基本的系統進程(也就是說這些進程是系統運行的基本條件有了這些進程系統就能正常運行):
smssexe Session Manager
csrssexe 子系統服務器進程
winlogonexe 管理用戶登錄
servicesexe 包含很多系統服務
lsassexe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序(系統服務)
產生會話密鑰以及授予用於交互式客戶/服務器驗證的服務憑據(ticket)(系統服務)
svchostexe 包含很多系統服務
svchostexe
SPOOLSVEXE 將文件加載到內存中以便遲後打印(系統服務)
explorerexe 資源管理器
internatexe 托盤區的拼音圖標
附加的系統進程(這些進程不是必要的搜狐博客可以根據需要通過服務管理器來增加或減少):
mstaskexe 允許程序在指定時間運行(系統服務)
regsvcexe 允許遠程注冊表操作(系統服務)
winmgmtexe 提供系統管理信息(系統服務)
inetinfoexe 通過 Internet 信息服務的管理單元提供 FTP 連接和管理(系統服務)
tlntsvrexe 允許遠程用戶登錄到系統並且使用命令行運行控制台程序(系統服務)
允許通過 Internet 信息服務的管理單元管理 Web 和 FTP 服務(系統服務)
tftpdexe 實現 TFTP Internet 標准該標准不要求用戶名和密碼遠程安裝服務的一部分(系統服務)
termsrvexe 提供多會話環境允許客戶端設備訪問虛擬的 Windows Professional 桌面會話以及運行在服務器上的基
於 Windows 的程序(系統服務)
dnsexe 應答對域名系統(DNS)名稱的查詢和更新請求(系統服務)
以下服務很少會用到上面的服務都對安全有害如果不是必要的應該關掉
tcpsvcsexe 提供在 PXE 可遠程啟動客戶計算機上遠程安裝 Windows Professional 的能力(系統服務)
支持以下 TCP/IP 服務Character Generator Daytime Discard Echo 以及 Quote of the Day(系統服務)
ismservexe 允許在 Windows Advanced Server 站點間發送和接收消息(系統服務)
upsexe 管理連接到計算機的不間斷電源(UPS)(系統服務)
winsexe 為注冊和解析 NetBIOS 型名稱的 TCP/IP 客戶提供 NetBIOS 名稱服務(系統服務)
llssrvexe License Logging Service(system service)
ntfrsexe 在多個服務器間維護文件目錄內容的文件同步(系統服務)
RsSubexe 控制用來遠程儲存數據的媒體(系統服務)
locatorexe 管理 RPC 名稱服務數據庫(系統服務)
lserverexe 注冊客戶端許可證(系統服務)
dfssvcexe 管理分布於局域網或廣域網的邏輯卷(系統服務)
clipsrvexe 支持剪貼簿查看器以便可以從遠程剪貼簿查閱剪貼頁面天龍八部私服(系統服務)
msdtcexe 並列事務是分布於兩個以上的數據庫消息隊列文件系統或其它事務保護資源管理器(系統服務)
faxsvcexe 幫助您發送和接收傳真(系統服務)
cisvcexe Indexing Service(system service)
dmadminexe 磁盤管理請求的系統管理服務(系統服務)
mnmsrvcexe 允許有權限的用戶使用 NetMeeting 遠程訪問 Windows 桌面(系統服務)
netddeexe 提供動態數據交換 (DDE) 的網絡傳輸和安全特性(系統服務)
smlogsvcexe 配置性能日志和警報(系統服務)
rsvpexe 為依賴質量服務(QoS)的程序和控制應用程序提供網絡信號和本地通信控制安裝功能(系統服務)
RsEngexe 協調用來儲存不常用數據的服務和管理工具(系統服務)
RsFsaexe 管理遠程儲存的文件的操作(系統服務)
grovelexe 掃描零備份存儲(SIS)卷上的重復文件並且將重復文件指向一個數據存儲點以節省磁盤空間(系統服務)
SCardSvrexe 對插入在計算機智能卡閱讀器中的智能卡進行管理和訪問控制(系統服務)
snmpexe 包含代理程序可以監視網絡設備的活動並且向網絡控制台工作站匯報(系統服務)
snmptrapexe 接收由本地或遠程 SNMP 代理程序產生的陷阱消息然後將消息傳遞到運行在這台計算機上 SNMP 管理程序
(系統服務)
UtilManexe 從一個窗口中啟動和配置輔助工具(系統服務)
msiexecexe 依據 MSI 文件中包含的命令來安裝修復以及刪除軟件(系統服務)
詳細說明
wink運行進程
Svchostexe
Svchostexe文件對那些從動態連接庫中運行的服務來說是一個普通的主機進程名Svhostexe文件定位
在系統的%systemroot%\system文件夾下在啟動的時候Svchostexe檢查注冊表中的位置來構建需要
加載的服務列表這就會使多個Svchostexe在同一時間運行每個Svchostexe的回話期間都包含一組服務
以至於單獨的服務必須依靠Svchostexe怎樣和在那裡啟動這樣就更加容易控制和查找錯誤
Svchostexe 組是用下面的注冊表值來識別
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每個在這個鍵下的值代表一個獨立的Svchost組並且當久游正在看活動的進程時它顯示作為一個單獨的
例子每個鍵值都是REG_MULTI_SZ類型的值而且包括運行在Svchost組內的服務每個Svchost組都包含一個
或多個從注冊表值中選取的服務名這個服務的參數值包含了一個ServiceDLL值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
更多的信息
為了能看到正在運行在Svchost列表中的服務
開始-運行-敲入cmd
然後在敲入 tlist s (tlist 應該是wink工具箱裡的冬冬)
Tlist 顯示一個活動進程的列表開關 s 顯示在每個進程中的活動服務列表如果想知道更多的關於
進程的信息可以敲 tlist pid
Tlist 顯示Svchostexe運行的兩個例子
System Process
System
smssexe
csrssexe Title:
winlogonexe Title: NetDDE Agent
servicesexe
Svcs: AppMgmtBrowserDhcpdmserverDnscacheEventloglanmanserverLanmanWorkstationLmHosts
MessengerPlugPlay
ProtectedStorageseclogonTrkWksWTimeWmi
lsassexe Svcs: NetlogonPolicyAgentSamSs
svchostexe Svcs: RpcSs
spoolsvexe Svcs: Spooler
cisvcexe Svcs: cisvc
svchostexe Svcs: EventSystemNetmanNtmsSvcRasManSENSTapiSrv
regsvcexe Svcs: RemoteRegistry
mstaskexe Svcs: Schedule
snmpexe Svcs: SNMP
winmgmtexe Svcs: WinMgmt
cidaemonexe Title: OleMainThreadWndName
explorerexe Title: Program Manager
OSAEXE Title: Reminder
cmdexe Title: D:\WINNT\System\cmdexe tlist s
MAPISPEXE Title: WMS Idle
rundllexe Title:
mmcexe Title: Device Manager
tlistexe
在這個例子中注冊表設置了兩個組
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman
Remoteaccess SENS Sharedaccess
Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs
smssexe
csrssexe
這個是用戶模式Win子系統的一部分csrss代表客戶/服務器運行子系統而且是一個基本的子系統
必須一直運行csrss 負責控制windows創建或者刪除線程和一些位的虛擬MSDOS環境天龍八部私服
explorerexe
這是一個用戶的shell(搜狐實在是不知道怎麼翻譯shell)天龍私服在搜狐們看起來就像任務條桌面等等這個
進程並不是像天涯論壇想象的那樣是作為一個重要的進程運行在windows中天涯論壇可以從任務管理器中停掉它或者重新啟動
通常不會對系統產生什麼負面影響
internatexe
這個進程是可以從任務管理器中關掉的
internatexe在啟動的時候開始運行它加載由用戶指定的不同的輸入點輸入點是從注冊表的這個位置
HKEY_USERS\DEFAULT\Keyboard Layout\Preload 加載內容的
internatexe 加載EN圖標進入系統的圖標區允許使用者可以很容易的天龍八部論壇換不同的輸入點
當進程停掉的時候圖標就會消失但是輸入點仍然可以通過控制面板來改變
lsassexe
這個進程是不可以從任務管理器中關掉的
這是一個本地的安全授權服務並且它會為使用winlogon服務的授權用戶生成一個進程這個進程是
通過使用授權的包例如默認的msginadll來執行的如果授權是成功的lsass就會產生用戶的進入
令牌令牌別使用啟動初始的shell其他的由用戶初始化的進程會繼承這個令牌的
mstaskexe
這個進程是不可以從任務管理器中關掉的
這是一個任務調度服務負責用戶事先決定在某一時間運行的任務的運行
smssexe
這個進程是不可以從任務管理器中關掉的
這是一個會話管理子系統XP技巧之資源管理器秘技放送負責啟動用戶會話這個進程是通過系統進程初始化的並且對許多活動的天龍八部sf
包括已經正在運行的WinlogonWin(Csrssexe)線程和設定的系統變量作出反映在它啟動這些
進程後它等待Winlogon或者Csrss結束如果這些過程時正常的系統就關掉了如果發生了什麼
不可預料的事情smssexe就會讓系統停止響應(就是掛起)
spoolsvexe
這個進程是不可以從任務管理器中關掉的
緩沖(spooler)服務是管理緩沖池中的打印和傳真作業
serviceexe
這個進程是不可以從任務管理器中關掉的
大多數的系統核心模式進程是作為系統進程在運行
System Idle Process
這個進程是不可以從任務管理器中關掉的
這個進程是作為單線程運行在每個處理器上並在系統不處理其他線程的時候分派處理器的時間天龍私服
winlogonexe
這個進程是管理用戶登錄和推出的而且winlogon在用戶按下CTRL+ALT+DEL時就激活了顯示安全對話框
winmgmtexe
winmgmt是win客戶端管理的核心組件當客戶端應用程序連接或當管理程序需要他本身的服務時這個進程初始化
taskmagrexe
這個進程當然就是任務管理器了不要忘
From:http://tw.wingwit.com/Article/Common/201311/4985.html
