windows 任务管理器进程的理解

windows任务管理器进程的理解Windows2000/XP的传统进程数量有限，已经按字母顺序整理在后面14、15、16楼的帖子中，按首字母分三部分。因为比较长感觉很枯燥，所以放在后面。有需要的，可以参考浏览。如有特别的进程，会随后及时补完。下面是先系统的常见进程列表最基本的系统进程（也就是说，这些进程是系统运行的基本条件，有了这些进程，系统就能正常运行）smss.exeSessionManagercsrss.exe子系统服务器进程winlogon.exe管理用户登录services.exe包含很多系统服务lsass.exe管理IP安全策略以及启动ISAKMP/Oakley（IKE）和IP安全驱动程序。（系统服务）产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据（ticket）。（系统服务）svchost.exe包含很多系统服务svchost.exeSPOOLSV.EXE将文件加载到内存中以便迟后打印。（系统服务）explorer.exe资源管理器internat.exe托盘区的拼音图标附加的系统进程（这些进程不是必要的，你可以根据需要通过服务管理器来增加或减少）mstask.exe允许程序在指定时间运行。（系统服务）regsvc.exe允许远程注册表操作。（系统服务）winmgmt.exe提供系统管理信息（系统服务）。inetinfo.exe通过Internet信息服务的管理单元提供FTP连接和管理。（系统服务）tlntsvr.exe允许远程用户登录到系统并且使用命令行运行控制台程序。（系统服务）允许通过Internet信息服务的管理单元管理Web和FTP服务。（系统服务）tftpd.exe实现TFTPInternet标准。该标准不要求用户名和密码。远程安装服务的一部分。（系统服务）termsrv.exe提供多会话环境允许客户端设备访问虚拟的Windows2000Professional桌面会话以及运行在服务器上的基于Windows的程序。（系统服务）dns.exe应答对域名系统（DNS）名称的查询和更新请求。（系统服务）以下服务很少会用到，对安全有害，如果不是必要的应该关掉tcpsvcs.exe提供在PXE可远程启动客户计算机上远程安装Windows2000Professional的能力。（系统服务）支持以下TCP/IP服务：CharacterGenerator,Daytime,Discard,Echo,以及QuoteoftheDay。（系统服务）ismserv.exe允许在WindowsAdvancedServer站点间发送和接收消息。（系统服务）ups.exe管理连接到计算机的不间断电源（UPS）。（系统服务）wins.exe为注册和解析NetBIOS型名称的TCP/IP客户提供NetBIOS名称服务。（系统服务）llssrv.exeLicenseLoggingService（systemservice）ntfrs.exe在多个服务器间维护文件目录内容的文件同步。（系统服务）RsSub.exe控制用来远程储存数据的媒体。（系统服务）locator.exe管理RPC名称服务数据库。（系统服务）lserver.exe注册客户端许可证。（系统服务）dfssvc.exe管理分布于局域网或广域网的逻辑卷。（系统服务）clipsrv.exe支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。（系统服务）msdtc.exe并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。（系统服务）faxsvc.exe帮助您发送和接收传真。（系统服务）cisvc.exeIndexingService（systemservice）dmadmin.exe磁盘管理请求的系统管理服务。（系统服务）mnmsrvc.exe允许有权限的用户使用NetMeeting远程访问Windows桌面。（系统服务）netdde.exe提供动态数据交换（DDE）的网络传输和安全特性。（系统服务）smlogsvc.exe配置性能日志和警报。（系统服务）rsvp.exe为依赖质量服务（QoS）的程序和控制应用程序提供网络信号和本地通信控制安装功能。（系统服务）RsEng.exe协调用来储存不常用数据的服务和管理工具。（系统服务）RsFsa.exe管理远程储存的文件的操作。（系统服务）grovel.exe扫描零备份存储（SIS）卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。（系统服务）SCardSvr.exe对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。（系统服务）snmp.exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。（系统服务）snmptrap.exe接收由本地或远程SNMP代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上SNMP管理程序。（系统服务）UtilMan.exe从一个窗口中启动和配置辅助工具。（系统服务）msiexec.exe依据.MSI文件中包含的命令来安装、修复以及删除软件。（系统服务）总结：发现可疑进程的秘诀就是要多看任务管理器中的进程列表，看多了以后，一眼就可以发现可疑进程，就象找一群熟悉人中的陌生人一样。另外啰嗦一下。WindowsXP装上Sp2后进程添加的新丁control.exe是控制面板程序。alg.exeApplicationLayerGatewayService应用层网关服务（防火墙）wscenfy.exeWindowsSecurityCenterNotificationApp安全中心警告程序Wuauclt.exeAutomaticUpdates自动升级alg.exe就是微软windows防火墙。虽然功能不是很强，但已经能满足用户的最基本要求了，它占的资源相当少。wscenfy.exe就是微软的安全中心的通知程序了。wscenfy.exe，在你系统安全设置存在风险的时候就会出现的。你要想让它不出现，就得①安装杀毒软件，或者放弃监视。②开启自动更新。③开启防火墙，或者选择不监视防火墙。否则这个东东就赖在任务栏了。Wuauclt.exe是windowsXP的自动更新的程序了。如果你没有开启自动升级的话就不会有这项进程了，而且就算你开启了它，它也不是任何时候都开启的。Wuauclt.exe占用的资源也不算太小。运行时内存占用达到了6m左右，好在自动升级不是每时每刻开着的。但是如果你关闭了这个程序的话，呵呵。wscenfy.exe就会启动，又是3m内存，呵呵。时时刻刻通知你，该注意这事情了。又得内存说话了。wdfmgrorwdfmgr.exe进程WindowsDriverFoundationManager一般进程，MicrosoftWindowsmediaplayer10的一部分。由于windows2000和XP同属于NT架构的系统在基础核心上相同，进程上的差异不大。可以互为参考。而Windows98下，查看进程不能象2000/NT/XP系统那样容易，使用进程察看器工具可以用来帮你解决这个问题！win98进程管理能力较弱，用户参与性差，实际意义不是很大。个人以为，补充一个2000/XP进程的简单说明还是比较好的。详细说明：win2k运行进程Svchost.exeSvchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务，以至于单独的服务必须依*Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。Svchost.exe组是用下面的注册表值来识别。HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost每个在这个键下的值代表一个独立的Svchost组，并且当你正在看活动的进程时它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名，这个服务的参数值包含了一个ServiceDLL值。HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service更多的信息为了能看到正在运行在Svchost列表中的服务。开始－运行－敲入cmd然后在敲入tlist-s（tlist应该是win2k工具箱里的冬冬）Tlist显示一个活动进程的列表。开关-s显示在每个进程中的活动服务列表。如果想知道更多的关于进程的信息，可以敲tlistpid。Tlist显示Svchost.exe运行的两个例子。0SystemProcess8System132smss.exe160csrss.exeTitle:180winlogon.exeTitle:NetDDEAgent208services.exeSvcs:AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkstation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi220lsass.exeSvcs:Netlogon,PolicyAgent,SamSs404svchost.exeSvcs:RpcSs452spoolsv.exeSvcs:Spooler544cisvc.exeSvcs:cisvc556svchost.exeSvcs:EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv580regsvc.exeSvcs:RemoteRegistry596mstask.exeSvcs:Schedule660snmp.exeSvcs:SNMP728winmgmt.exeSvcs:WinMgmt852cidaemon.exeTitle:OleMainThreadWndName812explorer.exeTitle:ProgramManager1032OSA.EXETitle:Reminder1300cmd.exeTitle:D:\WINNT5\System32\cmd.exe-tlist-s1080MAPISP32.EXETitle:WMSIdle12***rundll32.exeTitle:1000mmc.exeTitle:DeviceManager1144tlist.exe在这个例子中注册表设置了两个组。HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost:netsvcs:Reg_Multi_SZ:EventSystemIasIpripIrmonNetmanNwsapagentRasautoRasmanRemoteaccessSENSSharedaccessTapisrvNtmssvcrpcss:Reg_Multi_SZ:RpcSssmss.execsrss.exe这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss负责控制windows，创建或者删除线程和一些16位的虚拟MS-DOS环境。explorer.exe这是一个用户的shell（我实在是不知道怎么翻译shell），在我们看起来就像任务条，桌面等等。这个进程并不是像你想象的那样是作为一个重要的进程运行在windows中，你可以从任务管理器中停掉它，或者重新启动。通常不会对系统产生什么负面影响。internat.exe这个进程是可以从任务管理器中关掉的。internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置HKEY_USERS\.DEFAULT\KeyboardLayout\Preload加载内容的。internat.exe加载“EN"图标进入系统的图标区，允许使用者可以很容易的转换不同的输入点。当进程停掉的时候，图标就会消失，但是输入点仍然可以通过控制面板来改变。lsass.exe这个进程是不可以从任务管理器中关掉的。这是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。mstask.exe这个进程是不可以从任务管理器中关掉的。这是一个任务调度服务，负责用户事先决定在某一时间运行的任务的运行。smss.exe这个进程是不可以从任务管理器中关掉的。这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon,Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（就是挂起）。spoolsv.exe这个进程是不可以从任务管理器中关掉的。缓冲（spooler）服务是管理缓冲池中的打印和传真作业。service.exe这个进程是不可以从任务管理器中关掉的。大多数的系统核心模式进程是作为系统进程在运行。SystemIdleProcess这个进程是不可以从任务管理器中关掉的。这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。winlogon.exe这个进程是管理用户登录和推出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了，显示安全对话框。winmgmt.exewinmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化taskmagr.exe这个进程呀，哈哈，就是任务管理器了若有什么不周之处，还望指正.WIN2K_AS安全模式启动服务C:\WINNT\System32\WBEM\WinMgmt.exeWindowsManagementInstrumentation提供系统管理信息。C:\WINNT\system32\svchost-krpcssRemoteProcedureCall(RPC)提供终结点映射程序(endpointmapper)以及其它RPC服务。C:\WINNT\system32\services.exePlugandPlay管理设备安装以及配置，并且通知程序关于设备更改的情况。C:\WINNT\System32\services.exeLogicalDiskManager逻辑磁盘管理器监视狗服务C:\WINNT\system32\services.exeEventLog记录程序和Windows发送的事件消息。事件日志包含对诊断问题有所帮助的信息。您可以在“事件查看器”中查看报告。这个状态下只有WinMgmt.exesvchost.exeservices.exe三个进程出现.任务管理器的妙用3•有“Explorer.exe"进程表示系统中有木马病毒？某日，笔者的朋友偶然发现自己的任务管理器的进程列表中有一名为“Explorer.exe"的进程，与他平时常见的“explorer.exe”稍有区别，联想到某些木马将自己伪装成“svchOst”、“explOer.exe”的形式，于是他惊呼“我中木马了！”。为了搞清该问题，笔者做了如下试验：首先打开C:\Windows目录，发现explorer.exe文件的文件名为“Explorer.exe”，难道问题与此有关？由于Explorer.exe正在被使用，不能直接改名，于是打开任务管理器，切换到“进程”标签，结束掉“Explorer.exe”进程，接下来再运行“文件一新建任务（运行）”菜单，单击“浏览”按钮，定位到C:\Windows目录并将Explorer.exe文件名修改为“explorer.exe”后，将该程序重新添加到进程列表，笔者发现进程列表中出现了久违的“explorer.exe”。由此可以判定这并不是木马的伪装，而是某些软件在安装时修改了explorer.exe的文件名所致。JustDoIt：任务管理器的进程列表管理对文件名的大小写敏感，其实不光是explorer.exe，其它任何文件，如QQ、MyIE等，我们将其文件名大小写混乱改写（甚至修改为其它任何名字），在进程列表中会看到修改后的变化。如果我们将其修改为跟系统进程名类似的文字，可以达到“伪装”的目的。4.“一秒关机技巧”使用要谨慎有一个快速关机技巧为：打开任务管理器，按下Ctrl键，与此同时运行“关机一关闭”命令。该技巧其实应用的是WindowsXP的无提示关机模式，其效果十分显著，不过就我们统计的情况来看，发现有使用该技巧至少有如下故障产生的可能，建议谨慎使用：★可能会出现第二次开机时系统请求进行磁盘扫描的情况，多次使用该技巧发现磁盘逻辑错误增多。★使用虚拟光驱的用户可能出现系统设置丢失的情况。★关机时对正在编辑的文档、尚未保存的程序无任何提示，导致数据损失。二、“任务管理器”强身术让你受益无限的几个雕虫小技★选择性的窗口控制：我们通过任务栏上右键菜单中的“层叠窗口”、“横向平铺窗口”等命令来对所有窗口进行布局控制，但如果是对其中几个窗口呢？一种方法是按下Ctrl，在任务栏中选择要控制的窗口，单击右键，选择相应命令。另一种方法为：在任务管理器的“应用程序”标签下，同样按下Ctrl并选择要操作的程序，单击右键，选择相应命令即可，该方法比第一个方法的优势在于如果我们打开的窗口数量很多，常常不能在任务栏中看到该窗口究竟是什么，容易造成误操作，而在任务管理器中则不同。★随时关注CPU占用情况：通常情况下我们只关心系统所有正运行的程序占用的CPU资源情况，我们可以在任务管理器中选择“选项”菜单，勾选“使用时自动最小化”和“最小化时隐藏”，接下来运行“Regedit”打开注册表编辑器，定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”分支，新建一个名为“Taskmanager”的REG_SZ值，将其值修改为“"c:\windows\system32\cmd.exe"/c"start"/minc:\windows\system32\taskmgr.exe”。这样我们可以随时将鼠标悬浮在系统托盘区域一个绿色图标上，稍等片刻，CPU资源情况遍尽收眼底了。★远程控制时调用任务管理器：当我们使用WindowsXP的远程桌面连接或者使用第三方软件进行远程控制时，要在对方的系统中打开任务管理器，不能使用Alt+Ctrl+Del或者Ctrl+Shift+Esc热键，这样打开的是本机的任务管理器，正确的方法是运行任务栏右键菜单中的“任务管理器”命令。★更酷的任务管理器打开热键：如果你每次都要劳神的按下三个组合键才能打开任务管理器，那么就为C:\WINDOWS\system32\taskmgr.exe建立一个桌面快捷方式，再在该快捷方式上单击右键，选择“属性”，并为其分配一个热键吧（如F5）。★任务管理器中也可以玩“运行”：如果“开始”菜单中的“运行”命令被屏蔽，那就试试在任务管理器中选择“文件一新建任务（运行）”吧，效果一样。给任务管理器加个“开关”在WindowsXP中，我们有三种方法来禁用与启用任务管理器：方法一：运行“Regedit”命令打开注册表编辑器，依次定位到“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”分支，在左边找到"DisableTaskMgr”项（如没有则新建，其类型为REG_DW0RD），其值设置为1则禁止，为0则启用。方法二：运行“gpedit.msc”命令打开“组策略”设置窗口，依次展开“本地计算机策略一用户配置一管理模板一系统一Ctrl+Alt+Del选项”，在右边的“删除任务管理器”的属性中，设置为“已启用”。方法三：上面两种方法对所有用户有效，如果你想单独对某个用户设置禁用，那么可以打开C:\WINDOWS\system32目录，右键单击taskmgr.exe，选择“打开方式”菜单，在bomb出的“运行身份”窗口中勾选“下列用户”，并指定一个用户即可。小提示：大家遇到在任务栏区域的右键菜单中“任务管理器”为灰色不可选状态，或者运行“taskmgr”命令时提示“任务管理器已被系统管理员停用”故障都可以通过上面的设置来解决。此外，如果你的任务管理器的“进程”标签的“用户名”一列信息丢失（显示为空白），那么请运行'Services.msc”命令打开服务设置窗口，重新启动TerminalServices这项服务即可。“双击”在任务管理器中的应用很多朋友每天都要使用无数遍任务管理器，却未曾知道这里还有很多关于“双击”的技巧：★双击任务管理器的边框区域，可以以“TinyFootprintmode”（精简模式，隐藏了彩单栏，MediaPlayer也提供类似功能）显示任务管理器，再次双击切换为完整模式。★切换到“应用程序”标签，双击其中某个列表中某个程序，可以让该程序对应的窗口最靠前，该技巧对于WindowsXP任务栏常常无响应的情况尤其有效，我们再不用在任务栏中单击切换窗口前置了。不过，使用该功能时请确保取消勾选“选项一前端显示”，否则技巧无效。★切换到“应用程序”标签，双击该窗口中的任何空白处，可以快速最小化任务管理器。★切换到“性能”、“联网”标签，双击窗口任意区域可以将其对应曲线图以最屏方式显示，便于察看。妙用任务管理器，秘密东东巧运行不知道是否还记得本刊2004年第12期挑战栏目中介绍的如何把常用软件在任务栏和系统托盘的图标隐藏，并在任务管理器的“应用程序”选项卡中不显示该程序正在运行的几个方法。文中提到的方法要么操作麻烦，要么又有点投机取巧，下面介绍一种在WindowsXP中更加实用的方法:/r/第一步：首先确保在用户账户中启用“使用快速用户切换”功能，接下来打开你你要运行的程序，如开启FlashFXP、BT下载东西或者Winamp听歌。第二步:新建一个具有管理员权限的账户（假设其账户名为123），接下来打开任务管理器，切换到“用户”标签，在其列表中找到“123”这个账户名，右键单击，选