课题26Windows NT进程和服务

Windows NT的进程和线程机制进程是操作系统结构的基础；是一个正在执行的程序；计算机中正在运行的程序实例；可以分配给处理器并由处理器执行的一个实体；由单一顺序的执行显示，一个当前状态和一组相关的系统资源所描述的活动单元。

对于进程，其概念主要包括有两点：第一，进程是一个实体。

每一个进程都有它自己的地址空间，一般情况下，包括文本区域（text region）、数据区域（data region）和堆栈（stack region）。

文本区域存储处理器执行的代码；数据区域存储变量和进程执行期间使用的动态分配的内存；堆栈区域存储着活动过程调用的指令和本地变量。

第二，进程是一个“执行中的程序”。

程序是一个没有生命的实体，只有处理器赋予程序生命时，它才能成为一个活动的实体，我们称其为进程。

对于Windows NT线程的调度，是采用优先级的调度规则，并且将上面所说的几种方法结合起来的一种调度方式。

它支持被分为两组的32个优先级级别，每组16个，如下图所示，优先级31~16是为实时线程保留的，其中31最高。

而被称为普通线程的其他线程占用优先级15~0。

根据当前线程的优先级分配线程，这就保证了实时线程比普通线程有更高的优先级，而不会出现优先级倒置的问题。

Windows NT 优先级级别前15个优先级根据ML 机制（多级优先级）来处理，另一方面，普通线程的优先级为了响应发生在系统中的不同事件而会不断改变。

当创建这种线程时为每一个线程分配一个基本优先级，这就指定了它的最小优先级别。

然而，线程的当前优先级根据下面的规则，会随着其近期的执行历史情况而发生改变。

每个系统事件被指派一个优先级增量，以代表产生事件的原因。

而相应的，对于实时线程，它有一个静态优先级，对它们不会增加任何增量。

当由于这些事件之一线程被唤醒时，便将相应的增量增加到当前的优先级值上，并且线程被排队到适当的级别上。

当线程合适地使用CPU 后被抢占时，它的当前优先级就减1，并将其放到下一个更低优先级队列上。

Windows系统任务管理器使用指南Windows系统任务管理器是一个功能强大的工具，可以帮助您监控和管理计算机上运行的进程、性能和服务。

本指南将为您提供有关如何正确使用Windows任务管理器的详细说明和提示。

一、任务管理器概述Windows任务管理器可以通过多种方式访问，最简单的方法是通过按下“Ctrl + Alt + Del”组合键，然后选择“任务管理器”。

您还可以通过右键单击任务栏并选择“任务管理器”来打开它。

二、进程管理任务管理器的“进程”选项卡显示了当前正在运行的所有进程。

您可以看到每个进程占用的CPU和内存资源，并可以通过点击表头来按照需要对进程进行排序。

1. 终止进程：在“进程”选项卡中，选择要终止的进程，然后点击“结束任务”按钮。

请谨慎操作，确保您不会终止系统必要的进程。

2. 分析进程：通过单击“进程”选项卡中的进程，您可以查看该进程的详细信息，包括可执行文件路径、描述和已使用的资源量。

这对于排除计算机慢的原因或检测恶意软件非常有用。

三、性能监控任务管理器的“性能”选项卡提供了有关计算机性能的实时信息。

您可以看到CPU、内存、磁盘和网络的使用情况。

这对于确定系统资源的瓶颈以及优化计算机性能非常重要。

1. 监控资源：您可以随时监控CPU和内存的使用情况。

如果发现有进程占用过多的资源，您可以终止它们或者调整其优先级，以提高系统的整体性能。

2. 查看磁盘和网络：任务管理器的“性能”选项卡还提供了关于磁盘和网络使用情况的信息。

您可以查看每个磁盘驱动器的读写速度，并检查网络连接的传输速度。

四、应用历史任务管理器的“应用”选项卡显示了所有正在运行的应用程序。

您可以查看每个应用程序的CPU和内存使用情况，并可以选择关闭不需要的应用程序来释放系统资源。

1. 切换到应用：在“应用”选项卡中，您可以通过单击应用程序来切换到它们的窗口。

这是一个方便快捷的方式，而不必使用鼠标来查找并切换窗口。

2. 管理应用：如果您发现某个应用程序无响应或运行缓慢，您可以选择关闭它，然后重新打开以解决问题。

Client/Server Runtime Server Subsystem，客户端服务子系统，用以控制Windows图形相关子系统。

正常情况下系统中只有一个csrss.exe进程，正常路径在System32文件夹中。

services.exeservices.exe是微软Windows操作系统的一部分。

用于管理启动和停止服务。

该进程也会处理在计算机启动和关机时运行的服务。

这个程序对你系统的正常运行是非常重要的。

注意：services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。

该木马允许攻击者访问你的计算机，窃取密码和个人数据。

该进程的安全等级是低，建议立即删除。

lsass.exelsass.exe是一个系统进程，用于微软Windows系统的安全机制。

它用于本地安全和登陆策略。

注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。

Rtvscan.exertvscan.exe是Symantec Internet Security网络安全套装的一部分。

它用于实时扫描病毒，保护你的系统免受病毒的威胁。

ccsetmgr.execcsetmgr.exe是Symantec公司网络安全套装的一部分。

defwatch.exedefwatch.exe是Norton Antivirus反病毒企业版的一部分，用于检查病毒库特征文件是否有新的升级。

llssrv.exellssrv.exe是微软Microsoft Windows Server版的一部分，用于许可登陆服务。

dbsnmp.exewindows环境下的oracle服务OracleSQL的性能包数据采集服务进程。

Windows操作系统进程详细介绍.txt19“明”可理解成两个月亮坐在天空，相互关怀，相互照亮，缺一不可，那源源不断的光芒是连接彼此的纽带和桥梁！人间的长旅充满了多少凄冷孤苦，没有朋友的人是生活的黑暗中的人，没有朋友的人是真正的孤儿。

电脑维修的基本原则和方法这里所述原则、方法等是第二部分分类判断的基础，需要认真遵守执行。

§1.1 进行电脑维修应遵循的基本原则：一、进行维修判断须从最简单的事情做起简单的事情，一方面指观察，另一方面是指简捷的环境。

简单的事情就是观察，它包括：1、电脑周围的环境情况——位置、电源、连接、其它设备、温度与湿度等；2、电脑所表现的现象、显示的内容，及它们与正常情况下的异同；3、电脑内部的环境情况——灰尘、连接、器件的颜色、部件的形状、指示灯的状态等；4、电脑的软硬件配置——安装了何种硬件，资源的使用情况；使用的是使种xx作系统，其上又安装了何种应用软件；硬件的设置驱动程序版本等。

简捷的环境包括：1、后续将提到的最小系统；2、在判断的环境中，仅包括基本的运行部件/软件，和被怀疑有故障的部件/软件；3、在一个干净的系统中，添加用户的应用（硬件、软件）来进行分析判断从简单的事情做起，有利于精力的集中，有利于进行故障的判断与定位。

一定要注意，必须通过认真的观察后，才可进行判断与维修。

二、根据观察到的现象，要“先想后做”先想后做，包括以下几个方面：首先是，先想好怎样做、从何处入手，再实际动手。

也可以说是先分析判断，再进行维修。

其次是，对于所观察到的现象，尽可能地先查阅相关的资料，看有无相应的技术要求、使用特点等，然后根据查阅到的资料，结合下面要谈到的内容，再着手维修。

最后是，在分析判断的过程中，要根据自身已有的知识、经验来进行判断，对于自己不太了解或根本不了解的，一定要先向有经验的同事或你的技术支持工程师咨询，寻求帮助。

三、在大多数的电脑维修判断中，必须“先软后硬：即从整个维修判断的过程看，总是先判断是否为软件故障，先检查软件问题，当可判软件环境是正常时，如果故障不能消失，再从硬件方面着手检查。

网络操作系统(Windows NT 、NetWare NDS 简介)1.1 介绍网络操作系统的出现是计算机世界的里程碑。

对于最终用户，它意味着独自工作的结束。

使用另一个工作站并不意味着必须将文件从一个工作站拷贝到另一个工作站，或将文件拷回。

当然，这只是网络环境的一个优点。

这一阶段中，你将学习操作系统以及网络操作系统的典型组件和服务。

1.2 什么是操作系统？你是否曾经想过究竟是什么使你的计算机运转的？计算机是如何执行多种功能的？所有这些都是通过计算机系统最重要的组件——操作系统，来完成的。

定义：―操作系统是一个程序，它担当着用户和计算机硬件间的接口，并控制各种类型程序的执行。

‖计算机系统可粗略地划分成下列组件：硬件 —— 它提供了基本运算资源。

它由中央处理器 (CPU) 、内存和输入/输出 (I/O) 设备组成。

应用程序 —— 它们是软件，定义了用户使用计算机资源的方式。

应用程序可是编译器、解释器、数据库系统、财会软件包，甚至我们喜欢玩的计算机游戏也是应用程序。

用户 —— 用户可以是人，也可以是另一台计算机。

操作系统 —— 这是重要组件，它为各种用户协调处理应用程序使用硬件资源的方式。

也就是说，操作系统提供了用户和计算机组件间的接口。

图1是操作系统功能示例。

图 1. 操作系统用户软盘 硬盘 存储设备输出设备 打印机 / 监视器 操作系统内存 控制单元 / ALU 中央处理器 输入设备 键盘1.3 操作系统的分类许多操作系统得到很大发展，并简化了用户和计算机间的交互。

操作系统可被分为：单用户系统计算机的处理器每次只能处理一项任务的时候，被称为单用户系统。

这意味着在任一时间点，系统只能支持一个用户。

单用户系统有一个CPU 和一套I/O 设备。

因为每次只支持一个用户，所以只有特定的任务或程序能装入内存执行。

单用户操作系统中最通用的是微软磁盘操作系统，或称MS-DOS 。

多用户系统在多用户系统中，不止一个用户可运行在系统上，而且每个可以运行在不同的程序和数据集上。

每个操作系统都需要有在后台执行任务的方法，无论是谁正在使用这部机器，这些任务都可以继续运行，后台任务可以处理各种重要的服务，包括系统的或者用户的。

例如，一个信使服务可以监控网络，并且在接收到另一台机子的信息时，可以显示一个对话框。

一个发送和接收传真的应用需要在启动的时候运行，并且不断地监控负责传真的modem，看有没有传真进来。

一个家庭的或者办公室的安全程序，用来控制一件检测设备时，它需要不时地查询传感器，并且在适当的时候响应它。

所有这些任务都需要cpu时间来执行它们，不过由于它们需要的cpu时间很少，因此可以放在后台而不影响用户使用系统。

在ms-dos中，后台的任务是通过tsr（terminate and stay resident）程序来处理的。

这些程序经由autoexec.bat文件开始。

在unix中，后台任务是通过daemons来处理的。

在每次启动unix的过程中，你都可以看到操作系统启动一些任务，例如定时的程序（cron）和finger的daemons，然后才可以让首个用户登录。

在windows nt中，后台的任务被称为服务。

服务可在每次nt启动的时候运行，并且不管是谁登陆，都会一直运行下去。

windows nt的服务都是通过一般的可执行程序实现的，不同的是，它遵循内部的一个特定协议来设计，以便它们能够与服务控制管理器（scm，service control manager）进行正确的交互。

在这篇文章中，你将学习到如何在windows nt中创建和安装简单的win32服务。

一旦你懂得了这个简单的服务，你要建立自己的服务也不难了，因为所有的服务，不论是如何地复杂，都必须包含有同样基本的scm接口代码。

只要符合scm的要求，其实为服务设计的可执行文件和一般的程序并没有多少的区别。

无论是对于编程者或者系统管理员，了解nt的服务如何工作都是很重要的。

编程者就不必说了，因为他们要创建自己的服务，而对于系统管理员，也是同样重要的。

（1）[system Idle Process]进程文件: [system process] or [system process]进程名称: Windows内存处理系统进程描述: Windows页面内存管理进程，拥有0级优先。

介绍：该进程作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。

它的cpu占用率越大表示可供分配的CPU资源越多，数字越小则表示CPU 资源紧张。

（2）[alg.exe]进程文件: alg or alg.exe进程名称: 应用层网关服务描述: 这是一个应用层网关服务用于网络共享。

介绍：一个网关通信插件的管理器，为“Internet连接共享服务”和“Internet连接防火墙服务”提供第三方协议插件的支持。

（3）[csrss.exe]进程文件: csrss or csrss.exe进程名称: Client/Server Runtime Server Subsystem描述: 客户端服务子系统，用以控制Windows图形相关子系统。

介绍: 这个是用户模式Win32子系统的一部分。

csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。

csrss用于维持Windows 的控制，创建或者删除线程和一些16位的虚拟MS-DOS环境。

（4）[ddhelp.exe]进程文件: ddhelp or ddhelp.exe进程名称: DirectDraw Helper描述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。

简介：Directx 帮助程序（5）[dllhost.exe]进程文件: dllhost or dllhost.exe进程名称: DCOM DLL Host进程描述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。

介绍：com代理，系统附加的dll组件越多，则dllhost占用的cpu资源和内存资源就越多，而8月的“冲击波杀手”大概让大家对它比较熟悉吧。