Windows系统各进程详解.docx
- 文档编号:29868460
- 上传时间:2023-08-03
- 格式:DOCX
- 页数:22
- 大小:35.36KB
Windows系统各进程详解.docx
《Windows系统各进程详解.docx》由会员分享,可在线阅读,更多相关《Windows系统各进程详解.docx(22页珍藏版)》请在冰豆网上搜索。
Windows系统各进程详解
1、SystemIdleProcess系统进程介绍
进程文件:
[systemprocess]or[systemprocess]
进程名称:
Windows内存处理系统进程
描 述:
Windows页面内存管理进程,拥有0级优先。
介 绍:
该进程作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。
它的cpu占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。
SystemIdleProcess为何物
问:
在使用WindowsXP的过程中,按“Ctrl+Alt+Del”键调出任务管理器,在进程中我发现一个名为“SystemIdleProcess”的进程,它往往占用了大部分CPU资源,经常是80%以上,请问为什么它占用了那么多资源?
答:
你误解了“SystemIdleProcess”进程的意思了,这里的80%并不是你所想的占用CPU的资源,恰恰相反的是这里的80%以上是CPU资源空闲了出来的。
这里的数字越大表示CPU可用资源越多,数字越小则表示CPU资源越紧张。
该进程是系统必须的,不能禁止哦。
2、alg.exe系统进程介绍
进程文件:
algoralg.exe
进程名称:
应用层网关服务
描 述:
这是一个应用层网关服务用于网络共享。
介 绍:
一个网关通信插件的管理器,为“Internet连接共享服务”和“Internet连接防火墙服务”提供第三方协议插件的支持。
Internet连接共享(ICS)/Windows防火墙服务(ICF)的这个子组件对允许网络协议通过防火墙并在Internet连接共享后面工作的插件提供支持。
应用程序层网关(ALG)插件可以打开端口和更改嵌入在数据包内的数据(如端口和IP地址)。
文件传输协议(FTP)是唯一具有WindowsServer2003标准版和WindowsServer2003企业版附带的一个插件的网络协议。
ALGFTP插件旨在通过这些组件使用的网络地址转换(NAT)引擎来支持活动的FTP会话。
ALGFTP插件通过重定向所有通过NAT的流量和发送到通向环回适配器上3000到5000范围内的专用侦听端口的端口21的流量来支持这些会话。
ALGFTP插件随后监视并更新FTP控制通道流量,以便FTP插件能够通过FTP数据通道的NAT转发端口映射。
FTP插件还更新FTP控制通道流中的端口。
系统服务名称:
ALG应用程序协议 协议端口
FTP控制 TCP 21
问:
我是ADSL宽带用户,平时常常下载电影,这几星期里我用网际快车下载电影的时候(下载的中段时候),老是出错:
“ALG.EXE文件挂起”。
我用的是XP系统,具体询问的问题如下:
1.ALG.EXE是什么文件?
为什么老是会挂起?
2.为什么挂起后就不可以下载了?
反映连接不上,但是其它上网都很正常如QQ、MSN、看网站,是一点问题也没有(就是不可以下载了,连FTP也不可以下载)。
3.重启以后就好了,但是不到五分钟又是ALG.EXE文件挂起,又不可以下载电影了。
我等着,一笑哥给我想想办法吧。
答:
ALG嘛,ApplicationLayerGatewayService是也,是WindowsXP的一个应用层网关服务,通过“控制面板|管理工具|服务”,你可以看到其具体解释是“为应用程序级协议插件提供支持并启用网络/协议连接”,在其上点击
右键,选择“属性|依存关系”,还可以发现“InternetConnection
Firewall(ICF)/InternetConnectionSharing(ICS)”需要依赖此服务,而ICF
和ICS也就是我们平时所说的XP中自带的防火墙和Internet连接共享。
由于ALG的特殊性,因此很多病毒都将自己伪装成ALG.EXE文件,以欺骗系统和使用电脑的朋友,因此经常挂起很可能与你中了病毒有关,建议你使用最新版的杀毒软件进行查杀,看系统是否有问题。
而在ALG.EXE挂起时,忘记快车不能够下载,是由于你启用了系统Internet连接的连接共享或者防火墙功能,ALG.EXE挂起导致这些功能失效,因此出现不能下载的情况。
你可以关闭Internet连接共享以及防火墙功能,看是否有类似问题再次出现。
3、csrss.exe系统进程介绍
进程文件:
csrssorcsrss.exe
进程名称:
Client/ServerRuntimeServerSubsystem
描 述:
客户端服务子系统,用以控制Windows图形相关子系统。
介 绍:
这个是用户模式Win32子系统的一部分。
csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。
csrss用于维持Windows的控制,创建或者删除线程和一些16位的虚拟MS-DOS环境。
纯手工查杀木马csrss.exe
注意:
csrss.exe进程属于系统进程,这里提到的木马csrss.exe是木马伪装成系统进程,前两天突然发现在C:
\ProgramFiles\下多了一个rundll32.exe文件。
这个程序记得是关于登录和开关机的,不应该在这里,而且它的图标是98下notepad.exe的老记事本图标,在我的2003系统下面很扎眼。
但是当时我没有在意。
因为平时没有感到系统不稳定,也没有发现内存和CPU大量占用,网络流量也正常。
这两天又发现任务管理器里多了这个rundll32.exe和一个csrss.exe的进程。
它和系统进程不一样的地方是用户为Administrator,就是我登录的用户名,而非system,另外它们的名字是小写的,而由SYSTEM启动的进程都是大写的RUNDLL32.EXE和CSRSS.EXE,觉得不对劲。
然后按F3用资源管理器的搜索功能找csrss.exe,果然在C:
\Windows下,大小52736字节,生成时间为12月9日12:
37。
而真正的csrss.exe只有4k,生成时间是2003年3月27日12:
00,位于C:
\Windows\Syetem32下。
于是用超级无敌的UltraEdit打开它,发现里面有kavscr.exe,mailmonitor一类的字符,这些都是金山毒霸的进程名。
在该字符前面几行有SelfProtect的字符。
自我保护和反病毒软件有关的程序,不是病毒就是木马了。
灭!
试图用任务管理器结束csrss.exe进程失败,称是系统关键进程。
先进注册表删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相应值,注销重登录,该进程消失,可见它没有象3721那样加载为驱动程序。
然后要查找和它有关的文件。
仍然用系统搜索功能,查找12月9日生成的所有文件,然后看到12:
37分生成的有csrss.exe、rundll32.exe和kavsrc.exe,但kavsrc.exe的图标也是98下的记事本图标,它和rundll32.exe的大小都是33792字节。
此后在12:
38分生成了一个tmp.dat文件,内容是 @echooff debugC:
\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.datC:
\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
copyC:
\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.datC:
\WINDOWS\system32\netstart.exe>C:
\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
delC:
\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat>C:
\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
delC:
\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in>C:
\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
C:
\WINDOWS\system32\netstart.exe
好像是用debug汇编了一段什么程序,这年头常用debug的少见,估计不是什么善茬,因为商业程序员都用Delphi、PB等大程序写软件。
汇编大约进行了1分钟,在12:
39生成了netstart.exe、WinSocks.dll、netserv.exe和一个0字节的tmp.out文件。
netstart.exe大小117786字节,另两个大小也是52736字节。
前两个位于C:
\Windows\System32下,后两个在当前用户的Temp文件夹里。
这样我就知道为什么我的系统没有感染的表现了。
netstart.exe并没有一直在运行,因为我在任务管理器中没有见过它。
把这些文件都删除,我的办法是用winrar压缩并选中完成后删除源文件,然后在rar文件注释中做说明,放一个文件夹里,留待以后研究。
这个监狱里都是我的战利品,不过还很少。
现在木马已经清除了。
使用搜索引擎查找关于csrss.exe的内容,发现结果不少,有QQ病毒,传奇盗号木马,新浪游戏病毒,但是文件大小和我中的这个都不一样。
搜索netstart.exe只有一个日文网站结果,也是一个木马。
这个病毒是怎么进入我的电脑的呢?
搜索时发现在12月9日12:
36分生成了一个快捷方式,名为dos71cd.zip,它是我那天从某网站下载的DOS7.11版启动光盘,但是当时下载失败了。
现在看来根本就不是失败,是因为这个网站的链接本来就是一段网页注入程序,点击后直接把病毒下载来了。
4、ddhelp.exe系统进程介绍
进程文件:
ddhelporddhelp.exe
进程名称:
DirectDrawHelper
描 述:
DirectDrawHelper是DirectX这个用于图形服务的一个组成部分。
简 介:
Directx帮助程序
错误信息:
Ddhelp.exe导致模块Mgaxdd32.dll中出现无效页错误
症状
当使用WindowsMediaPlayer播放文件或运行DxDiag.exe工具时,您可能会看到以下错误信息:
Ddhelp.execausedaninvalidpagefaultinmoduleMgaxdd32.dllat015F:
BAAL521F(Ddhelp.exe在015F:
BAAL521F处导致Mgaxdd32.dll模块中出现无效页错误)
原因
如果您的计算机中装有以下任何项目,就可能会出现此问题:
?
MatroxMillenniumII视频适配器
MicrosoftDirectX6.1
不兼容的视频适配器
解决方案:
要解决此问题,请与视频适配器的生产厂商联系,以获得更新的视频驱动程序。
(重装新版的显卡驱动)
5、dllhost.exe系统进程介绍
进程文件:
dllhostordllhost.exe
进程名称:
DCOMDLLHost进程
描 述:
DCOMDLLHost进程支持基于COM对象支持DLL以运行Windows程序。
介 绍:
com代理,系统附加的dll组件越多,则dllhost占用的cpu资源和内存资源就越多,而8月的“冲击波杀手”大概让大家对它比较熟悉吧。
解决Web服务器出现的dllhost.exe错误
我的Web服务器出了问题。
一个弹出话框显示“dllhost.exe出现错误”。
当我查看应用事件日志时发现有很多ActiveServerPagesEvent5这样的错误。
它们在错误信息中显示为“line0内存溢出”。
这种错误以前每隔几天就发生一次,但现在是每隔几小时就发生一次。
重启后也只能维持一阵子。
你对此有什么看法吗?
我还没碰到过这种问题,但我在微软的参考信息中看到ExchangeOutlookWebAccess使用过程中描述过这样的错误。
(3.0方面问题的人的建议一样:
确保你有所有最新升级版和服务包。
在每个Web应用中允许进程隔离。
将应用程序升级到ASP.NET。
将Web服务器升级到WindowsServer2003。
了解真相dllhost.exe是病毒吗?
dllhost.exe解释
dllhost.exe是什么?
dllhost.exe是运行COM+的组件,即COM代理,运行Windows中的Web和FTP服务器必须有这个东西。
什么时候会出现dllhost.exe?
运行COM+组件程序的时候就会出现。
例如江民KV2004
冲击波杀手又是怎么一回事?
冲击波杀手借用了dllhost.exe作为进程名,但是由于Windows不允许同一个目录下有同名文件的存在,因此,冲击波杀手把病毒体:
dllhost.exe放到了C:
\Windows\System32\Wins目录里面(Windows2000是C:
\WINNT\System32\Wins,全部假设系统安装在C盘),但是真正的dllhost.exe应该放在C:
\Windows\System32(Windows2000是C:
\WINNT\System32)换句话说就是:
冲击波(Worm.WelChia)为了迷惑用户,避免病毒的执行体被进程管理器终止,采用了dllhost.exe这个和Windows组件一样的名字,但是并不是说进程里面出现dllhost.exe就等于感染了worm.welchia
再看看这里的FAQ吧
第一个误区————进程出现Dllhost.exe就等于中了病毒
Dllhost.exe是系统文件,但是进程里面出现Dllhost.exe进程不等于中了病毒
第二个误区————一见Dllhost.exe进程就杀死
其实这样做是不好的。
很多程序都需要Dllhost.exe,例如KV2004实时监控运行的时候或IIS在解析一些ASP文件的时候,进程中都会出现Dllhost.exe 之所以大家恐惧Dllhost.exe进程,恐怕是由于冲击波(杀手)的问题。
其实冲击波(杀手)只不过采取了一个偷梁换柱的方法。
因为任务管理器里面无法看出进程中exe文件的路径,所以让大家在分析问题的时候出现一些偏差。
感染冲击波(杀手)的典型特征不是进程中出现Dllhost.exe,而是RPC服务出现问题(冲击波)和System32\wins目录里面出现svchost.exe和dllhost.exe文件(冲击波杀手)。
注意路径!
!
那么,Dllhost.exe是什么呢?
Dllhost.exe是COM+的主进程。
正常下应该位于system32目录里面和system32\dllcache目录里面。
而system32\wins目录里面是不会有dllhost.exe文件的。
6、Explorer.exe系统进程介绍
进程文件:
explorerorexplorer.exe
进程名称:
程序管理
描 述:
WindowsProgramManager或者WindowsExplorer用于控制Windows图形Shell,包括开始菜单、任务栏,桌面和文件管理。
介 绍:
这是一个用户的shell,在我们看起来就像任务条,桌面等等。
或者说它就是资源管理器,不相信你在运行里执行它看看。
它对windows系统的稳定性还是比较重要的,而红码也就是找它的麻烦,在c和d根下创建explorer.exe。
如何解决Explorer.exe意外退出的问题?
我的系统经常出现这个问题,先提示“Explorer.exehasencounteredaproblemandneedstoclose.Wearesorryfortheinconvenience.”然后Explorer.exe就自动退出,请问是什么原因呢?
我用的是WindowsXP系统。
谢谢。
你可能是因为WindowsXPSP2的问题,因为不清楚你的具体情况,所以并不能用最合适的方式解决这个问题,但是你可以在微软的相关文章找到和你的系统一致的状况,并找到最好的解决方案。
7、inetinfo.exe系统进程介绍
进程文件:
inetinfoorinetinfo.exe
进程名称:
IISAdminServiceHelper
描 述:
InetInfo是MicrosoftInternetInfomationServices(IIS)的一部分,用于Debug调试除错。
介 绍:
IIS服务进程,蓝码正是利用的inetinfo.exe的缓冲区溢出漏洞。
inetinfo.exe占用了100%的cpu解决方案
当我们在使用iis时,如果这时错误关机(停电等),重启机器后,再次使用iis,经常发现inetinfo.exe占用了100%的cpu,重装iis后,还是没用这个问题很多人的解决方案就是重装机器,之前我也是那么做的,只是我是从ghost恢复,但老这样做,似乎很麻烦。
终无我忍无可忍(这样的情况太多了,而且我的同时也经常碰到这样的问题)我就想,既然国内资料没法找到解决方案,国外的也可以试试吧。
经过两个多小时的努力,找到了解决方法:
其实很简单,使用windowsupdate更新一下电脑一下就行
inetinfo.exe进程占用高达100%
进程文件:
inetinfoorinetinfo.exe
进程名称:
IISAdminServiceHelper
InetInfo是MicrosoftInternetInfomationServices(IIS)的一部分,用于Debug调试除错。
可能原因很多:
1、IIS溢出入侵
默认情况下,IIS5.0服务器存在一个后缀为"printer"的应用程序映射,这个映射使用位于WINNTSystem32下的名为msw3prt.dll的动态库文件。
这个功能是用于基于Web控制的网络打印的,是Windows2000为InternetPrintingProtocol(IPP)协议而设置的应用程序功能。
不幸的是,这个映射存在一个缓冲区溢出错误,可以导致inetinfo.exe出错
解决方法:
删除printer的应用程序映射
2、shtml.dll
在FrontpageExtentionServer/Windows2000Server上输入一个不存在的文件将可以得到web目录的本地路径信息:
这样将返回以下信息:
Cannotopen"d:
inetpubwwwrootpostinfo1.html":
nosuchfileorfolder.
但是如果我们请求并非HTML、SHTML或者ASP后缀的文件,我们将会得到不同的信息:
http:
//207.69.190.42/_vti_bin/shtml.dll/something.exe
shtml.dll对较长的带html后缀的文件名都会进行识别和处理,利用这一点,可以对IIS服务器执行DOS攻击,使目标服务器的CPU占用率达到100%
解决方法:
禁用Frontpage扩展。
8、internat.exe系统进程介绍
进程文件:
internatorinternat.exe
进程名称:
InputLocales
描 述:
这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。
internat.exe在启动的时候开始运行。
它加载由用户指定的不同的输入点。
输入点是从注册表的这个位置HKEY_USERS\.DEFAULT\KeyboardLayout\Preload加载内容的。
internat.exe加载“EN”图标进入系统的图标区,允许使用者可以很容易的转换不同的输入点。
当进程停掉的时候,图标就会消失,但是输入点仍然可以通过控制面板来改变。
介 绍:
这里的internat很多人会误以为是网络什么有关的,其实不然,因为他和英特网internet差一字哦,这里这个internat是输入法图标的工具,一般本机只有一个输入法的都不需要运行这个.(任务栏里面的En图标),它主要是用来控制输入法的,当你的任务栏没有“EN”图标,而系统有internat.exe进程,不妨结束掉该进程,在运行里执行internat命令即可。
在具有多个输入法区域设置的计算机上运行Riprep.exe时出现Internat.exe错误信息
QQ密码侦探1.1版木马程序会伪装成internat.exe进程
监听原理:
将监听程序伪装成windows的启动文件internat.exe,将原system目录内的同名文件拷入windows目录,将本目录文件更名为SMAXINTE.EXE从而实现启动隐身后台运行。
windows目录中的sqwin.ini是其运行记录文件。
注册表中新建3个主键 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SysTASK HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\SysTASK
发送的邮箱、密码个数等信息放在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK
\Software\Services\Security\Common\SoftWare\ControlsFolder\Reconciliation\Policies\Retriction\Adspopware\ConnectionWizardExplorer\ShellServiceObjectDelayLoad\WindowsMessagingSubsystem\ProtectedStorage中
启动:
随系统启动,驻留后台运行
外在表现:
windows目录下存在internat.exe和sqwin.ini文件,system目录下internat.exe长度为196K,同时出现smaxinte.exe文件,长度大约37K。
对策:
删除WINDOWS目录中的internat.exe和sqwin.ini文件,因system中的监听程序正在运行,所以无法直接删除,可用下列方式进行删除:
1、用内存管理程序移掉内存中的IN
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Windows 系统 进程 详解