Windows系统进程完全解析.docx
- 文档编号:12761039
- 上传时间:2023-04-21
- 格式:DOCX
- 页数:56
- 大小:45.72KB
Windows系统进程完全解析.docx
《Windows系统进程完全解析.docx》由会员分享,可在线阅读,更多相关《Windows系统进程完全解析.docx(56页珍藏版)》请在冰豆网上搜索。
Windows系统进程完全解析
进程是程序在计算机上的一次执行活动。
当你运行一个程序,你就启动了一个进程。
显然,程序是死的(静态的),进程是活的(动态的)。
进程可以分为系统进程和用户进程。
凡是用于完成操作系统的各种功能的进程就是系统进程,它们就是处于运行状态下的操作系统本身;用户进程就是所有由你启动的进程。
进程是操作系统进行资源分配的单位。
在Windows下,进程又被细化为线程,也就是一个进程下有多个能独立运行的更小的单位。
Windows系统进程完全解析
面对Windows系统中那些繁多的进程时,你知道它们都有什么作用吗?
如果你的电脑中了木马,你知道那些是木马程序?
那些是系统进程吗?
你知道那些进程能结束?
那些不能结束吗?
本专题的目的就是要告诉大家Windows系统进程有那些,他们都有什么用。
详细的了解以下系统进程的相关知识,对你使用系统和维护系统安全都有着非常重要的作用……
系统进程中Svchost.exe的作用
问:
我的系统进程里有四个svchost.exe,听说有些木马就是伪装成系统的进程,不知道这个是不是?
答:
svchost.exe存在%windir%\system32\wins下。
如果怀疑svchost.exe是病毒可以通过以下方法来证实是不是病毒:
1.可以去wins目录找找有无多余,2.可以搜搜windows文件夹中svchost.exe看看有几个(应为1个),3.tlist-s察看,4.也可以下载一个可以看带路径名的进程的浏览工具。
问:
svchost.exe是起什么作用的进程?
答:
Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。
Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。
在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。
这就会使多个Svchost.exe在同一时间运行。
每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。
这样就更加容易控制和查找错误。
Svchost.exe组是用下面的注册表值来识别。
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的例子。
每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。
每个Svchost组都包含一个或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
系统进程分析
systemprocess
进程文件:
[systemprocess]or[systemprocess]
进程名称:
Windows内存处理系统进程
描述:
Windows页面内存管理进程,拥有0级优先。
是否为系统进程:
是
alg.exe
进程文件:
algoralg.exe
进程名称:
应用层网关服务
描述:
这是一个应用层网关服务用于网络共享。
是否为系统进程:
是
csrss.exe
进程文件:
csrssorcsrss.exe
进程名称:
Client/ServerRuntimeServerSubsystem
描述:
客户端服务子系统,用以控制Windows图形相关子系统。
是否为系统进程:
是
ddhelp.exe
进程文件:
ddhelporddhelp.exe
进程名称:
DirectDrawHelper
描述:
DirectDrawHelper是DirectX这个用于图形服务的一个组成部分。
是否为系统进程:
是
dllhost.exe
进程文件:
dllhostordllhost.exe
进程名称:
DCOMDLLHost进程
描述:
DCOMDLLHost进程支持基于COM对象支持DLL以运行Windows程序。
是否为系统进程:
是
inetinfo.exe
进程文件:
inetinfoorinetinfo.exe
进程名称:
IISAdminServiceHelper
描述:
InetInfo是MicrosoftInternetInfomationServices(IIS)的一部分,用于Debug调试除错。
是否为系统进程:
是
internat.exe
进程文件:
internatorinternat.exe
进程名称:
InputLocales
描述:
这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。
是否为系统进程:
是
kernel32.dll
进程文件:
kernel32orkernel32.dll
进程名称:
Windows壳进程
描述:
Windows壳进程用于管理多线程、内存和资源。
是否为系统进程:
是
lsass.exe
进程文件:
lsassorlsass.exe
进程名称:
本地安全权限服务
描述:
这个本地安全权限服务控制Windows安全机制。
是否为系统进程:
是
mdm.exe
进程文件:
mdmormdm.exe
进程名称:
MachineDebugManager
描述:
Debug除错管理用于调试应用程序和MicrosoftOffice中的MicrosoftScriptEditor脚本编辑器。
是否为系统进程:
是
mmtask.tsk
进程文件:
mmtaskormmtask.tsk
进程名称:
多媒体支持进程
描述:
这个Windows多媒体后台程序控制多媒体服务,例如MIDI。
是否为系统进程:
是
mprexe.exe
进程文件:
mprexeormprexe.exe
进程名称:
Windows路由进程
描述:
Windows路由进程包括向适当的网络部分发出网络请求。
是否为系统进程:
是
msgsrv32.exe
进程文件:
msgsrv32ormsgsrv32.exe
进程名称:
Windows信使服务
描述:
Windows信使服务调用Windows驱动和程序管理在启动。
是否为系统进程:
是
mstask.exe
进程文件:
mstaskormstask.exe
进程名称:
Windows计划任务
描述:
Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。
是否为系统进程:
是
regsvc.exe
进程文件:
regsvcorregsvc.exe
进程名称:
远程注册表服务
描述:
远程注册表服务用于访问在远程计算机的注册表。
是否为系统进程:
是
rpcss.exe
进程文件:
rpcssorrpcss.exe
进程名称:
RPCPortmapper
描述:
Windows的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。
是否为系统进程:
是
services.exe
进程文件:
servicesorservices.exe
进程名称:
WindowsServiceController
描述:
管理Windows服务。
是否为系统进程:
是
smss.exe
进程文件:
smssorsmss.exe
进程名称:
SessionManagerSubsystem
描述:
该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。
是否为系统进程:
是
snmp.exe
进程文件:
snmporsnmp.exe
进程名称:
MicrosoftSNMPAgent
描述:
Windows简单的网络协议代理(SNMP)用于监听和发送请求到适当的网络部分。
是否为系统进程:
是
spool32.exe
进程文件:
spool32orspool32.exe
进程名称:
PrinterSpooler
描述:
Windows打印任务控制程序,用以打印机就绪。
是否为系统进程:
是
spoolsv.exe
进程文件:
spoolsvorspoolsv.exe
进程名称:
PrinterSpoolerService
描述:
Windows打印任务控制程序,用以打印机就绪。
是否为系统进程:
是
stisvc.exe
进程文件:
stisvcorstisvc.exe
进程名称:
StillImageService
描述:
StillImageService用于控制扫描仪和数码相机连接在Windows。
是否为系统进程:
是
svchost.exe
进程文件:
svchostorsvchost.exe
进程名称:
ServiceHostProcess
描述:
ServiceHostProcess是一个标准的动态连接库主机处理服务。
是否为系统进程:
是
system
进程文件:
systemorsystem
进程名称:
WindowsSystemProcess
描述:
MicrosoftWindows系统进程。
是否为系统进程:
是
taskmon.exe
进程文件:
taskmonortaskmon.exe
进程名称:
WindowsTaskOptimizer
描述:
windows任务优化器监视你使用某个程序的频率,并且通过加载那些经常使用的程序来整理优化硬盘。
是否为系统进程:
是
tcpsvcs.exe
进程文件:
tcpsvcsortcpsvcs.exe
进程名称:
TCP/IPServices
描述:
TCP/IPServicesApplication支持透过TCP/IP连接局域网和Internet。
是否为系统进程:
是
winlogon.exe
进程文件:
winlogonorwinlogon.exe
进程名称:
WindowsLogonProcess
描述:
WindowsNT用户登陆程序。
是否为系统进程:
是
winmgmt.exe
进程文件:
winmgmtorwinmgmt.exe
进程名称:
WindowsManagementService
描述:
WindowsManagementService透过WindowsManagementInstrumentationdata(WMI)技术处理来自应用客户端的请求。
是否为系统进程:
是
一般程序进程
absr.exe
进程文件:
absrorabsr.exe
进程名称:
Backdoor.AutoupderVirus
描述:
这个进程是Backdoor.Autoupder后门病毒程序创建的。
是否为系统进程:
否
acrobat.exe
进程文件:
acrobatoracrobat.exe
进程名称:
AdobeAcrobat
描述:
AcrobatWriter用于创建PDF文档。
是否为系统进程:
否
acrord32.exe
进程文件:
acrord32oracrord32.exe
进程名称:
AcrobatReader
描述:
AcrobatReader是一个用于阅读PDF文档的软件。
是否为系统进程:
否
agentsvr.exe
进程文件:
agentsvroragentsvr.exe
进程名称:
OLEautomationserver
描述:
OLEAutomationServer是MicrosoftAgent的一部分。
是否为系统进程:
否
aim.exe
进程文件:
aimoraim.exe
进程名称:
AOLInstantMessenger
描述:
AOLInstantMessenger是一个在线聊天和即时通讯IM软件客户端。
是否为系统进程:
否
airsvcu.exe
进程文件:
airsvcuorairsvcu.exe
进程名称:
MicrosoftMediaManager
描述:
OLE这是一个用于在硬盘上建立索引文件和文件夹,在MicrosoftMediaManager媒体管理启动时运行的进程。
它可以在控制面板被禁用。
是否为系统进程:
否
alogserv.exe
进程文件:
alogservoralogserv.exe
进程名称:
McAfeeVirusScan
描述:
McAfeeVirusScan是一个反病毒软件用于扫描你的文档和E-mail中的病毒。
是否为系统进程:
否
avconsol.exe
进程文件:
avconsoloravconsol.exe
进程名称:
McAfeeVirusScan
描述:
McAfeeVirusScan是一个反病毒软件用于扫描你的文档和E-mail中的病毒。
是否为系统进程:
否
avsynmgr.exe
进程文件:
avsynmgroravsynmgr.exe
进程名称:
McAfeeVirusScan
描述:
McAfeeVirusScan是一个反病毒软件用于扫描你的文档和E-mail中的病毒。
是否为系统进程:
否
backWeb.exe
进程文件:
backWeborbackWeb.exe
进程名称:
BackwebAdware
描述:
Backweb是一个Adware(广告插件,一般是由于安装某些免费软件而伴随安装上的程序)来自BackwebTechnologies。
是否为系统进程:
否
bcb.exe
进程文件:
bcborbcb.exe
进程名称:
BorlandC++Builder
描述:
BorlandC++Builder
是否为系统进程:
否
calc.exe
进程文件:
calcorcalc.exe
进程名称:
Calculator
描述:
MicrosoftWindows计算器程序
是否为系统进程:
否
ccapp.exe
进程文件:
ccapporccapp.exe
进程名称:
SymantecCommonClient
描述:
Symantec公用应用客户端包含在NortonAntiVirus2003和NortonPersonalFirewall2003。
是否为系统进程:
否
cdplayer.exe
进程文件:
cdplayerorcdplayer.exe
进程名称:
CDPlayer
描述:
MicrosoftWindows包含的CD播放器
是否为系统进程:
否
charmap.exe
进程文件:
charmaporcharmap.exe
进程名称:
WindowsCharacterMap
描述:
Windows字符映射表用来帮助你寻找不常见的字符。
是否为系统进程:
否
idaemon.exe
进程文件:
cidaemonorcidaemon.exe
进程名称:
MicrosoftIndexingService
描述:
在后台运行的Windows索引服务,用于帮助你搜索文件在下次变得更快。
是否为系统进程:
cisvc.exe
进程文件:
cisvcorcisvc.exe
进程名称:
MicrosoftIndexServiceHelper
描述:
MicrosoftIndexServiceHelper监视MicrosoftIndexingService(cidaemon.exe)的内存占用情况,如果cidaemon.exe内存使用超过了40M,则自动重新启动该进程。
是否为系统进程:
否
cmd.exe
进程文件:
cmdorcmd.exe
进程名称:
WindowsCommandPrompt
描述:
Windows控制台程序。
不像旧的,cmd.exe是一个32位的命令行使用在WinNT/2000/XP。
是否为系统进程:
否
cmesys.exe
进程文件:
cmesysorcmesys.exe
进程名称:
GatorGAINAdware
描述:
GatorGAIN是一个Adware插件(广告插件,一般是由于安装某些免费软件而伴随安装上的程序)。
是否为系统进程:
否
ctfmon.exe
进程文件:
ctfmonorctfmon.exe
进程名称:
AlternativeUserInputServices
描述:
控制AlternativeUserInputTextProcessor(TIP)和MicrosoftOffice语言条。
Ctfmon.exe提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。
是否为系统进程:
否
ctsvccda.exe
进程文件:
ctsvccdaorctsvccda.exe
进程名称:
CreateCD-ROMServices
描述:
在Win9X创建CD-ROM访问服务。
是否为系统进程:
否
cutftp.exe
进程文件:
cutftporcutftp.exe
进程名称:
CuteFTP
描述:
CuteFTP是一个流行的FTP客户端用于从FTP服务器上传/下载文件。
是否为系统进程:
否
defwatch.exe
进程文件:
defwatchordefwatch.exe
进程名称:
NortonAntiVirus
描述:
NortonAnti-Virus扫描你的文件和email以检查病毒。
是否为系统进程:
否
devldr32.exe
进程文件:
devldr32ordevldr32.exe
进程名称:
CreateDeviceLoader
描述:
CreativeDeviceLoader属于CreateSoundblaster驱动。
是否为系统进程:
否
directcd.exe
进程文件:
directcdordirectcd.exe
进程名称:
AdaptecDirectCD
描述:
AdaptecDirectCD是一个用文件管理器式的界面,烧录文件到光盘的软件。
是否为系统进程:
否
dreamweaver.exe
进程文件:
dreamweaverordreamweaver.exe
进程名称:
MacromediaDreamWeaver
描述:
MacromediaDreamWeaver是一个HTML编辑器用于创建站点和其它类别的HTML文档。
是否为系统进程:
否
em_exec.exe
进程文件:
em_execorem_exec.exe
进程名称:
LogitechMouseSettings
描述:
这是LogitechMouseWare状态栏图标的进程,用于用户访问控制鼠标属性和察看MouseWare帮助。
是否为系统进程:
否
excel.exe
进程文件:
excelorexcel.exe
进程名称:
MicrosoftExcel
描述:
MicrosoftExcel是一个电子表格程序包括在MicrosoftOffice中。
是否为系统进程:
否
findfast.exe
进程文件:
findfastorfindfast.exe
进程名称:
MicrosoftOfficeIndexing
描述:
MicrosoftOffice索引程序,用于提高MicrosoftOffice索引Office文档的速度。
是否为系统进程:
否
frontpage.exe
进程文件:
frontpageorfrontpage.exe
进程名称:
MicrosoftFrontPage
描述:
MicrosoftFrontPage是一个HTML编辑器用于创建站点和其它类别的HTML文档。
是否为系统进程:
否
gmt.exe
进程文件:
gmtorgmt.exe
进程名称:
GatorSpywareComponent
描述:
GatorSpyware是一个广告插件,随Gator安装和启动。
是否为系统进程:
否
hh.exe
进程文件:
hhorhh.exe
进程名称:
GatorWindowsHelp
描述:
WindowsHelp程序用以打开帮助文件和文档,包括在很多Windows程序中。
是否为系统进程:
否
hidserv.exe
进程文件:
hidservorhidserv.exe
进程名称:
MicrosoftHumanInterfaceDeviceAudioService
描述:
后台服务,用来支持USB音效部件和USB多媒体键盘。
是否为系统进程:
否
QQ.exe
进程文件:
QQorQQ.exe
进程名称:
描述:
QQ是一个在线聊天和即时通讯客户端。
是否为系统进程:
否
iexplore.exe
进程文件:
iexploreoriexplore.exe
进程名称:
InternetExplorer
描述:
MicrosoftInternetExplorer网络浏览器透过HTTP访问WWW万维网。
是否为系统进程:
否
kodakimage.exe
进程文件:
kodakimageorkodakimage.exe
进程名称:
Imaging
描述:
KodakImaging是一个图片察看软件。
包括在Windows,用以打开图像文件。
是否为系统进程:
否
loadqm.exe
进程文件:
loadqmorloadqm.exe
进程名称:
MSNQueueManagerLoader
描述:
MSNQueueManagerLoader被随着MSNExplorer和MSNMessenger安装。
他在一些时候会占用很多系统资源。
是否为系统进程:
否
loadwc.exe
进程文件:
loadwcorloadwc.exe
进程名称:
LoadWebCheck
描述:
LoadWebCheck用以定制一些InternetExplorer的设定,添加、删除或者更新用户profiles设定。
是否为系统进程:
否
mad.exe
进程文件:
madormad.exe
进程名称:
SystemAttendantService
描述:
SystemAttendantService是MicrosoftExchangeServer的后台程序。
它用以读取MicrosoftExchange的DLLs文件,写log信息和生成离线地址薄。
是否为系统进程:
否
mcshield.exe
进程文件:
mcshieldormcshield.exe
进程名称:
McAfeeVirusScan
描述:
McAfeeVirusScan是一个反病毒软件用以扫描你的文件和email中的病毒。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Windows 系统 进程 完全 解析