熱點推薦:
您现在的位置: 電腦知識網 >> 電腦常識 >> 正文

Win2k運行進程簡要說明

2013-11-11 14:07:24  來源: 電腦常識 

  一個運行中的系統究竟跑了那些進程?這些進程都是作什麼用的?那些進程比較可疑?小弟在這裡就板門弄斧了說明一下wink server在運行中的進程有錯誤的地方請高手指正謝謝
  
  Svchostexe
  Svchostexe文件對那些從動態連接庫中運行的服務來說是一個普通的主機進程名Svhostexe文件定位在系統的%systemroot%\system文件夾下在啟動的時候Svchostexe檢查注冊表中的位置來構建需要加載的服務列表這就會使多個Svchostexe在同一時間運行每個Svchostexe的回話期間都包含一組服務以至於單獨的服務必須依靠Svchostexe怎樣和在那裡啟動這樣就更加容易控制和查找錯誤
  
  Svchostexe 組是用下面的注冊表值來識別
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost 每個在這個鍵下的值代表一個獨立的Svchost組並且當你正在看活動的進程時它顯示作為一個單獨的 例子每個鍵值都是REG_MULTI_SZ類型的值而且包括運行在Svchost組內的服務每個Svchost組都包含一個或多個從注冊表值中選取的服務名這個服務的參數值包含了一個ServiceDLL值 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
  
  更多的信息
  為了能看到正在運行在Svchost列表中的服務開始-運行-敲入cmd 然後在敲入 tlist s (tlist 應該是wink工具箱裡的冬冬) Tlist 顯示一個活動進程的列表開關 s 顯示在每個進程中的活動服務列表如果想知道更多的關於 進程的信息可以敲tlist pid
  
  Tlist 顯示Svchostexe運行的兩個例子
   System Process
   System
   smssexe
   csrssexe Title:
   winlogonexe Title: NetDDE Agent
  servicesexe
  Svcs: AppMgmtBrowserDhcpdmserverDnscacheEventloglanmanserverLanmanWorkstationLmHostsMessengerPlugPlayProtectedStorageseclogonTrkWksWTimeWmi
   lsassexe Svcs: NetlogonPolicyAgentSamSs
   svchostexe Svcs: RpcSs
   spoolsvexe Svcs: Spooler
   cisvcexe Svcs: cisvc
   svchostexe Svcs: EventSystemNetmanNtmsSvcRasManSENSTapiSrv
   regsvcexe Svcs: RemoteRegistry
   mstaskexe Svcs: Schedule
   snmpexe Svcs: SNMP
   winmgmtexe Svcs: WinMgmt
   cidaemonexe Title: OleMainThreadWndName
   explorerexe Title: Program Manager
   OSAEXE Title: Reminder
   cmdexe Title: D:\WINNT\System\cmdexe tlist s
   MAPISPEXE Title: WMS Idle
   rundllexe Title:
   mmcexe Title: Device Manager
   tlistexe
  在這個例子中注冊表設置了兩個組
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
  netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
  rpcss :Reg_Multi_SZ: RpcSs smssexe
  csrssexe
  這個是用戶模式Win子系統的一部分csrss代表客戶/服務器運行子系統而且是一個基本的子系統 必須一直運行csrss 負責控制windows創建或者刪除線程和一些位的虛擬MSDOS環境 explorerexe 這是一個用戶的shell(我實在是不知道怎麼翻譯shell)在我們看起來就像任務條桌面等等這個 進程並不是像你想象的那樣是作為一個重要的進程運行在windows中你可以從任務管理器中停掉它或者重新啟動通常不會對系統產生什麼負面影響 internatexe 這個進程是可以從任務管理器中關掉的internatexe在啟動的時候開始運行它加載由用戶指定的不同的輸入點輸入點是從注冊表的這個位置 HKEY_USERS\DEFAULT\Keyboard Layout\Preload 加載內容的 internatexe 加載EN圖標進入系統的圖標區允許使用者可以很容易的轉換不同的輸入點當進程停掉的時候圖標就會消失但是輸入點仍然可以通過控制面板來改變
  lsassexe
  這個進程是不可以從任務管理器中關掉的這是一個本地的安全授權服務並且它會為使用winlogon服務的授權用戶生成一個進程這個進程是通過使用授權的包例如默認的msginadll來執行的如果授權是成功的lsass就會產生用戶的進入令牌令牌別使用啟動初始的shell其他的由用戶初始化的進程會繼承這個令牌的
  mstaskexe
  這個進程是不可以從任務管理器中關掉的這是一個任務調度服務負責用戶事先決定在某一時間運行的任務的運行
  smssexe
  這個進程是不可以從任務管理器中關掉的這是一個會話管理子系統負責啟動用戶會話這個進程是通過系統進程初始化的並且對許多活動的包括已經正在運行的WinlogonWin(Csrssexe)線程和設定的系統變量作出反映在它啟動這些 進程後它等待Winlogon或者Csrss結束如果這些過程時正常的系統就關掉了如果發生了什麼不可預料的事情smssexe就會讓系統停止響應(就是掛起)
  spoolsvexe
  這個進程是不可以從任務管理器中關掉的緩沖(spooler)服務是管理緩沖池中的打印和傳真作業
  serviceexe
  這個進程是不可以從任務管理器中關掉的大多數的系統核心模式進程是作為系統進程在運行
  System Idle Process
  這個進程是不可以從任務管理器中關掉的這個進程是作為單線程運行在每個處理器上並在系統不處理其他線程的時候分派處理器的時間
  taskmagrexe
  這個進程是可以在任務管理器中關掉的這個進程就是任務管理器
  winlogonexe
  這個進程是管理用戶登錄和推出的而且winlogon在用戶按下CTRL+ALT+DEL時就激活了顯示安全對話框
  winmgmtexe
  winmgmt是win客戶端管理的核心組件當客戶端應用程序連接或當管理程序需要他本身的服務時這個進程初始化
  
  

From:http://tw.wingwit.com/Article/Common/201311/5143.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.