系统进程详解.docx
- 文档编号:30328782
- 上传时间:2023-08-13
- 格式:DOCX
- 页数:20
- 大小:28.61KB
系统进程详解.docx
《系统进程详解.docx》由会员分享,可在线阅读,更多相关《系统进程详解.docx(20页珍藏版)》请在冰豆网上搜索。
系统进程详解
1.基本系统进程
Csrss.exe:
这是子系统服务器进程,负责控制Windows创建或删除线程以及16位的虚拟DOS环境。
SystemIdleProcess:
这个进程是作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。
Smss.exe:
这是一个会话管理子系统,负责启动用户会话。
Services.exe:
系统服务的管理工具。
Lsass.exe:
本地的安全授权服务。
Explorer.exe:
资源管理器。
Spoolsv.exe:
管理缓冲区中的打印和传真作业。
Svchost.exe:
这个进程要着重说明一下,有不少朋友都有这种错觉:
若是在“任务管理器”中看到多个Svchost.exe在运行,就觉得是有病毒了。
其实并不一定,系统启动的时候,Svchost.exe将检查注册表中的位置来创建需要加载的服务列表,如果多个Svchost.exe同时运行,则表明当前有多组服务处于活动状态;多个DLL文件正在调用它。
2.常见系统进程解释
systemprocess
进程文件:
systemprocess
进程名称:
Windows内存处理系统进程
描述:
Windows页面内存管理进程,拥有0级优先。
是否为系统进程:
是
alg.exe
进程文件:
algoralg.exe
进程名称:
应用层网关服务
描述:
这是一个应用层网关服务用于网络共享。
是否为系统进程:
是
csrss.exe
进程文件:
csrssorcsrss.exe
进程名称:
Client/ServerRuntimeServerSubsystem
描述:
客户端服务子系统,用以控制Windows图形相关子系统。
是否为系统进程:
是
ddhelp.exe
进程文件:
ddhelporddhelp.exe
进程名称:
DirectDrawHelper
描述:
DirectDrawHelper是DirectX这个用于图形服务的一个组成部分。
是否为系统进程:
是
dllhost.exe
进程文件:
dllhostordllhost.exe
进程名称:
DCOMDLLHost进程
描述:
DCOMDLLHost进程支持基于COM对象支持DLL以运行Windows程序。
是否为系统进程:
是
inetinfo.exe
进程文件:
inetinfoorinetinfo.exe
进程名称:
IISAdminServiceHelper
描述:
InetInfo是MicrosoftInternetInfomationServices(IIS)的一部分,用于Debug调试除错。
是否为系统进程:
是
internat.exe
进程文件:
internatorinternat.exe
进程名称:
InputLocales
描述:
这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。
是否为系统进程:
是
kernel32.dll
进程文件:
kernel32orkernel32.dll
进程名称:
Windows壳进程
描述:
Windows壳进程用于管理多线程、内存和资源。
是否为系统进程:
是
lsass.exe
进程文件:
lsassorlsass.exe
进程名称:
本地安全权限服务
描述:
这个本地安全权限服务控制Windows安全机制。
是否为系统进程:
是
mdm.exe
进程文件:
mdmormdm.exe
进程名称:
MachineDebugManager
描述:
Debug除错管理用于调试应用程序和MicrosoftOffice中的MicrosoftScriptEditor脚本编辑器。
是否为系统进程:
是
mmtask.tsk
进程文件:
mmtaskormmtask.tsk
进程名称:
多媒体支持进程
描述:
这个Windows多媒体后台程序控制多媒体服务,例如MIDI。
是否为系统进程:
是
mprexe.exe
进程文件:
mprexeormprexe.exe
进程名称:
Windows路由进程
描述:
Windows路由进程包括向适当的网络部分发出网络请求。
是否为系统进程:
是
msgsrv32.exe
进程文件:
msgsrv32ormsgsrv32.exe
进程名称:
Windows信使服务
描述:
Windows信使服务调用Windows驱动和程序管理在启动。
是否为系统进程:
是
mstask.exe
进程文件:
mstaskormstask.exe
进程名称:
Windows计划任务
描述:
Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。
是否为系统进程:
是
regsvc.exe
进程文件:
regsvcorregsvc.exe
进程名称:
远程注册表服务
描述:
远程注册表服务用于访问在远程计算机的注册表。
是否为系统进程:
是
rpcss.exe
进程文件:
rpcssorrpcss.exe
进程名称:
RPCPortmapper
描述:
Windows的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。
是否为系统进程:
是
services.exe
进程文件:
servicesorservices.exe
进程名称:
WindowsServiceController
描述:
管理Windows服务。
是否为系统进程:
是
smss.exe
进程文件:
smssorsmss.exe
进程名称:
SessionManagerSubsystem
描述:
该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。
是否为系统进程:
是
snmp.exe
进程文件:
snmporsnmp.exe
进程名称:
MicrosoftSNMPAgent
描述:
Windows简单的网络协议代理(SNMP)用于监听和发送请求到适当的网络部分。
是否为系统进程:
是
spool32.exe
进程文件:
spool32orspool32.exe
进程名称:
PrinterSpooler
描述:
Windows打印任务控制程序,用以打印机就绪。
是否为系统进程:
是
spoolsv.exe
进程文件:
spoolsvorspoolsv.exe
进程名称:
PrinterSpoolerService
描述:
Windows打印任务控制程序,用以打印机就绪。
是否为系统进程:
是
stisvc.exe
进程文件:
stisvcorstisvc.exe
进程名称:
StillImageService
描述:
StillImageService用于控制扫描仪和数码相机连接在Windows。
是否为系统进程:
是
svchost.exe
进程文件:
svchostorsvchost.exe
进程名称:
ServiceHostProcess
描述:
ServiceHostProcess是一个标准的动态连接库主机处理服务。
是否为系统进程:
是
system
进程文件:
systemorsystem
进程名称:
WindowsSystemProcess
描述:
MicrosoftWindows系统进程。
是否为系统进程:
是
taskmon.exe
进程文件:
taskmonortaskmon.exe
进程名称:
WindowsTaskOptimizer
描述:
windows任务优化器监视你使用某个程序的频率,并且通过加载那些经常使用的程序来整理优化硬盘。
是否为系统进程:
是
tcpsvcs.exe
进程文件:
tcpsvcsortcpsvcs.exe
进程名称:
TCP/IPServices
描述:
TCP/IPServicesApplication支持透过TCP/IP连接局域网和Internet。
是否为系统进程:
是
winlogon.exe
进程文件:
winlogonorwinlogon.exe
进程名称:
WindowsLogonProcess
描述:
WindowsNT用户登陆程序。
是否为系统进程:
是
winmgmt.exe
进程文件:
winmgmtorwinmgmt.exe
进程名称:
WindowsManagementService
描述:
WindowsManagementService透过WindowsManagementInstrumentationdata(WMI)技术处理来自应用客户端的请求。
是否为系统进程:
是
Windows进程详解!
!
简述以下
以下以WindowsXP系统为例介绍
1.最基本的系统进程
此类系统进程是系统运行的必备条件,只有这些进程处于活动状态,系统才能正常运行。
因此,它们是不能被结束任务的。
winlogon.exe:
管理用户登录。
csrss.exe:
这是子系统服务器进程,负责控制Windows创建或删除线程以及16位的虚拟DOS环境。
SystemIdleProcess:
这个进程是作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。
smss.exe:
这是一个会话管理子系统,负责启动用户会话。
services.exe:
这是系统服务管理工具,包含很多系统服务。
lsass.exe:
这是一个本地的安全授权服务,管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。
explorer.exe:
资源管理器。
SPOOLSV.EXE:
管理缓冲区中的打印和传真作业,将文件加载到内存中以便迟后打印。
svchost.exe:
系统启动的时候,Svchost.exe将检查注册表中的位置来创建需要加载的服务列表。
多个Svchost.exe如果同时运行,则表明当前有多组服务处于活动状态,多个DLL文件在调用它。
2.附加的系统进程
附加的系统进程不是必需要运行的,可以根据服务管理的需要来结束相关进程。
mstask.exe:
允许程序在指定时间运行。
regsvc.exe:
允许远程注册表操作。
winmgmt.exe:
提供系统管理信息。
inetinfo.exe:
通过Internet信息服务的管理单元提供FTP连接和管理。
tlntsvr.exe:
允许远程用户登录到系统并且使用命令行运行控制台程序。
tftpd.exe:
实现TFTPInternet标准。
该标准不要求用户名和密码。
远程安装服务的一部分。
termsrv.exe:
提供多会话环境允许客户端设备访问虚拟的Windows2000Professional桌面会话以及运行在服务器上的基于Windows的程序。
dns.exe:
应答对域名系统(DNS)名称的查询和更新请求。
以上提及的系统进程若处于运行状态,则多少会威胁到系统安全,只在需要时开启相应服务即可。
而其余的系统服务则很少会用到,就不再多述了。
首先简单的了解一下什么是进程,进程是程序在一个数据集合上运行的过程(注:
一个程序有可能同时属于多个进程),它是操作系统进行资源分配和调度的一个独立单位,进程可以简单的分为系统进程(包括一般Windows程序和服务进程)和用户进程。
简单的说,凡是用于完成操作系统的各种功能的进程就是系统进程,它们就是处于运行状态下的操作系统本身;而用户进程就是由用户启动的进程。
在Windows下,进程又被细化为线程,也就是一个进程下有多个能独立运行的更小的单位。
和程序所不同的是,程序是静止的,而进程是动态的,在Windows这样的多任务操作系统中,为了准确描述多道程序在并发执行时多道程序的资源分配的动态性,程序执行的间断性,相互通信的可能性以及同步互斥的必要性等等动态特性,所以引入进程的形式参与系统的并发执行。
现在来具体看看Windows进程都有哪些,它们的具体作用是什么
一:
系统进程[systemprocess]
1:
系统必要进程
systemprocess
进程文件:
[systemprocess]or[systemprocess]
进程名称:
Windows内存处理系统进程
描述:
Windows页面内存管理进程,拥有0级优先。
alg.exe
进程文件:
algoralg.exe
进程名称:
应用层网关服务
描述:
这是一个应用层网关服务用于网络共享
csrss.exe
进程文件:
csrssorcsrss.exe
进程名称:
Client/ServerRuntimeServerSubsystem
描述:
客户端服务子系统,用以控制Windows图形相关子系统。
ddhelp.exe
进程文件:
ddhelporddhelp.exe
进程名称:
DirectDrawHelper
描述:
DirectDrawHelper是DirectX这个用于图形服务的一个组成部分。
dllhost.exe
进程文件:
dllhostordllhost.exe
进程名称:
DCOMDLLHost进程
描述:
DCOMDLLHost进程支持基于COM对象支持DLL以运行Windows程序
explorer.exe
进程文件:
explorerorexplorer.exe
进程名称:
程序管理
描述:
WindowsProgramManager或者WindowsExplorer用于控制Windows图形Shell,包括开始菜单、任务栏,桌面和文件管理。
这个进程主要负责显示系统桌面上的图标以及任务栏
inetinfo.exe
进程文件:
inetinfoorinetinfo.exe
进程名称:
IISAdminServiceHelper
描述:
InetInfo是MicrosoftInternetInfomationServices(IIS)的一部分,用于Debug调试除错。
internat.exe
进程文件:
internatorinternat.exe
进程名称:
InputLocales
描述:
这个输入控制图标用于更改类似国家设置、键盘类型和日期格式
kernel32.dll
进程文件:
kernel32orkernel32.dll
进程名称:
Windows壳进程
描述:
Windows壳进程用于管理多线程、内存和资源
lsass.exe
进程文件:
lsassorlsass.exe
进程名称:
本地安全权限服务
描述:
这个本地安全权限服务控制Windows安全机制。
进程详解:
管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。
(系统服务)产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket),也就是本地安全权限服务,属于Windowsde的核心进程之一,也被黑客千方百计的寻找漏洞,大名鼎鼎的震荡波利用的就是其中一个漏洞,
mdm.exe
进程文件:
mdmormdm.exe
进程名称:
MachineDebugManager
描述:
Debug除错管理用于调试应用程序和MicrosoftOffice中的MicrosoftScriptEditor脚本编辑器
mmtask.tsk
进程文件:
mmtaskormmtask.tsk
进程名称:
多媒体支持进程
描述:
这个Windows多媒体后台程序控制多媒体服务
mprexe.exe
进程文件:
mprexeormprexe.exe
进程名称:
Windows路由进程
描述:
Windows路由进程包括向适当的网络部分发出网络请求
msgsrv32.exe
进程文件:
msgsrv32ormsgsrv32.exe
进程名称:
Windows信使服务
描述:
Windows信使服务调用Windows驱动和程序管理在启动
mstask.exe
进程文件:
mstaskormstask.exe
进程名称:
Windows计划任务
描述:
Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行
regsvc.exe
进程文件:
regsvcorregsvc.exe
进程名称:
远程注册表服务
描述:
远程注册表服务用于访问在远程计算机的注册表
rpcss.exe
进程文件:
rpcssorrpcss.exe
进程名称:
RPCPortmapper
描述:
Windows的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者
services.exe
进程文件:
servicesorservices.exe
进程名称:
WindowsServiceController
描述:
管理Windows服务
smss.exe
进程文件:
smssorsmss.exe
进程名称:
SessionManagerSubsystem
描述:
该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程
snmp.exe
进程文件:
snmporsnmp.exe
进程名称:
MicrosoftSNMPAgent
描述:
Windows简单的网络协议代理(SNMP)用于监听和发送请求到适当的网络部分
spool32.exe
进程文件:
spool32orspool32.exe
进程名称:
PrinterSpooler
描述:
Windows打印任务控制程序,用以打印机就绪
spoolsv.exe
进程文件:
spoolsvorspoolsv.exe
进程名称:
PrinterSpoolerService
描述:
Windows打印任务控制程序,用以打印机就绪
stisvc.exe
进程文件:
stisvcorstisvc.exe
进程名称:
StillImageService
描述:
StillImageService用于控制扫描仪和数码相机连接在Windows
svchost.exe
进程文件:
svchostorsvchost.exe
进程名称:
ServiceHostProcess
描述:
ServiceHostProcess是一个标准的动态连接库主机处理服务。
进程详解:
Svchost.exe是一个系统的核心进程,并不是病毒进程。
但由于Svchost.exe进程的特殊性,所以病毒也会千方百计的入侵Svchost.exe。
通过察看Svchost.exe进程的执行路径可以确认是否中毒Svchost.exe是从动态链接库(DLL)中运行的服务的通用主机进程名称。
其实Svchost.exe是WindowsXP系统的一个核心进程。
Svchost.exe不单单只出现在WindowsXP中,在使用NT内核的Windows系统中都会有Svchost.exe的存在。
一般在Windows2000中Svchost.exe进程的数目为2个,而在WindowsXP中Svchost.exe进程的数目就上升到了4个及4个以上。
所以看到系统的进程列表中有几个Svchost.exe不用那么担心。
如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。
一般只会找到一个在:
“C:
WindowsSystem32”目录下的Svchost.exe程序。
如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。
taskmgr.exe
进程文件:
taskmgrortaskmgr.exe
进程名称:
TheWindowsTaskManager
描述:
Windows任务管理器,是Windows任务管理执行者
taskmon.exe
进程文件:
taskmonortaskmon.exe
进程名称:
WindowsTaskOptimizer
描述:
windows任务优化器监视你使用某个程序的频率,并且通过加载那些经常使用的程序来整理优化硬盘
tcpsvcs.exe
进程文件:
tcpsvcsortcpsvcs.exe
进程名称:
TCP/IPServices
描述:
TCP/IPServicesApplication支持透过TCP/IP连接局域网和Internet
winlogon.exe
进程文件:
winlogonorwinlogon.exe
进程名称:
WindowsLogonProcess
描述:
WindowsNT用户登陆程序。
winmgmt.exe
进程文件:
winmgmtorwinmgmt.exe
进程名称:
WindowsManagementService
描述:
WindowsManagementService透过WindowsManagementInstrumentationdata(WMI)技术处理来自应用客户端的请求
wuauclt.exe
进程文件:
wuaucltorwuauclt.exe
进程名称:
AutoUpdateforWindows
描述:
Windows自动升级,
进程详解:
Wuauclt.exe是主管Windows自动升级的系统进程.可以在线检测最近Windows更新如果你没有开启自动升级的话就不会有这项进程了,而且就算你开启了它,它也不是任何时候都开启的
wuauc.exe
进程文件:
wuaucorwuauc.exe
进程名称:
AutomaticUpdates自动升级
进程描述:
wuauc.exe为Windows管理自动更新。
这个程序自动检查最近Windows的更新.
SystemIdleProcess
absr.exe
进程文件:
absrorabsr.exe
进程名称:
Backdoor.Autoupd
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 系统 进程 详解