Windows操作系统进程详细介绍

1、Windows 操作系统进程详细介绍1system Idle Process进程文件 : system process or system process进程名称 : Windows 内存处理系统进程描 述: Windows 页面内存管理进程，拥有0 级优先。介 绍：该进程作为单线程运行在每个处理器上， 并在系统不处理其他线程的时候分派处 理器的时间。它的 cpu占用率越大表示可供分配的CPU资源越多，数字越小那么表示CPU资源紧张。2alg.exe进程文件 : alg or alg.exe进程名称 : 应用层网关效劳描 述: 这是一个应用层网关效劳用于网络共享。介 绍：一个网关通信插件的管理

2、器， 为 "Internet 连接共享效劳 " 和 "Internet 连接防 火墙效劳 "提供第三方协议插件的支持。3csrss.exe进程文件 : csrss or csrss.exe进程名称 : Client/Server Runtime Server Subsystem描 述：客户端效劳子系统，用以控制Windows图形相关子系统。介 绍: 这个是用户模式 Win32 子系统的一局部。 csrss 代表客户 /效劳器运行子系统而 且是一个根本的子系统必须一直运行。 csrss 用于维持 Windows 的控制，创立或者删除线程 和一些16位的虚拟

3、MS-DOS境。4ddhelp.exe进程文件 : ddhelp or ddhelp.exe进程名称 : DirectDraw Helper描 述: DirectDraw Helper 是 DirectX 这个用于图形效劳的一个组成局部。简 介： Directx 帮助程序5dllhost.exe进程文件 : dllhost or dllhost.exe进程名称 : DCOM DLL Host 进程描 述:DCOM DLL Host进程支持基于 COM寸象支持 DLL以运行 Windows程序。介 绍：com代理，系统附加的dll组件越多，那么dllhost占用的cpu资源和内存资源就 越多，而

4、 8 月的 " 冲击波杀手 "大概让大家寸它比拟熟悉吧。6explorer.exe进程文件 : explorer or explorer.exe进程名称 : 程序管理描 述：Windows Program Manager 或者 Windows Explorer 用于控制 Windows 图形 Shell ， 包括开始菜单、任务栏，桌面和文件管理。介 绍：这是一个用户的 shell ，在我们看起来就像任务条，桌面等等。或者说它就是资 源管理器，不相信你在运行里执行它看看。它寸 windows 系统的稳定性还是比拟重要的，而红码也就是找它的麻烦，在 c 和 d 根下创立 exp

5、lorer.exe7inetinfo.exe进程文件 : inetinfo or inetinfo.exe进程名称 : IIS Admin Service Helper描 述 : InetInfo 是 Microsoft Internet Infomation Services IIS 的一局部，用于 Debug调试除错。介 绍： IIS 效劳进程，蓝码正是利用的 inetinfo.exe 的缓冲区溢出漏洞。8internat.exe进程文件 : internat or internat.exe进程名称 : Input Locales描 述 : 这个输入控制图标用于更改类似国家设置、 键盘类型

6、和日期格式。 internat.exe 在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置HKEY_USERS.DEFAULTKeyboardLayoutPreload 加载内容的。internat.exe加载"EN"图标进入系统的图标区，允许使用者可以很容易的转换不同的输入点。当进程停掉的时候，图标 就会消失，但是输入点仍然可以通过控制面板来改变。介 绍：它主要是用来控制输入法的，当你的任务栏没有"EN"图标，而系统有 internat.exe 进程，不妨结束掉该进程，在运行里执行 internat 命令即可。9kerne

7、l32.dll进程文件 : kernel32 or kernel32.dll进程名称 : Windows 壳进程描述：Windows壳进程用于管理多线程、内存和资源。介绍：更多内容浏览非法操作与Kernel32解读(10) lsass.exe进程文件:Isass or lsass.exe进程名称：本地平安权限效劳描述：这个本地平安权限效劳控制Windows平安机制。管理IP平安策略以及启动ISAKMP/Oakley (IKE) 和IP 平安驱动程序等。介绍：这是一个本地的平安授权效劳，并且它会为使用winlogon效劳的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的msgina.

8、dll来执行的。如果授权是成功的，Isass就会产生用户的进入令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞，正是利用LDAP3搜索请求功能对用户提交请求缺少正确缓冲区边界检查，构建超过1000个"AND"的请求，并发送给效劳器，导致触发堆栈溢出，使Lsass.exe效劳崩溃，系统在 30秒内重新启动。(11) mdm.exe进程文件:mdm or mdm.exe进程名称：Machine Debug Manager描 述：Debug除错管理用于调试应用程序和Microsoft Office 中的Mic

9、rosoft ScriptEditor脚本编辑器。介绍：Mdm.exe的主要工作是针对应用软件进行排错(Debug)，说到这里，扯点题外话，如果你在系统见到fff开头的0字节文件，它们就是 mdm.exe在排错过程中产生一些暂存文 件，这些文件在操作系统进行关机时没有自动被去除，所以这些fff开头的怪文件里是一些后缀名为CHK的文件都是没有用的垃圾文件，可匀我馍境换岫韵低巢涣加跋臁6 ?X系统，只要系统中有 Mdm.exe 存在，就有可能产生以 fff 开头的怪文件。可以按下面的方法 让系统停止运行 Mdm.exe 来彻底删除以 fff 开头的怪文件：首先按 "Ctrl+Alt+De

10、l" 组合键， 在弹出的关闭程序"窗口中选中"Mdm",按"结束任务按钮来停止 Mdm.exe在后台的运行，接 着把 Mdm.exe在C:Windows'System 目录下改名为 Mdm.bak。运行 msconfig程序，在启动 页中取消对"Machine Debug Manager"的选择。这样可以不让Mdm.exe自启动，然后点击"确定" 按钮， 结束 msconfig 程序， 并重新启动电脑。 另外， 如果你使用 IE 5.X 以上版本浏览器， 建议禁用脚本调用点击"工具t I

11、n ternet 选项宀高级宀禁用脚本调用，这样就可以防止以fff 开头的怪文件再次产生。12mmtask.tsk进程文件 : mmtask or mmtask.tsk进程名称 : 多媒体支持进程描述：这个Windows多媒体后台程序控制多媒体效劳，例如MIDI。介 绍：这是一个任务调度效劳，负责用户事先决定在某一时间运行的任务的运行。13mprexe.exe进程文件 : mprexe or mprexe.exe进程名称 : Windows 路由进程描 述: Windows 路由进程包括向适当的网络局部发出网络请求。介绍：这是 Windows的32位网络界面效劳进程文件，网络客户端部件启动的核

12、心。印象中"A-311木马"也会在内存中建立 mprexe.exe进程，可以通过资源管理结束进程。14msgsrv32.exe进程文件 : msgsrv32 or msgsrv32.exe进程名称 : Windows 信使效劳描述：Windows信使效劳调用Windows驱动和程序管理在启动。介 绍： msgsrv32.exe 一个管理信息窗口的应用程序， win9x 下如果声卡或者显卡驱动 程序配置不正确，会导致死机或者提示 msgsrv32.exe 出错。15mstask.exe进程文件 ： mstask or mstask.exe进程名称 ： Windows 方案任务

13、描 述： Windows 方案任务用于设定继承在什么时间或者什么日期备份或者运行。介 绍：方案任务， 它通过注册表自启动。因此， 通过方案任务程序实现自启动的程序在系统信息中看不到它的文件名，一旦把它从注册表中删除或禁用，那么通过方案任务启动的 程序全部不能自动运行。 win9X 下系统启动就会开启方案任务，可以通过双击方案任务图标 高级终止方案任务来停止它自启动。 另外， 攻击者在攻击过程中， 也经常用到方案任务， 包括上传文件、提升权限、种植后门、清扫脚印等。16regsvc.exe进程文件 ： regsvc or regsvc.exe进程名称 ： 远程注册表效劳描 述： 远程注册表效劳用

14、于访问在远程计算机的注册表。17rpcss.exe进程文件 ： rpcss or rpcss.exe进程名称 ： RPC Portmapper描 述：Windows的RPC端口映射进程处理 RPC调用远程模块调用然后把它们映射给指定的效劳提供者。介 绍： 98 它不是在装载解释器时或引导时启动，如果使用中有问题，可以直接在在注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices 添 加&qu

15、ot;字符串值，定向至U "C:WINDOWSSYSTEMRPCS即可。18services.exe进程文件 : services or services.exe进程名称 : Windows Service Controller描 述：管理 Windows效劳。介 绍：大多数的系统核心模式进程是作为系统进程在运行。 翻开管理工具中的效劳， 可 以看至有很多效劳都是在调用 %systemroot%system32service.exe19smss.exe进程文件 : smss or smss.exe进程名称 : Session Manager Subsystem描述：该进程为会话管理子

16、系统用以初始化系统变量，MS-DOS区动名称类似LPT1以及COM调用Win32壳子系统和运行在 Windows登陆过程。简 介：这是一个会话管理子系统， 负责启动用户会话。 这个进程是通过系统进程初始化 的并且对许多活动的，包括已经正在运行的 Winlogon ， Win32 Csrss.exe 线程和设定的系 统变量作出反映。 在它启动这些进程后， 它等待 Winlogon 或者 Csrss 结束。 如果这些过程时 正常的， 系统就关掉了。 如果发生了什么不可预料的事情， smss.exe 就会让系统停止响应 就 是挂起 ?BR>20) snmp.exe进程文件 : snmp or

17、snmp.exe进程名称 : Microsoft SNMP Agent描 述：Windows简单的网络协议代理SNMP用于监听和发送请求到适当的网络局部。简介：负责接收SNMP请求报文，根据要求发送响应报文并处理与WinsockAPI的接口。 21 spool32.exe进程文件 ： spool32 or spool32.exe进程名称 ： Printer Spooler描 述： Windows 打印任务控制程序，用以打印机就绪。 22 spoolsv.exe进程文件 ： spoolsv or spoolsv.exe进程名称 ： Printer Spooler Service描 述： Wind

18、ows 打印任务控制程序，用以打印机就绪。介 绍：缓冲 spooler 效劳是管理缓冲池中的打印和 作业。 23 stisvc.exe进程文件 ： stisvc or stisvc.exe进程名称 ： Still Image Service24) svchost.exe进程文件 : svchost or svchost.exe进程名称 : Service Host Process描 述 : Service Host Process是一个标准的动态连接库主机处理效劳 .介 绍： Svchost.exe 文件对那些从动态连接库中运行的效劳来说是一个普通的主机进程 名。 Svhost.exe 文件定

19、位在系统的 %systemroot%system32 文件夹下。在启动的时候， Svchost.exe 检查注册表中的位置来构建需要加载的效劳列表。这就会使多个 Svchost.exe 在同一时间运行。每个 Svchost.exe 的回话期间都包含一组效劳，以至于单独的效劳必须依 靠 Svchost.exe 怎样和在那里启动。这样就更加容易控制和查找错误。 windows 2k 一般有 2 个 svchost 进程，一个是 RPCSS Remote Procedure Call 效劳进程，另外一个那么是由很多 效劳共享的一个 svchost.exe 。而在 windows XP 中，那么一般有

20、 4 个以上的 svchost.exe 效劳 进程， windows 2003 server 中那么更多。25taskmon.exe进程文件 : taskmon or taskmon.exe进程名称 : Windows Task Optimizer描 述 : windows 任务优化器监视你使用某个程序的频率，并且通过加载那些经常使用的 程序来整理优化硬盘。介 绍：任务管理器， 它的功能是监视程序的执行情况并随时报告。 能够监测所有在任务 栏中以窗口方式运行的程序，可翻开和结束程序，还可直接调出关闭系统对话框。26tcpsvcs.exe进程文件 : tcpsvcs or tcpsvcs.exe

21、进程名称 : TCP/IP Services描 述 : TCP/IP Services Application支持透过 TCP/IP 连接局域网和 Internet27winlogon.exe进程文件 : winlogon or winlogon.exe进程名称 : Windows Logon Process描 述: Windows NT 用户登陆程序。这个进程是管理用户登录和退出的。而且 winlogon 在用户按下CTRL+ALT+DE时就激活了，显示平安对话框。28winmgmt.exe进程文件 : winmgmt or winmgmt.exe进程名称 : Windows Managem

22、ent Service描 述 : Windows Management Service 透过 Windows Management Instrumentation dataWMI技术处理来自应用客户端的请求。简 介： winmgmt 是 win2000 客户端管理的核心组件。 当客户端应用程序连接或当管理程 序需要他本身的效劳时这个进程初始化。WinMgmt.exe CIM 对象管理器和知识库Repository 是WMI两个主要构成局部，其中知识库是对象定义的数据库，它是存儲所有可管理静态数据的中心数据库，对象管理器负责处理知识库中对象的收集和操作并从WMI提供程序收集信息。 WinMgmt.exe 在 Windows 2k/NT 上作为一个效劳运行，而在 Windows 95/98 上作为一个独立的 exe程序运行。Windows 2k系统在某些计算机上出现的WMI错误可以通过安装 Windows 2k SP2 來修正。 29 system进程文件 : system or system进程名称 : Windows System Pro