WinXP系统进程详解
XP系统基本进程
csrss.exe三个常驻文件,并且在系统启动项中自动加载,在桌面产生一个名为“新浪游戏总动员”的快捷方式,不仅如此,新浪还将Nmgamex.dll文件与系统文件
三个文件,再修改Windows文件夹中的任意一个文件名,从新启动计算机后删除修改过的csrss.exe文件。
ddhelp.exe:DirctDraw Helper是DirextX这个用于图形服务的一个组成部分,DirectX帮助程序。
dllhost.exe:DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序,如果该进程常常出错,那么可能感染Weichia病毒。
XP系统基本进程;
System idle Process:Windows页面内存管理进程,该进程拥有0级优先。它作为单线程运行在每个处理器上,并在系统不处理其他线程的时候
分派处理器的时间。他的cpu占用率越大表示可供分配的cpu资源越多,数字越小资源越紧张。
ALG.exe:这是一个应用层网关服务用于网络共享。它是一个网关通信插件的管理器,为“internet连接共享服务”和“inernet连接防火墙服务”
rundll32.dll进行绑定,并且伪造系统文件csrss.exe,产生一个通过明的文件与系统绑定加载到系统启动项内,无法直接关闭系统进程后删除。
手工清除方法:先修改注册表,清除名为启动项:NMGamex.dll、csrss.exe。然后删除System32NMGameX.dll、System32sinaproc327.exe和WindowsNMWizardA14ient/Server Runtime ServerSubsystem,客户端服务子系统,用以控制Windows图形相关子系统。正常情况下在WindowsNT4/2000/XP/2003系统
XP主要15个系统进程 文档
XP主要15个系统进程XP主要15个系统进程1.svchost.exe 进程文件:svchost或者svchost.exe 进程名称:microsoftservice host process[pp=single_ubb,148,148,1b0179q977b8]sid=477858&surl=/&url=ht tp:///pic/1b0179q977b8&rurl=/pic/1f03e4q1b187.bmp &rurl_w=148&rurl_h=148[/pp] 描述:svchost.exe是一个属于微软windows操作系统的系统程序,用于执行dll文件。
这个程序对你系统的正常运行是非常重要的。
注意:svchost.exe 也有可能是w32.welchia.worm病毒,它利用windowslsass漏洞,制造缓冲区溢出,导致你计算机关机。
请注意此进程的名字,还有一个病毒是svch0st.exe,名字中间的是数字0,而不是英文字母o。
请注意此进程所在的文件夹,正常的进程应该是在windows的system32和servicepackfilesi386下面2.IEXPLORE.EXE 进程文件:iexplore或者iexplore.exe 进程名称:microsoft internet explorer 描述:iexplore.exe是microsoft internet explorer的主程序。
这个微软windows应用程序让你在网上冲浪,和访问本地interanet网络。
这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
iexplore.exe同时也是avant网络浏览器的一部分,这是一个免费的基于internet explorer的浏览器。
注意iexplore.exe也有可能是木马.killav.b病毒,该病毒会终止你的反病毒软件,和一些windows系统工具。
XP所有进程解释和处理方法
ALG.EXE进程文件:alg 或者alg.exe进程名称:Application Layer Gateway Service路径:C:\WINDOWS\system32\alg.exe命令行:C:\WINDOWS\System32\alg.exe文件描述:Application Layer Gateway Service出品公司:Microsoft Corporation文件大小:43 KB文件版本:5.1.2600.2180MD5 值:a9de20df2c89b6b2ffda0e6cd52a8599描述:alg.exe是微软Windows操作系统自带的程序。
它用于处理微软Windows网络连接共享和网络连接防火墙。
这个程序对你系统的正常运行是非常重要的。
应用进程用英文描述:alg.exe is a Microsoft Windows operating system built-in procedures. It is used to deal with the Microsoft Windows Network Connection Sharing and Internet Connection Firewall. This procedure is the normal operation of your system is very important.属于:Microsoft Windows Operating System(windows系统)系统进程:是后台程序:是使用网络:是硬件相关:否常见错误:未知N/A内存使用:未知N/A间谍软件:否广告软件:否病毒:否木马:否病毒alg 或alg.exe1. alg.exe是什么病毒?1) 如果此文件在C:\windows\alg.exe (标准地址为C:\windows\system32\alg.exe 这里前面的写的是一种病毒)这是一个病毒样本eraseme_88446.exe 释放到系统中的。
【VIP专享】微软xp后台进程详解
进程备查手册什么是系统进程?它能做什么? 进程是程序在计算机上的一次执行活动。
当你运行一个程序,你就启动了一个进程。
显然,程序是死的(静态的),进程是活的(动态的)。
进程可以分为系统进程和用户进程。
凡是用于完成操作系统的各种功能的进程就是系统进程,它们就是处于运行状态下的操作系统本身;用户进程就是所有由你启动的进程。
进程是操作系统进行资源分配的单位。
你可以通过快捷键Ctrl+alt+del打开任务管理器来查看进程标签。
也可以在任务栏的空白处点击鼠标右键选择“任务管理器”并查看其中的进程标签。
危害较大的可执行病毒同样以“进程”形式出现在系统内部(一些病毒可能并不被进程列表显示,如“宏病毒”),那么及时查看并准确杀掉非法进程对于手工杀毒有起着关键性的作用。
因此,学会查看和管理进程,对我们系统的稳定以及安全都有极其深刻的意义。
今天我就带大家来学习以及玩转系统进程。
关键进程详解 在系统当前运行的进程里包括:系统管理计算机个体和完成各种操作所必需的进程;用户开启、执行的额外程序进程,当然也包括用户不知道,而自动运行的非法进程(它们就有可能是病毒程序)。
在这些进程里面,有些进程是系统运行所必须调用的进程我们称之为关键进程。
了解了哪些是关键进程后,有助于我们找出分辨“黑白”查杀病毒。
Aactmovie.exeactmovie.exe是微软Windows操作系统自带的程序,用于支持显示卡运行一些屏幕保护和微软程序。
这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题agentsvr.exeagentsvr.exe是一个ActiveX插件,用于多媒体程序。
这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
alg.exealg.exe是微软Windows操作系统自带的程序。
它用于处理微软Windows网络连接共享和网络连接防火墙。
这个程序对你系统的正常运行是非常重要的。
ASPNET_WP.exeASPNET_WP.exe是涉及Microsoft 技术的程序运行所必须的程序。
XP进程详解
◎补充描述:SP2新增的服务,默认就是手动,实际使用中也没见它启动过,就不要管它了!
◎默认:手动
◎建议:手动 本身就没有开启
21.●显示名称:Human Interface Device Access
◎默认:手动(已启动)
◎建议:手动 多用户间的切换,如果仅你自己一个用户,可以禁用
19.●显示名称:Help and Support
◎进程名称:svchost.exe -k netsvcs
◎微软描述:启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支持中心将不可用。如果禁用服务,任何直接依赖于此服务的服务将无法启动。
◎默认:自动
◎建议:禁用 普通用户也是用不上,除非你是正版用户,而且打算将错误报告发至微软。
17.●显示名称:Event Log
◎进程名称:services.exe
◎微软描述:启用在事件查看器查看基于 Windows 的程序和组件颁发的事件日志消息。无法终止此服务。
◎补充描述:事件查看器。允许事件讯息显示在事件检视器之上。
◎补充描述:分布式交换协调器。一般家庭用计算机用不太到,除非你启用的Message Queuing。
◎默认:手动
◎建议:手动 本身就没有开启
15.●显示名称:DNS Client
◎进程名称:svchost.exe -k NetworkService
◎微软描述:为此计算机解析和缓冲域名系统 (DNS) 名称。如果此服务被停止,计算机将不能解析 DNS 名称并定位 Active Directory 域控制器。如果此服务被禁用,任何明确依赖它的服务将不能启动。
XP进程分析
很多朋友面对系统中的进程,往往感到茫然,不知它们具有什么功能;是否可以结束其运行,以节省系统资源;哪个进程比较可疑,可能是木马……其实进程应该可理解为处于活动状态的计算机程序,它在操作系统中执行特定的任务。
本文,笔者将以Windows XP 操作系统为例,为大家介绍系统进程的相关内容。
揪出可疑进程系统进程一般包括:基本系统进程和附加进程。
基本系统进程是系统运行的必备条件,只有这些进程处于活动状态,系统才能正常运行;而附加进程则不是必需的,你可以按需新建或结束。
我们就先来了解一下哪些是最基本的系统进程。
1.基本系统进程Csrss.exe :这是子系统服务器进程,负责控制Windows 创建或删除线程以及16位的虚拟DOS 环境。
System Idle Process :这个进程是作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。
Smss.exe :这是一个会话管理子系统,负责启动用户会话。
Services.exe :系统服务的管理工具。
Lsass.exe :本地的安全授权服务。
Explorer.exe :资源管理器。
Spoolsv.exe :管理缓冲区中的打印和传真作业。
Svchost.exe :这个进程要着重说明一下,有不少朋友都有这种错觉:若是在“任务管理器”中看到多个Svchost.exe 在运行,就觉得是有病毒了。
其实并不一定,系统启动的时候,Svchost.exe 将检查注册表中的位置来创建需要加载的服务列表,如果多个Svchost.exe 同时运行,则表明当前有多组服务处于活动状态;多个DLL 文件正在调用它。
至于其它一些附加进程,大多为系统服务,是可以酌情结束运行的。
由于其数量众多,我们在此也不便于一一列举。
在系统资源紧张的情况下,我们可以选择结束一些附加进程,以增加资源,起到优化系统的作用。
在排除基本系统及附加进程后,新增的陌生进程就值得被大家怀疑了。
Windows XP 系统进程详解
-- Windows XP 系统进程详解Windows XP 系统进程详解一、正常启动下应有的进程:1.可终止的:Svchost.exe 仅位于x:\\windows\\sytem32\\下。
启动时,依据以下注册表来加载:HKEY_LOCAL_MACHINE\\\\SOFTWARE\\MICROSOFT\\WINDOWS NT\\CURRENTVERSION\\SCHOST, 每个键值都是REG_MULTI_SZ类型,包括多个运行服务。
Explorer.exe 资源管理器,一旦终止会自动重新加载,否则会呈死机状态。
Ctfmon.exe(internat.exe)是输入法图标。
2.不可终止的:Lsass.exe是本地安全授权服务。
为winlogon所产生的用户生成一个进程。
Csrss.exe 子服务器进程。
使用户模式Win32的一部分,负责控制创建和终止线程和16位MS-DOS。
Smss.exe 会话管理子系统。
为系统变量做出反应。
Spoolsv.exe 缓冲服务。
管理缓冲池中打印和传真作业。
Service.exe 核心系统服务。
大多数系统核心进程包含于此。
System idle process 处理器分派。
于每一个CPU上作为单线程。
(支持多处理器的Windows系统和单处理器的系统区别就在此)Winlogon.exe 用户登陆管理。
这是XP盗版的破解之处,管理登陆和注销。
二、附加进程:Alg.exe Internet防火墙:为家庭或小型办公网络提供网络地址转换,定址以及名称解析和/或防止入侵服务。
Dns.exe 解析和缓冲域名服务:为此计算机解析和缓冲域名系统(DNS) 名称。
如果此服务被停止,计算机将不能解析DNS 名称并定位Active Directory 域控制器。
如果此服务被禁用,任何明确依赖它的服务将不能启动。
Locator.exe远程过程调用(RPC):管理RPC 名称服务数据库。
windows xp进程全解
描述: Windows壳进程用于管理多线程、内存和资源。
是否为系统进程: 是
26。kodakimage.exe
进程文件: kodakimage or kodakimage.exe
进程名称: Imaging
描述: Kodak Imaging是一个图片察看软件。包括在Windows,用以打开图像文件。
进程文件: frontpage or frontpage.exe
进程名称: Microsoft FrontPage
描述: Microsoft FrontPage是一个HTML编辑器用于创建站点和其它类别的HTML文档。
是否为系统进程: 否
G.
19.gmt.exe
进程文件: gmt or gmt.exe
是否为系统进程: 否
16。excel.exe
进程文件: excel or excel.exe
进程名称: Microsoft Excel
描述: Microsoft Excel是一个电子表格程序包括在Microsoft Office中。
是否为系统进程: 否
F.
17.findfast.exe
是否为系统进程: 是
23。internat.exe
进程文件: internat or internat.exe
进程名称: Input Locales
描述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。
是否为系统进程: 是
24。iexplore.exe
进程文件: acrobat or acrobat.exe
进程名称: Adobe Acrobat
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
WinXP系统进程详解最基本的系统进程smss.exe Session Managercsrss.exe 子系统服务器进程winlogon.exe 管理用户登录services.exe 包含很多系统服务lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
(系统服务)产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。
(系统服务)svchost.exe 包含很多系统服务svchost.exeSPOOLSV.EXE 将文件加载到内存中以便迟后打印。
(系统服务)explorer.exe 资源管理器internat.exe 托盘区的拼音图标..附加的系统进程(这些进程不是必要的,你可以根据需要通过服务管理器来增加或减少):mstask.exe 允许程序在指定时间运行。
(系统服务)regsvc.exe 允许远程注册表操作。
(系统服务)winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。
(系统服务)tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。
(系统服务)允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。
(系统服务) tftpd.exe 实现 TFTP Internet 标准。
该标准不要求用户名和密码。
远程安装服务的一部分。
(系统服务)termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基于Windows 的程序。
(系统服务)dns.exe 应答对域名系统(DNS)名称的查询和更新请求。
(系统服务)..以下服务很少会用到,上面的服务都对安全有害,如果不是必要的应该关掉tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。
(系统服务)支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
(系统服务)ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。
(系统服务)ups.exe 管理连接到计算机的不间断电源(UPS)。
(系统服务)wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。
(系统服务)llssrv.exe License Logging Service(system service)ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。
(系统服务) RsSub.exe 控制用来远程储存数据的媒体。
(系统服务)locator.exe 管理 RPC 名称服务数据库。
(系统服务)lserver.exe 注册客户端许可证。
(系统服务)dfssvc.exe 管理分布于局域网或广域网的逻辑卷。
(系统服务)clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。
(系统服务)msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。
(系统服务)faxsvc.exe 帮助您发送和接收传真。
(系统服务)cisvc.exe Indexing Service(system service)dmadmin.exe 磁盘管理请求的系统管理服务。
(系统服务)mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。
(系统服务)netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。
(系统服务) smlogsvc.exe 配置性能日志和警报。
(系统服务)rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。
(系统服务)RsEng.exe 协调用来储存不常用数据的服务和管理工具。
(系统服务) RsFsa.exe 管理远程储存的文件的操作。
(系统服务)grovel.exe 扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间。
(系统服务)SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。
(系统服务)snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。
(系统服务)snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序(系统服务).UtilMan.exe 从一个窗口中启动和配置辅助工具。
(系统服务)msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。
(系统服务)详细说明:win2k运行进程Svchost.exeSvchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。
Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。
在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。
这就会使多个Svchost.exe在同一时间运行。
每个Svchost.exe 的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。
这样就更加容易控制和查找错误。
Svchost.exe 组是用下面的注册表值来识别。
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的例子。
每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。
每个Svchost组都包含一个或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL 值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service更多的信息为了能看到正在运行在Svchost列表中的服务。
开始-运行-敲入cmd然后在敲入 tlist -s (tlist 应该是win2k工具箱里的冬冬)Tlist 显示一个活动进程的列表。
开关 -s 显示在每个进程中的活动服务列表。
如果想知道更多的关于进程的信息,可以敲 tlist pid。
smss.execsrss.exe这个是用户模式Win32子系统的一部分。
csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。
csrss 负责控制windows,创建或者删除线程和一些16位的虚拟MS-DOS环境explorer.exe这是一个用户的shell,在我们看起来就像任务条,桌面等等。
这个进程并不是像你想象的那样是作为一个重要的进程运行在windows中,你可以从任务管理器中停掉它,或者重新启动。
通常不会对系统产生什么负面影响。
internat.exe这个进程是可以从任务管理器中关掉的。
internat.exe在启动的时候开始运行。
它加载由用户指定的不同的输入点。
输入点是从注册表的这个位置HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加载内容的。
internat.exe 加载“EN”图标进入系统的图标区,允许使用者可以很容易的转换不同的输入点。
当进程停掉的时候,图标就会消失,但是输入点仍然可以通过控制面板来改变。
lsass.exe这个进程是不可以从任务管理器中关掉的。
这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。
这个进程是通过使用授权的包,例如默认的msgina.dll来执行的。
如果授权是成功的,lsass 就会产生用户的进入令牌,令牌别使用启动初始的shell。
其他的由用户初始化的进程会继承这个令牌的。
mstask.exe这个进程是不可以从任务管理器中关掉的。
这是一个任务调度服务,负责用户事先决定在某一时间运行的任务的运行。
smss.exe这个进程是不可以从任务管理器中关掉的。
这是一个会话管理子系统,负责启动用户会话。
这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。
在它启动这些进程后,它等待Winlogon或者Csrss结束。
如果这些过程时正常的,系统就关掉了。
如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(就是挂起)。
spoolsv.exe这个进程是不可以从任务管理器中关掉的。
缓冲(spooler)服务是管理缓冲池中的打印和传真作业。
service.exe这个进程是不可以从任务管理器中关掉的。
大多数的系统核心模式进程是作为系统进程在运行。
System Idle Process这个进程是不可以从任务管理器中关掉的。
这个进程是作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。
winlogon.exe这个进程是管理用户登录和推出的。
而且winlogon在用户按下CTRL+ALT+DEL 时就激活了,显示安全对话框。
winmgmt.exewinmgmt是win2000客户端管理的核心组件。
当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化taskmagr.exe 是任务管理器了。