Windows系统进程分析总结

Windows XP系统进程详解电脑运行时，同时按键盘的Ctrl+Alt+Delete三个键，就会弹出进程窗口，如下图：友情提醒：发现可疑进程的秘诀就是要多看任务管理器中的进程列表，看多了以后，一眼就可以发现可疑进程，就像找一群熟悉人中的陌生人一样。

可以单击映像名称、用户名、CPU、内存使用进行排序。

如果您在以下进程中没有找到你想要的进程，请通过 的查找，输入 进程名＋进程（如：QQ.exe进程）就可以了。

System Idle Process进程文件: System Idle Process进程名称: 处理器分派描述: 每一个CPU上作为单线程。

（支持多处理器的窗口系统和单处理器的系统区别就在此）。

System IDLE Process 这是一个当没有任何程序或者进程对CPU发出请求的时候调用的普通进程，该进程不能被结束，如果它显示CPU占用率是“97%”，那就意味着只有3%的CPU进程被真正的程序占用着，如果你发现这个Idle Processes一直保持很低的数值（比如一直显示3％），那么肯定有一个应用程序一直在运行着，需要检查一下！taskmg r.exe这个进程挺有意思的（翻译这个的时候我乐了半天），如果你看到了这个进程在运行，呵呵，其实就是你看这个进程的任务管理器。

它大约占用了3.2MB的内存，当你优化你的系统的时候，不要忘了把它也算进去。

是否为系统进程: 是taskmgr.exe进程文件： taskmgr 或者 taskmgr.exe进程名称：窗口任务管理者描述：用于窗口任务管理器。

它显示你系统中正在运行的进程。

该程序使用Ctrl+Alt+Delete 打开，这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。

是否为系统进程: 是HprSnap5.exe进程文件： HprSnap5 或者 HprSnap5.exe进程名称： HprSnap5描述： 著名的抓图软件。

是否为系统进程: 否svchost.exe进程文件: svchost或svchost.exe进程名称: 服务主机过程描述: 服务主机过程是一个标准的动态连接库主机处理服务。

今天我就对Win7系统常见进程进行全面解析，帮助用户根据介绍达到进程越少，速度越快的目的。

基本系统进程：smss.exe Session Managercsrss.exe 子系统服务器进程winlogon.exe 管理用户登录services.exe 包含很多系统服务lsass.exe 管理IP 安全策略以及启动ISAKMP/Oakley (IKE) 和IP 安全驱动程序。

(系统服务)svchost.exe 包含多项系统服务SPOOLSV.EXE 将文件加载到内存中以便迟后打印。

(系统服务)explorer.exe 资源管理器internat.exe 托盘区的拼音图标附加系统进程：mstask.exe 允许程序在指定时间运行。

(系统服务)regsvc.exe 允许远程注册表操作。

(系统服务)winmgmt.exe 提供系统管理信息(系统服务)。

inetinfo.exe 通过Internet 信息服务的管理单元提供FTP 连接和管理。

(系统服务)tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。

(系统服务)tftpd.exe 实现TFTP Internet 标准。

该标准不要求用户名和密码。

远程安装服务的一部分。

(系统服务)termsrv.exe 提供多会话环境允许客户端设备访问虚拟的Windows 2000 Professional 桌面会话以及运行在服务器上的基于Windows 的程序。

(系统服务)dns.exe 应答对域名系统(DNS)名称的查询和更新请求。

(系统服务) Win7系统常见进程全析之二：非重要进程：tcpsvcs.exe提供在PXE 可远程启动客户计算机上远程安装Windows 2000 Professional 的能力。

(系统服务)支持的TCP/IP服务为：Character Generator、Daytime、Discard、Echo、Quote of the Day。

Windows进程详解以下以Windows XP系统为例介绍1.最基本的系统进程此类系统进程是系统运行的必备条件，只有这些进程处于活动状态，系统才能正常运行。

因此，它们是不能被结束任务的。

winlogon.exe：管理用户登录。

csrss.exe：这是子系统服务器进程，负责控制Windows创建或删除线程以及16位的虚拟DOS环境。

System Idle Process：这个进程是作为单线程运行在每个处理器上，并在系统不处理其它线程的时候分派处理器的时间。

smss.exe：这是一个会话管理子系统，负责启动用户会话。

services.exe：这是系统服务管理工具，包含很多系统服务。

lsass.exe：这是一个本地的安全授权服务，管理IP 安全策略以及启动ISAKMP/Oakley (IKE) 和IP 安全驱动程序。

explorer.exe：资源管理器。

SPOOLSV.EXE：管理缓冲区中的打印和传真作业，将文件加载到内存中以便迟后打印。

svchost.exe：系统启动的时候，Svchost.exe将检查注册表中的位置来创建需要加载的服务列表。

多个Svchost.exe如果同时运行，则表明当前有多组服务处于活动状态，多个DLL文件在调用它。

2.附加的系统进程附加的系统进程不是必需要运行的，可以根据服务管理的需要来结束相关进程。

mstask.exe：允许程序在指定时间运行。

regsvc.exe：允许远程注册表*作。

winmgmt.exe：提供系统管理信息。

inetinfo.exe：通过Internet 信息服务的管理单元提供FTP 连接和管理。

tlntsvr.exe：允许远程用户登录到系统并且使用命令行运行控制台程序。

tftpd.exe：实现TFTP Internet 标准。

该标准不要求用户名和密码。

远程安装服务的一部分。

termsrv.exe：提供多会话环境允许客户端设备访问虚拟的Windows 2000 Professional桌面会话以及运行在服务器上的基于Windows 的程序。

-- Windows XP 系统进程详解Windows XP 系统进程详解一、正常启动下应有的进程：1．可终止的：Svchost.exe 仅位于x：\\windows\\sytem32\\下。

启动时，依据以下注册表来加载：HKEY_LOCAL_MACHINE\\\\SOFTWARE\\MICROSOFT\\WINDOWS NT\\CURRENTVERSION\\SCHOST, 每个键值都是REG_MULTI_SZ类型，包括多个运行服务。

Explorer.exe 资源管理器，一旦终止会自动重新加载，否则会呈死机状态。

Ctfmon.exe（internat.exe）是输入法图标。

2．不可终止的：Lsass.exe是本地安全授权服务。

为winlogon所产生的用户生成一个进程。

Csrss.exe 子服务器进程。

使用户模式Win32的一部分，负责控制创建和终止线程和16位MS-DOS。

Smss.exe 会话管理子系统。

为系统变量做出反应。

Spoolsv.exe 缓冲服务。

管理缓冲池中打印和传真作业。

Service.exe 核心系统服务。

大多数系统核心进程包含于此。

System idle process 处理器分派。

于每一个CPU上作为单线程。

（支持多处理器的Windows系统和单处理器的系统区别就在此）Winlogon.exe 用户登陆管理。

这是XP盗版的破解之处，管理登陆和注销。

二、附加进程：Alg.exe Internet防火墙：为家庭或小型办公网络提供网络地址转换，定址以及名称解析和/或防止入侵服务。

Dns.exe 解析和缓冲域名服务：为此计算机解析和缓冲域名系统(DNS) 名称。

如果此服务被停止，计算机将不能解析DNS 名称并定位Active Directory 域控制器。

如果此服务被禁用，任何明确依赖它的服务将不能启动。

Locator.exe远程过程调用(RPC)：管理RPC 名称服务数据库。

Windows系统进程完全解析面对Windows系统中那些繁多的进程时，你知道它们都有什么作用吗?如果你的电脑中了木马，你知道那些是木马程序?那些是系统进程吗?你知道那些进程能结束？那些不能结束吗?本专题的目的就是要告诉大家Windows系统进程有那些，他们都有什么用。

详细的了解以下系统进程的相关知识，对你使用系统和维护系统安全都有着非常重要的作用系统进程一般包括：基本系统进程和附加进程。

基本系统进程是系统运行的必备条件，只有这些进程处于活动状态，系统才能正常运行；而附加进程则不是必需的，你可以按需新建或结束。

我们就先来了解一下哪些是最基本的系统进程。

1.基本系统进程Csrss.exe：这是子系统服务器进程，负责控制Windows创建或删除线程以及16位的虚拟DOS环境。

System Idle Process：这个进程是作为单线程运行在每个处理器上，并在系统不处理其它线程的时候分派处理器的时间。

Smss.exe：这是一个会话管理子系统，负责启动用户会话。

Services.exe：系统服务的管理工具。

Lsass.exe：本地的安全授权服务。

Explorer.exe：资源管理器。

Spoolsv.exe：管理缓冲区中的打印和传真作业。

Svchost.exe：这个进程要着重说明一下，有不少朋友都有这种错觉：若是在“任务管理器”中看到多个Svchost.exe在运行，就觉得是有病毒了。

其实并不一定，系统启动的时候，Svchost.exe将检查注册表中的位置来创建需要加载的服务列表，如果多个Svchost.exe同时运行，则表明当前有多组服务处于活动状态；多个DLL文件正在调用它。

至于其它一些附加进程，大多为系统服务，是可以酌情结束运行的。

由于其数量众多，我们在此也不便于一一列举。

在系统资源紧张的情况下，我们可以选择结束一些附加进程，以增加资源，起到优化系统的作用。

在排除基本系统及附加进程后，新增的陌生进程就值得被大家怀疑了。

windows的全部进程详解（1）-电脑资料rnaapp.exe进程文件:rnaapporrnaapp.exe进程名称:WindowsModemConnection描述:WindowsModem连接控制用以控制拨号modem连接，。

是否为系统进程:否rtvscan.exe进程文件:rtvscanorrtvscan.exe进程名称:NortonAntiVirus描述:NortonAnti-Virus用以扫描你的文件和email中的病毒。

是否为系统进程:否rundll32.exe进程文件:rundll32orrundll32.exe进程名称:WindowsRUNDLL32Helper描述:WindowsRundll32为了需要调用DLLs的程序。

是否为系统进程:否sndrec32.exe进程文件:sndrec32orsndrec32.exe进程名称:WindowsSoundRecorder描述:Windows录音机用以播放和录制声音文件(.wav)。

是否为系统进程:否sndvol32.exe进程文件:sndvol32orsndvol32.exe进程名称:WindowsVolumeControl描述:Windows声音控制进程在任务栏驻留用以控制音量和声卡相关。

是否为系统进程:否spoolss.exe进程文件:spoolssorspoolss.exe进程名称:PrinterSpoolerSubsystem描述:Windows打印机控制子程序用以调用需要打印的内容从磁盘到打印机。

是否为系统进程:否starter.exe进程文件:starterorstarter.exe进程名称:CreativeLabsEnsoniqMixerTrayicon描述:状态栏图标在CreativeSoundMixer中被安装。

为了Creative声卡(Soundblaster)。

是否为系统进程:否systray.exe进程文件:systrayorsystray.exe进程名称:WindowsPowerManagement描述:Windows电源管理程序用以控制节能和恢复启动，电脑资料《windows的全部进程详解（1）》(https://www.)。

Windows常见进程分析向阳摘要: 进程概念的引入是为了使多个作业并发运行，在操作系统实现了多道程序设计以后为了提高的运行效率，系统允许同时有多个作业驻留内存，并发运算，这样计算机内就存在了竞争。

操作系统的进程管理模块，就是为了处理这种竞争而设计的。

管理和控制好程序的执行，组织和协调程序对处理机的争夺使用，最大限度地提高处理机的利用率，是计算机进程所需要解决的问题。

关键词:进程、操作系统一、进程概述1.进程概念进程是执行程序的机制，可以理解为程序对数据或请求的处理过程。

进程主要有以下几个方面组成：至少一个可执行的程序；一个独立的进程用户空间；系统资源（包括输入输出设备、文件等）；一个执行栈区，包含运行现场信息【3】。

操作系统相关的进程管理和资源管理模块负责创建进程、为进程加载用户态运行程序、为进程分配资源、调度进程占用处理机、支持进程间通信等。

可以把操作系统看成支持进程并且对进程所用系统资源进行管理的系统。

2．进程控制块为了描述进程的运行变化情况，操作系统为每个进程定义了一个数据结构，叫进程控制块。

它包含了进程的描述信息和管理控制信息，是进程动态性的集中体现。

进程控制块包含三大类信息：进程标识信息、处理机状态信息、进程控制信息。

3.进程的状态为了便于管理，进程在从无到有直到完成运行而消亡的整个生命周期内，需要经历状态的转换，按不同的层次分为三态、五态和七态【2】。

通常进程主要出于五种状态，即运行状态、就绪状态、阻塞状态、创建状态和结束状态。

4.进程调度操作系统管理系统的有限资源，当有多个进程要使用这些资源时，鉴于资源的有限性，必须按照一定的原则选择进程来占用资源，即为调度【1】。

针对使用者占用不同资源调度有高级调度、中级调度和低级调度。

把CPU的调度分为三级有利于提高系统的资源利用率。

进程调度通常采用非抢先（或非剥夺）和抢先（剥夺）两种方式。

进程的调度对于有不同设计目的的系统，通常才有不同的算法，以尽可能减少作业进程的优先级调度法等待时间和转换时间，提高系统资源的利用率。

windows 7系统进程详解不建议关闭或禁用的服务AppID Service确定应用程序的身份。

该服务的默认运行方式是手动，不建议更改。

目标路径：\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonationApplication Experience在应用程序启动时处理应用程序兼容型查询请求。

该服务的默认运行方式是自动，不建议更改。

目标路径：\WINDOWS\system32\svchost.exe -k netsvcs估计使用该技术之后在运行老程序的时候系统会自动选择相应的兼容模式运行，以便取得最佳效果。

Application Information为应用程序的运行提供信息。

该服务的默认运行方式是手动，不建议更改。

目标路径：\WINDOWS\system32\svchost.exe -k netsvcsApplication Layer Gateway Service为Internet 连接共享提供第三方协议插件的支持。

该服务的默认运行方式是手动，如果你连接了网络，则该服务会自动启动，不建议更改。

目标路径：\WINDOWS\System32\alg.exeBackground Intelligent Transfer Service在后台传输客户端和服务器之间的数据。

如果禁用了BITS，一些功能，如Windows Update，就无法正常运行。

该服务的默认运行方式是自动，这个服务的主要用途还是用于进行Windows Update或者自动更新，最好不要更改这个服务。

目标路径：\WINDOWS\System32\svchost.exe -k netsvcsCOM+ Event System支持系统事件通知服务（SENS），此服务为订阅组件对象模型（COM）组件事件提供自动分布功能。

如果停止此服务，SENS 将关闭，而且不能提供登录和注销通知。

【windows操作系统】进程前⾔Windows的内部实现也近似于“⼀切皆⽂件”的思想，当然，这⼀切都只在内核⾥才有，下载⼀个WinObj这软件就可以看到，Windows上各种设备、分区、虚拟对象都是挂载到根“\”下的，通过这个树可以访问各种设备、驱动、⽂件系统等等。

Windows与Linux不同的就是把这些对象⼜重新封装了⼀层WindowsAPI，对外以设备、盘符、⽂件等等表现出来，重新封装WindowsAPI的⽬的是为了兼容性，⽽设备、盘符、⽂件这些是为了让普通⽤户更好理解。

所以进程在内核中以数据的形式保存在内存中，也可以看成⼀个⽂件。

进程概述系统分配资源的最⼩单位！就是担当分配系统资源（CPU时间、内存等）的基本单位。

cpu分配：⼀个cpu⼀个时间⽚只能执⾏⼀个进程，不同cpu内核并⾏运⾏这个进程中不同的线程。

虚拟内存分配：⼀个进程默认可以分配到和物理内存⼀样⼤⼩的虚拟内存。

进程的运⾏不仅仅需要CPU，还需要很多其他资源，如内存啊，显卡啊，GPS啊，磁盘啊等等，统称为程序的执⾏环境，也就是程序上下⽂。

单CPU进⾏进程调度的时候，需要读取上下⽂+执⾏程序+保存上下⽂，即进程切换。

所以进程的创建和销毁都是相对于系统资源,所以是⼀种⽐较昂贵的操作。

进程将内存的地址空间划分为：代码段（⽂本段 code segment/text segment）：保存应⽤的执⾏代码。

通常是指⽤来存放程序执⾏代码的⼀块内存区域数据段（data segment）：全局变量，常量，静态变量。

例如C#。

通常是指⽤来存放程序中已初始化的全局变量的⼀块内存区域。

数据段属于静态内存分配。

堆栈段：堆：存放各种变量数据（new的对象），⼤⼩动态调整。

栈：⼦任务（线程、协程）独⽴存放数据的地⽅（函数调⽤、参数、局部变量等）进程的虚拟地址空间虽然很⼤，但是它被划分成了很多分区进程控制块(Processing Control Block),是操作系统核⼼中⼀种数据结构，主要表⽰进程状态，其作⽤是使⼀个程序成为⼀个能够独⽴运⾏的基本单位，并且可以并发执⾏的进程。