svchost
exe 文件對那些從動態鏈接庫中運行的服務來說是一個普通的主機進程名
最基本的系統進程(也就是說
這些進程是系統運行的基本條件
有了這些進程
系統就能正常運行)
smss
exe Session Manager csrss
exe 子系統服務器進程winlogon
exe 管理用戶登錄services
exe 包含很多系統服務lsass
exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序
(系統服務)
產生會話密鑰以及授予用於交互式客戶/服務器驗證的服務憑據(ticket)
(系統服務)
svchost
exe 包含很多系統服務svchost
exe SPOOLSV
EXE 將文件加載到內存中以便遲後打印
(系統服務)
explorer
exe 資源管理器internat
exe 托盤區的拼音圖標附加的系統進程(這些進程不是必要的
你可以根據需要通過服務管理器來增加或減少)
mstask
exe 允許程序在指定時間運行
(系統服務)
regsvc
exe 允許遠程注冊表操作
(系統服務)
winmgmt
exe 提供系統管理信息(系統服務)
inetinfo
exe 通過 Internet 信息服務的管理單元提供 FTP 連接和管理
(系統服務)
tlntsvr
exe 允許遠程用戶登錄到系統並且使用命令行運行控制台程序
(系統服務)
允許通過 Internet 信息服務的管理單元管理 Web 和 FTP 服務
(系統服務)
tftpd
exe 實現 TFTP Internet 標准
該標准不要求用戶名和密碼
遠程安裝服務的一部分
(系統服務)
termsrv
exe 提供多會話環境允許客戶端設備訪問虛擬的 Windows
Professional 桌面會話以及運行在服務器上的基於 Windows 的程序
(系統服務)
dns
exe 應答對域名系統(DNS)名稱的查詢和更新請求
(系統服務)
以下服務很少會用到
上面的服務都對安全有害
如果不是必要的應該關掉tcpsvcs
exe 提供在 PXE 可遠程啟動客戶計算機上遠程安裝 Windows
Professional 的能力
(系統服務)
支持以下 TCP/IP 服務
Character Generator
Daytime
Discard
Echo
以及 Quote of the Day
(系統服務)
ismserv
exe 允許在 Windows Advanced Server 站點間發送和接收消息
(系統服務)
ups
exe 管理連接到計算機的不間斷電源(UPS)
(系統服務)
wins
exe 為注冊和解析 NetBIOS 型名稱的 TCP/IP 客戶提供 NetBIOS 名稱服務
(系統服務)
llssrv
exe License Logging Service(system service)
ntfrs
exe 在多個服務器間維護文件目錄內容的文件同步
(系統服務)
RsSub
exe 控制用來遠程儲存數據的媒體
(系統服務)
locator
exe 管理 RPC 名稱服務數據庫
(系統服務)
lserver
exe 注冊客戶端許可證
(系統服務)
dfssvc
exe 管理分布於局域網或廣域網的邏輯卷
(系統服務)
clipsrv
exe 支持
剪貼簿查看器
以便可以從遠程剪貼簿查閱剪貼頁面
(系統服務)
msdtc
exe 並列事務
是分布於兩個以上的數據庫
消息隊列
文件系統
或其它事務保護資源管理器
(系統服務)
faxsvc
exe 幫助您發送和接收傳真
(系統服務)
cisvc
exe Indexing Service(system service)
dmadmin
exe 磁盤管理請求的系統管理服務
(系統服務)
mnmsrvc
exe 允許有權限的用戶使用 NetMeeting 遠程訪問 Windows 桌面
(系統服務)
netdde
exe 提供動態數據交換 (DDE) 的網絡傳輸和安全特性
(系統服務)
smlogsvc
exe 配置性能日志和警報
(系統服務)
rsvp
exe 為依賴質量服務(QoS)的程序和控制應用程序提供網絡信號和本地通信控制安裝功能
(系統服務)
RsEng
exe 協調用來儲存不常用數據的服務和管理工具
(系統服務)
RsFsa
exe 管理遠程儲存的文件的操作
(系統服務)
grovel
exe 掃描零備份存儲(SIS)卷上的重復文件
並且將重復文件指向一個數據存儲點
以節省磁盤空間
(系統服務)
SCardSvr
exe 對插入在計算機智能卡閱讀器中的智能卡進行管理和訪問控制
(系統服務)
snmp
exe 包含代理程序可以監視網絡設備的活動並且向網絡控制台工作站匯報
(系統服務)
snmptrap
exe 接收由本地或遠程 SNMP 代理程序產生的陷阱消息
然後將消息傳遞到運行在這台計算機上 SNMP 管理程序
(系統服務)
UtilMan
exe 從一個窗口中啟動和配置輔助工具
(系統服務)
msiexec
exe 依據
MSI 文件中包含的命令來安裝
修復以及刪除軟件
(系統服務)
詳細說明
win
k運行進程Svchost
exe Svchost
exe文件對那些從動態連接庫中運行的服務來說是一個普通的主機進程名
Svhost
exe文件定位在系統的%systemroot%\system
文件夾下
在啟動的時候
Svchost
exe檢查注冊表中的位置來構建需要加載的服務列表
這就會使多個Svchost
exe在同一時間運行
每個Svchost
exe的回話期間都包含一組服務
以至於單獨的服務必須依靠Svchost
exe怎樣和在那裡啟動
這樣就更加容易控制和查找錯誤
Svchost
exe 組是用下面的注冊表值來識別
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost每個在這個鍵下的值代表一個獨立的Svchost組
並且當你正在看活動的進程時
它顯示作為一個單獨的例子
每個鍵值都是REG_MULTI_SZ類型的值而且包括運行在Svchost組內的服務
每個Svchost組都包含一個或多個從注冊表值中選取的服務名
這個服務的參數值包含了一個ServiceDLL值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
更多的信息為了能看到正在運行在Svchost列表中的服務
開始-運行-敲入cmd然後在敲入 tlist
s (tlist 應該是win
k工具箱裡的冬冬)
Tlist 顯示一個活動進程的列表
開關
s 顯示在每個進程中的活動服務列表
如果想知道更多的關於進程的信息
可以敲 tlist pid
Tlist 顯示Svchost
exe運行的兩個例子
System Process
System
smss
exe
csrss
exe Title
winlogon
exe Title
NetDDE Agent
services
exe Svcs
AppMgmt
Browser
Dhcp
dmserver
Dnscache
Eventlog
lanmanserver
LanmanWorkstation
LmHosts
Messenger
PlugPlay
ProtectedStorage
seclogon
TrkWks
W
Time
Wmi
lsass
exe Svcs
Netlogon
PolicyAgent
SamSs
svchost
exe Svcs
RpcSs
spoolsv
exe Svcs
Spooler
cisvc
exe Svcs
cisvc
svchost
exe Svcs
EventSystem
Netman
NtmsSvc
RasMan
SENS
TapiSrv
regsvc
exe Svcs
RemoteRegistry
mstask
exe Svcs
Schedule
snmp
exe Svcs
SNMP
winmgmt
exe Svcs
WinMgmt
cidaemon
exe Title
OleMainThreadWndName
explorer
exe Title
Program Manager
OSA
EXE Title
Reminder
cmd
exe Title
D
\WINNT
\System
\cmd
exe
tlist
s
MAPISP
EXE Title
WMS Idle
XX rundll
exe Title
mmc
exe Title
Device Manager
tlist
exe在這個例子中注冊表設置了兩個組
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
netsvcs
Reg_Multi_SZ
EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc rpcss
Reg_Multi_SZ
RpcSs
smss
exe
csrss
exe
這個是用戶模式Win
子系統的一部分
csrss代表客戶/服務器運行子系統而且是一個基本的子系統必須一直運行
csrss 負責控制windows
創建或者刪除線程和一些
位的虛擬MS
DOS環境
explorer
exe這是一個用戶的shell(我實在是不知道怎麼翻譯shell)
在我們看起來就像任務條
桌面等等
這個進程並不是像你想象的那樣是作為一個重要的進程運行在windows中
你可以從任務管理器中停掉它
或者重新啟動
通常不會對系統產生什麼負面影響
internat
exe這個進程是可以從任務管理器中關掉的
internat
exe在啟動的時候開始運行
它加載由用戶指定的不同的輸入點
輸入點是從注冊表的這個位置HKEY_USERS\
DEFAULT\Keyboard Layout\Preload 加載內容的
internat
exe 加載
EN
圖標進入系統的圖標區
允許使用者可以很容易的轉換不同的輸入點
當進程停掉的時候
圖標就會消失
但是輸入點仍然可以通過控制面板來改變
lsass
exe這個進程是不可以從任務管理器中關掉的
這是一個本地的安全授權服務
並且它會為使用winlogon服務的授權用戶生成一個進程
這個進程是通過使用授權的包
例如默認的msgina
dll來執行的
如果授權是成功的
lsass就會產生用戶的進入令牌
令牌別使用啟動初始的shell
其他的由用戶初始化的進程會繼承這個令牌的
mstask
exe這個進程是不可以從任務管理器中關掉的
這是一個任務調度服務
負責用戶事先決定在某一時間運行的任務的運行
smss
exe這個進程是不可以從任務管理器中關掉的
這是一個會話管理子系統
負責啟動用戶會話
這個進程是通過系統進
From:http://tw.wingwit.com/Article/os/xtgl/201311/8892.html
