Windows系统各进程详解.docx

Windows系统各进程详解.docx

《Windows系统各进程详解.docx》由会员分享，可在线阅读，更多相关《Windows系统各进程详解.docx（22页珍藏版）》请在冰点文库上搜索。

Windows系统各进程详解

1、SystemIdleProcess系统进程介绍

　　进程文件:

[systemprocess]or[systemprocess]

　　进程名称:

Windows内存处理系统进程

　　描　　述:

Windows页面内存管理进程，拥有0级优先。

　　介　　绍：

该进程作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。

它的cpu占用率越大表示可供分配的CPU资源越多，数字越小则表示CPU资源紧张。

SystemIdleProcess为何物

　　问：

在使用WindowsXP的过程中，按“Ctrl+Alt+Del”键调出任务管理器，在进程中我发现一个名为“SystemIdleProcess”的进程，它往往占用了大部分CPU资源，经常是80%以上，请问为什么它占用了那么多资源？

　　答：

你误解了“SystemIdleProcess”进程的意思了，这里的80%并不是你所想的占用CPU的资源，恰恰相反的是这里的80%以上是CPU资源空闲了出来的。

这里的数字越大表示CPU可用资源越多，数字越小则表示CPU资源越紧张。

该进程是系统必须的，不能禁止哦。

 2、alg.exe系统进程介绍

进程文件:

algoralg.exe

　　进程名称:

应用层网关服务

　　描　　述:

这是一个应用层网关服务用于网络共享。

　　介　　绍：

一个网关通信插件的管理器，为“Internet连接共享服务”和“Internet连接防火墙服务”提供第三方协议插件的支持。

Internet连接共享（ICS）/Windows防火墙服务（ICF）的这个子组件对允许网络协议通过防火墙并在Internet连接共享后面工作的插件提供支持。

应用程序层网关（ALG）插件可以打开端口和更改嵌入在数据包内的数据（如端口和IP地址）。

文件传输协议（FTP）是唯一具有WindowsServer2003标准版和WindowsServer2003企业版附带的一个插件的网络协议。

ALGFTP插件旨在通过这些组件使用的网络地址转换（NAT）引擎来支持活动的FTP会话。

ALGFTP插件通过重定向所有通过NAT的流量和发送到通向环回适配器上3000到5000范围内的专用侦听端口的端口21的流量来支持这些会话。

ALGFTP插件随后监视并更新FTP控制通道流量，以便FTP插件能够通过FTP数据通道的NAT转发端口映射。

FTP插件还更新FTP控制通道流中的端口。

系统服务名称：

ALG应用程序协议　协议端口

　　　　　　　　FTP控制　　TCP　21　　

　　问：

我是ADSL宽带用户，平时常常下载电影，这几星期里我用网际快车下载电影的时候（下载的中段时候），老是出错：

“ALG.EXE文件挂起”。

我用的是XP系统，具体询问的问题如下：

1.ALG.EXE是什么文件？

为什么老是会挂起？

2.为什么挂起后就不可以下载了？

反映连接不上，但是其它上网都很正常如QQ、MSN、看网站，是一点问题也没有（就是不可以下载了，连FTP也不可以下载）。

3.重启以后就好了，但是不到五分钟又是ALG.EXE文件挂起，又不可以下载电影了。

我等着，一笑哥给我想想办法吧。

　　答：

ALG嘛，ApplicationLayerGatewayService是也，是WindowsXP的一个应用层网关服务，通过“控制面板|管理工具|服务”，你可以看到其具体解释是“为应用程序级协议插件提供支持并启用网络/协议连接”，在其上点击

右键，选择“属性|依存关系”，还可以发现“InternetConnection

Firewall（ICF）/InternetConnectionSharing（ICS）”需要依赖此服务，而ICF

和ICS也就是我们平时所说的XP中自带的防火墙和Internet连接共享。

由于ALG的特殊性，因此很多病毒都将自己伪装成ALG.EXE文件，以欺骗系统和使用电脑的朋友，因此经常挂起很可能与你中了病毒有关，建议你使用最新版的杀毒软件进行查杀，看系统是否有问题。

而在ALG.EXE挂起时，忘记快车不能够下载，是由于你启用了系统Internet连接的连接共享或者防火墙功能，ALG.EXE挂起导致这些功能失效，因此出现不能下载的情况。

你可以关闭Internet连接共享以及防火墙功能，看是否有类似问题再次出现。

 3、csrss.exe系统进程介绍

进程文件:

csrssorcsrss.exe

　　进程名称:

Client/ServerRuntimeServerSubsystem

　　描　　述:

客户端服务子系统，用以控制Windows图形相关子系统。

　　介　　绍:

这个是用户模式Win32子系统的一部分。

csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。

csrss用于维持Windows的控制，创建或者删除线程和一些16位的虚拟MS-DOS环境。

　　纯手工查杀木马csrss.exe

　　注意：

csrss.exe进程属于系统进程，这里提到的木马csrss.exe是木马伪装成系统进程，前两天突然发现在C:

\ProgramFiles\下多了一个rundll32.exe文件。

这个程序记得是关于登录和开关机的，不应该在这里，而且它的图标是98下notepad.exe的老记事本图标，在我的2003系统下面很扎眼。

但是当时我没有在意。

因为平时没有感到系统不稳定，也没有发现内存和CPU大量占用，网络流量也正常。

这两天又发现任务管理器里多了这个rundll32.exe和一个csrss.exe的进程。

它和系统进程不一样的地方是用户为Administrator，就是我登录的用户名，而非system，另外它们的名字是小写的，而由SYSTEM启动的进程都是大写的RUNDLL32.EXE和CSRSS.EXE，觉得不对劲。

然后按F3用资源管理器的搜索功能找csrss.exe，果然在C:

\Windows下，大小52736字节，生成时间为12月9日12:

37。

而真正的csrss.exe只有4k，生成时间是2003年3月27日12:

00，位于C:

\Windows\Syetem32下。

于是用超级无敌的UltraEdit打开它，发现里面有kavscr.exe，mailmonitor一类的字符，这些都是金山毒霸的进程名。

在该字符前面几行有SelfProtect的字符。

自我保护和反病毒软件有关的程序，不是病毒就是木马了。

灭！

试图用任务管理器结束csrss.exe进程失败，称是系统关键进程。

先进注册表删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相应值，注销重登录，该进程消失，可见它没有象3721那样加载为驱动程序。

然后要查找和它有关的文件。

仍然用系统搜索功能，查找12月9日生成的所有文件，然后看到12:

37分生成的有csrss.exe、rundll32.exe和kavsrc.exe，但kavsrc.exe的图标也是98下的记事本图标，它和rundll32.exe的大小都是33792字节。

此后在12:

38分生成了一个tmp.dat文件，内容是　　@echooff　debugC:

\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.datC:

\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out

　　copyC:

\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.datC:

\WINDOWS\system32\netstart.exe>C:

\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out

　　delC:

\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat>C:

\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out

　　delC:

\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in>C:

\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out

　　C:

\WINDOWS\system32\netstart.exe

　　好像是用debug汇编了一段什么程序，这年头常用debug的少见，估计不是什么善茬，因为商业程序员都用Delphi、PB等大程序写软件。

汇编大约进行了1分钟，在12:

39生成了netstart.exe、WinSocks.dll、netserv.exe和一个0字节的tmp.out文件。

netstart.exe大小117786字节，另两个大小也是52736字节。

前两个位于C:

\Windows\System32下，后两个在当前用户的Temp文件夹里。

这样我就知道为什么我的系统没有感染的表现了。

netstart.exe并没有一直在运行，因为我在任务管理器中没有见过它。

把这些文件都删除，我的办法是用winrar压缩并选中完成后删除源文件，然后在rar文件注释中做说明，放一个文件夹里，留待以后研究。

这个监狱里都是我的战利品，不过还很少。

现在木马已经清除了。

使用搜索引擎查找关于csrss.exe的内容，发现结果不少，有QQ病毒，传奇盗号木马，新浪游戏病毒，但是文件大小和我中的这个都不一样。

搜索netstart.exe只有一个日文网站结果，也是一个木马。

这个病毒是怎么进入我的电脑的呢？

搜索时发现在12月9日12:

36分生成了一个快捷方式，名为dos71cd.zip，它是我那天从某网站下载的DOS7.11版启动光盘，但是当时下载失败了。

现在看来根本就不是失败，是因为这个网站的链接本来就是一段网页注入程序，点击后直接把病毒下载来了。

4、ddhelp.exe系统进程介绍

　　进程文件:

ddhelporddhelp.exe

　　进程名称:

DirectDrawHelper

　　描　　述:

DirectDrawHelper是DirectX这个用于图形服务的一个组成部分。

　　简　　介：

Directx帮助程序

　　错误信息：

Ddhelp.exe导致模块Mgaxdd32.dll中出现无效页错误

　　症状

　　当使用WindowsMediaPlayer播放文件或运行DxDiag.exe工具时，您可能会看到以下错误信息：

Ddhelp.execausedaninvalidpagefaultinmoduleMgaxdd32.dllat015F:

BAAL521F（Ddhelp.exe在015F:

BAAL521F处导致Mgaxdd32.dll模块中出现无效页错误）

　　原因

　　如果您的计算机中装有以下任何项目，就可能会出现此问题：

?

MatroxMillenniumII视频适配器

　　MicrosoftDirectX6.1

　　不兼容的视频适配器

　　解决方案：

要解决此问题，请与视频适配器的生产厂商联系，以获得更新的视频驱动程序。

（重装新版的显卡驱动）

5、dllhost.exe系统进程介绍

　　进程文件:

dllhostordllhost.exe

　　进程名称:

DCOMDLLHost进程

　　描　　述:

DCOMDLLHost进程支持基于COM对象支持DLL以运行Windows程序。

　　介　　绍：

com代理，系统附加的dll组件越多，则dllhost占用的cpu资源和内存资源就越多，而8月的“冲击波杀手”大概让大家对它比较熟悉吧。

　　解决Web服务器出现的dllhost.exe错误

　　我的Web服务器出了问题。

一个弹出话框显示“dllhost.exe出现错误”。

当我查看应用事件日志时发现有很多ActiveServerPagesEvent5这样的错误。

它们在错误信息中显示为“line0内存溢出”。

这种错误以前每隔几天就发生一次，但现在是每隔几小时就发生一次。

重启后也只能维持一阵子。

你对此有什么看法吗？

我还没碰到过这种问题，但我在微软的参考信息中看到ExchangeOutlookWebAccess使用过程中描述过这样的错误。

（3.0方面问题的人的建议一样：

　　确保你有所有最新升级版和服务包。

　　在每个Web应用中允许进程隔离。

　　将应用程序升级到ASP.NET。

　　将Web服务器升级到WindowsServer2003。

　　了解真相dllhost.exe是病毒吗？

　　dllhost.exe解释

　　dllhost.exe是什么？

　　dllhost.exe是运行COM+的组件，即COM代理，运行Windows中的Web和FTP服务器必须有这个东西。

　　什么时候会出现dllhost.exe？

　　运行COM+组件程序的时候就会出现。

例如江民KV2004

　　冲击波杀手又是怎么一回事？

　　冲击波杀手借用了dllhost.exe作为进程名，但是由于Windows不允许同一个目录下有同名文件的存在，因此，冲击波杀手把病毒体：

dllhost.exe放到了C:

\Windows\System32\Wins目录里面（Windows2000是C:

\WINNT\System32\Wins，全部假设系统安装在C盘），但是真正的dllhost.exe应该放在C:

\Windows\System32（Windows2000是C:

\WINNT\System32）换句话说就是：

冲击波（Worm.WelChia）为了迷惑用户，避免病毒的执行体被进程管理器终止，采用了dllhost.exe这个和Windows组件一样的名字，但是并不是说进程里面出现dllhost.exe就等于感染了worm.welchia

　　再看看这里的FAQ吧

　　第一个误区————进程出现Dllhost.exe就等于中了病毒

　　Dllhost.exe是系统文件，但是进程里面出现Dllhost.exe进程不等于中了病毒

　　第二个误区————一见Dllhost.exe进程就杀死

　　其实这样做是不好的。

很多程序都需要Dllhost.exe，例如KV2004实时监控运行的时候或IIS在解析一些ASP文件的时候，进程中都会出现Dllhost.exe　　之所以大家恐惧Dllhost.exe进程，恐怕是由于冲击波（杀手）的问题。

其实冲击波（杀手）只不过采取了一个偷梁换柱的方法。

因为任务管理器里面无法看出进程中exe文件的路径，所以让大家在分析问题的时候出现一些偏差。

感染冲击波（杀手）的典型特征不是进程中出现Dllhost.exe，而是RPC服务出现问题（冲击波）和System32\wins目录里面出现svchost.exe和dllhost.exe文件（冲击波杀手）。

注意路径！

！

那么，Dllhost.exe是什么呢？

Dllhost.exe是COM+的主进程。

正常下应该位于system32目录里面和system32\dllcache目录里面。

而system32\wins目录里面是不会有dllhost.exe文件的。

6、Explorer.exe系统进程介绍

　　进程文件:

explorerorexplorer.exe

　　进程名称:

程序管理

　　描　　述:

WindowsProgramManager或者WindowsExplorer用于控制Windows图形Shell，包括开始菜单、任务栏，桌面和文件管理。

　　介　　绍：

这是一个用户的shell，在我们看起来就像任务条，桌面等等。

或者说它就是资源管理器，不相信你在运行里执行它看看。

它对windows系统的稳定性还是比较重要的，而红码也就是找它的麻烦，在c和d根下创建explorer.exe。

如何解决Explorer.exe意外退出的问题？

　　我的系统经常出现这个问题，先提示“Explorer.exehasencounteredaproblemandneedstoclose.Wearesorryfortheinconvenience.”然后Explorer.exe就自动退出，请问是什么原因呢？

我用的是WindowsXP系统。

谢谢。

你可能是因为WindowsXPSP2的问题，因为不清楚你的具体情况，所以并不能用最合适的方式解决这个问题，但是你可以在微软的相关文章找到和你的系统一致的状况，并找到最好的解决方案。

7、inetinfo.exe系统进程介绍

　　进程文件:

inetinfoorinetinfo.exe

　　进程名称:

IISAdminServiceHelper

　　描　　述:

InetInfo是MicrosoftInternetInfomationServices（IIS）的一部分，用于Debug调试除错。

　　介　　绍：

IIS服务进程，蓝码正是利用的inetinfo.exe的缓冲区溢出漏洞。

　　inetinfo.exe占用了100％的cpu解决方案

　　当我们在使用iis时，如果这时错误关机（停电等），重启机器后，再次使用iis，经常发现inetinfo.exe占用了100％的cpu，重装iis后，还是没用这个问题很多人的解决方案就是重装机器，之前我也是那么做的，只是我是从ghost恢复，但老这样做，似乎很麻烦。

终无我忍无可忍（这样的情况太多了，而且我的同时也经常碰到这样的问题）我就想，既然国内资料没法找到解决方案，国外的也可以试试吧。

经过两个多小时的努力，找到了解决方法：

其实很简单，使用windowsupdate更新一下电脑一下就行

　　inetinfo.exe进程占用高达100%

　　进程文件:

inetinfoorinetinfo.exe

　　进程名称:

IISAdminServiceHelper

　　InetInfo是MicrosoftInternetInfomationServices（IIS）的一部分，用于Debug调试除错。

　　可能原因很多:

　　1、IIS溢出入侵

　　默认情况下，IIS5.0服务器存在一个后缀为"printer"的应用程序映射，这个映射使用位于WINNTSystem32下的名为msw3prt.dll的动态库文件。

这个功能是用于基于Web控制的网络打印的，是Windows2000为InternetPrintingProtocol（IPP）协议而设置的应用程序功能。

不幸的是，这个映射存在一个缓冲区溢出错误，可以导致inetinfo.exe出错

　　解决方法：

删除printer的应用程序映射

　　2、shtml.dll

　　在FrontpageExtentionServer/Windows2000Server上输入一个不存在的文件将可以得到web目录的本地路径信息：

　　这样将返回以下信息：

　　Cannotopen"d:

inetpubwwwrootpostinfo1.html":

nosuchfileorfolder.

　　但是如果我们请求并非HTML、SHTML或者ASP后缀的文件，我们将会得到不同的信息：

http:

//207.69.190.42/_vti_bin/shtml.dll/something.exe

　　shtml.dll对较长的带html后缀的文件名都会进行识别和处理，利用这一点，可以对IIS服务器执行DOS攻击，使目标服务器的CPU占用率达到100%

　　解决方法：

禁用Frontpage扩展。

8、internat.exe系统进程介绍

　　进程文件:

internatorinternat.exe

　　进程名称:

InputLocales

　　描　　述:

这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。

internat.exe在启动的时候开始运行。

它加载由用户指定的不同的输入点。

输入点是从注册表的这个位置HKEY_USERS\.DEFAULT\KeyboardLayout\Preload加载内容的。

internat.exe加载“EN”图标进入系统的图标区，允许使用者可以很容易的转换不同的输入点。

当进程停掉的时候，图标就会消失，但是输入点仍然可以通过控制面板来改变。

　　介　　绍：

这里的internat很多人会误以为是网络什么有关的,其实不然,因为他和英特网internet差一字哦,这里这个internat是输入法图标的工具,一般本机只有一个输入法的都不需要运行这个.（任务栏里面的En图标）,它主要是用来控制输入法的，当你的任务栏没有“EN”图标，而系统有internat.exe进程，不妨结束掉该进程，在运行里执行internat命令即可。

在具有多个输入法区域设置的计算机上运行Riprep.exe时出现Internat.exe错误信息

　　QQ密码侦探1.1版木马程序会伪装成internat.exe进程

　　监听原理：

将监听程序伪装成windows的启动文件internat.exe，将原system目录内的同名文件拷入windows目录，将本目录文件更名为SMAXINTE.EXE从而实现启动隐身后台运行。

windows目录中的sqwin.ini是其运行记录文件。

注册表中新建3个主键　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SysTASK　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\SysTASK

发送的邮箱、密码个数等信息放在

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK

\Software\Services\Security\Common\SoftWare\ControlsFolder\Reconciliation\Policies\Retriction\Adspopware\ConnectionWizardExplorer\ShellServiceObjectDelayLoad\WindowsMessagingSubsystem\ProtectedStorage中

　　启动：

随系统启动，驻留后台运行

　　外在表现：

windows目录下存在internat.exe和sqwin.ini文件，system目录下internat.exe长度为196K，同时出现smaxinte.exe文件，长度大约37K。

　　对策：

删除WINDOWS目录中的internat.exe和sqwin.ini文件，因system中的监听程序正在运行，所以无法直接删除，可用下列方式进行删除：

　　1、用内存管理程序移掉内存中的IN