?( O6 y9 Y( g* C' W# \這個進程是作為單線程運行在每個處理器上��,并在系統不處理其他線程的時候分派處理器的時間。 </P>/ h4 q0 z5 e+ g- P
<P>taskmagr.exe
. a6 P9 \4 x) B這個進程是可以在任務管理器中關掉的�����。 6 C8 s. a" u0 ^1 O9 S( x
這個進程就是任務管理器�����。 </P>
8 e/ d+ r5 b8 f8 |' R- s, H<P>winlogon.exe ; @/ ^6 v+ v% {9 ?& W* T8 `
這個進程是管理用戶登錄和推出的�����。而且winlogon在用戶按下CTRL+ALT+DEL時就激活了,顯示安全對話框。 </P>0 o& \1 m" u) l; M- \3 y
<P>winmgmt.exe 4 Y5 g! _: o; }" ?
winmgmt是win2000客戶端管理的核心組件。當客戶端應用程序連接或當管理程序需要他本身的服務時這個進程初始化</P>
# i! v' b% ^) y# |0 i# ]<P> -----------------------------------------</P>
7 e+ _4 v$ |4 ~) C( j/ M w<P><FONT color=#ff0000>抓木馬的同學可以學習一下��!</FONT></P> |
發表于 2005-3-12 23:45:59
收藏