一個運行中的系統究竟跑了那些進程?這些進程都是作什麼用的?那些進程比較可疑?小弟
在這裡就板門弄斧了
說明一下win
k server在運行中的進程
有錯誤的地方請高手指正
謝謝
Svchost
exe
Svchost
exe文件對那些從動態連接庫中運行的服務來說是一個普通的主機進程名
Svhost
exe文件定位在系統的%systemroot%\system
文件夾下
在啟動的時候
Svchost
exe檢查注冊表中的位置來構建需要加載的服務列表
這就會使多個Svchost
exe在同一時間運行
每個Svchost
exe的回話期間都包含一組服務
以至於單獨的服務必須依靠Svchost
exe怎樣和在那裡啟動
這樣就更加容易控制和查找錯誤
Svchost
exe 組是用下面的注冊表值來識別
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost 每個在這個鍵下的值代表一個獨立的Svchost組
並且當你正在看活動的進程時
它顯示作為一個單獨的 例子
每個鍵值都是REG_MULTI_SZ類型的值而且包括運行在Svchost組內的服務
每個Svchost組都包含一個或多個從注冊表值中選取的服務名
這個服務的參數值包含了一個ServiceDLL值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
更多的信息
為了能看到正在運行在Svchost列表中的服務
開始-運行-敲入cmd 然後在敲入 tlist
s (tlist 應該是win
k工具箱裡的冬冬) Tlist 顯示一個活動進程的列表
開關
s 顯示在每個進程中的活動服務列表
如果想知道更多的關於 進程的信息
可以敲tlist pid
Tlist 顯示Svchost
exe運行的兩個例子
System Process
System
smss
exe
csrss
exe Title:
winlogon
exe Title: NetDDE Agent
services
exe
Svcs: AppMgmt
Browser
Dhcp
dmserver
Dnscache
Eventlog
lanmanserver
LanmanWorkstation
LmHosts
Messenger
PlugPlay
ProtectedStorage
seclogon
TrkWks
W
Time
Wmi
lsass
exe Svcs: Netlogon
PolicyAgent
SamSs
svchost
exe Svcs: RpcSs
spoolsv
exe Svcs: Spooler
cisvc
exe Svcs: cisvc
svchost
exe Svcs: EventSystem
Netman
NtmsSvc
RasMan
SENS
TapiSrv
regsvc
exe Svcs: RemoteRegistry
mstask
exe Svcs: Schedule
snmp
exe Svcs: SNMP
winmgmt
exe Svcs: WinMgmt
cidaemon
exe Title: OleMainThreadWndName
explorer
exe Title: Program Manager
OSA
EXE Title: Reminder
cmd
exe Title: D:\WINNT
\System
\cmd
exe
tlist
s
MAPISP
EXE Title: WMS Idle
rundll
exe Title:
mmc
exe Title: Device Manager
tlist
exe
在這個例子中注冊表設置了兩個組
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs smss
exe
csrss
exe
這個是用戶模式Win
子系統的一部分
csrss代表客戶/服務器運行子系統而且是一個基本的子系統 必須一直運行
csrss 負責控制windows
創建或者刪除線程和一些
位的虛擬MS
DOS環境
explorer
exe 這是一個用戶的shell(我實在是不知道怎麼翻譯shell)
在我們看起來就像任務條
桌面等等
這個 進程並不是像你想象的那樣是作為一個重要的進程運行在windows中
你可以從任務管理器中停掉它
或者重新啟動
通常不會對系統產生什麼負面影響
internat
exe 這個進程是可以從任務管理器中關掉的
internat
exe在啟動的時候開始運行
它加載由用戶指定的不同的輸入點
輸入點是從注冊表的這個位置 HKEY_USERS\
DEFAULT\Keyboard Layout\Preload 加載內容的
internat
exe 加載
EN
圖標進入系統的圖標區
允許使用者可以很容易的轉換不同的輸入點
當進程停掉的時候
圖標就會消失
但是輸入點仍然可以通過控制面板來改變
lsass
exe
這個進程是不可以從任務管理器中關掉的
這是一個本地的安全授權服務
並且它會為使用winlogon服務的授權用戶生成一個進程
這個進程是通過使用授權的包
例如默認的msgina
dll來執行的
如果授權是成功的
lsass就會產生用戶的進入令牌
令牌別使用啟動初始的shell
其他的由用戶初始化的進程會繼承這個令牌的
mstask
exe
這個進程是不可以從任務管理器中關掉的
這是一個任務調度服務
負責用戶事先決定在某一時間運行的任務的運行
smss
exe
這個進程是不可以從任務管理器中關掉的
這是一個會話管理子系統
負責啟動用戶會話
這個進程是通過系統進程初始化的並且對許多活動的
包括已經正在運行的Winlogon
Win
(Csrss
exe)線程和設定的系統變量作出反映
在它啟動這些 進程後
它等待Winlogon或者Csrss結束
如果這些過程時正常的
系統就關掉了
如果發生了什麼不可預料的事情
smss
exe就會讓系統停止響應(就是掛起)
spoolsv
exe
這個進程是不可以從任務管理器中關掉的
緩沖(spooler)服務是管理緩沖池中的打印和傳真作業
service
exe
這個進程是不可以從任務管理器中關掉的
大多數的系統核心模式進程是作為系統進程在運行
System Idle Process
這個進程是不可以從任務管理器中關掉的
這個進程是作為單線程運行在每個處理器上
並在系統不處理其他線程的時候分派處理器的時間
taskmagr
exe
這個進程是可以在任務管理器中關掉的
這個進程就是任務管理器
winlogon
exe
這個進程是管理用戶登錄和推出的
而且winlogon在用戶按下CTRL+ALT+DEL時就激活了
顯示安全對話框
winmgmt
exe
winmgmt是win
客戶端管理的核心組件
當客戶端應用程序連接或當管理程序需要他本身的服務時這個進程初始化
From:http://tw.wingwit.com/Article/Common/201311/5143.html
