系统进程详解.docx

系统进程详解.docx

《系统进程详解.docx》由会员分享，可在线阅读，更多相关《系统进程详解.docx（20页珍藏版）》请在冰点文库上搜索。

系统进程详解

1.基本系统进程

    Csrss.exe：

这是子系统服务器进程，负责控制Windows创建或删除线程以及16位的虚拟DOS环境。

　　SystemIdleProcess：

这个进程是作为单线程运行在每个处理器上，并在系统不处理其它线程的时候分派处理器的时间。

　　Smss.exe：

这是一个会话管理子系统，负责启动用户会话。

　　Services.exe：

系统服务的管理工具。

　　Lsass.exe：

本地的安全授权服务。

　　Explorer.exe：

资源管理器。

　　Spoolsv.exe：

管理缓冲区中的打印和传真作业。

　　Svchost.exe：

这个进程要着重说明一下，有不少朋友都有这种错觉：

若是在“任务管理器”中看到多个Svchost.exe在运行，就觉得是有病毒了。

其实并不一定，系统启动的时候，Svchost.exe将检查注册表中的位置来创建需要加载的服务列表，如果多个Svchost.exe同时运行，则表明当前有多组服务处于活动状态；多个DLL文件正在调用它。

2.常见系统进程解释

systemprocess

进程文件:

systemprocess

进程名称:

Windows内存处理系统进程

描述:

Windows页面内存管理进程，拥有0级优先。

是否为系统进程:

是

alg.exe

进程文件:

algoralg.exe

进程名称:

应用层网关服务

描述:

这是一个应用层网关服务用于网络共享。

是否为系统进程:

是

csrss.exe

进程文件:

csrssorcsrss.exe

进程名称:

Client/ServerRuntimeServerSubsystem

描述:

客户端服务子系统，用以控制Windows图形相关子系统。

是否为系统进程:

是

ddhelp.exe

进程文件:

ddhelporddhelp.exe

进程名称:

DirectDrawHelper

描述:

DirectDrawHelper是DirectX这个用于图形服务的一个组成部分。

是否为系统进程:

是

dllhost.exe

进程文件:

dllhostordllhost.exe

进程名称:

DCOMDLLHost进程

描述:

DCOMDLLHost进程支持基于COM对象支持DLL以运行Windows程序。

是否为系统进程:

是

inetinfo.exe

进程文件:

inetinfoorinetinfo.exe

进程名称:

IISAdminServiceHelper

描述:

InetInfo是MicrosoftInternetInfomationServices（IIS）的一部分，用于Debug调试除错。

是否为系统进程:

是

internat.exe

进程文件:

internatorinternat.exe

进程名称:

InputLocales

描述:

这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。

是否为系统进程:

是

kernel32.dll

进程文件:

kernel32orkernel32.dll

进程名称:

Windows壳进程

描述:

Windows壳进程用于管理多线程、内存和资源。

是否为系统进程:

是

lsass.exe

进程文件:

lsassorlsass.exe

进程名称:

本地安全权限服务

描述:

这个本地安全权限服务控制Windows安全机制。

是否为系统进程:

是

mdm.exe

进程文件:

mdmormdm.exe

进程名称:

MachineDebugManager

描述:

Debug除错管理用于调试应用程序和MicrosoftOffice中的MicrosoftScriptEditor脚本编辑器。

是否为系统进程:

是

mmtask.tsk

进程文件:

mmtaskormmtask.tsk

进程名称:

多媒体支持进程

描述:

这个Windows多媒体后台程序控制多媒体服务，例如MIDI。

是否为系统进程:

是

mprexe.exe

进程文件:

mprexeormprexe.exe

进程名称:

Windows路由进程

描述:

Windows路由进程包括向适当的网络部分发出网络请求。

是否为系统进程:

是

msgsrv32.exe

进程文件:

msgsrv32ormsgsrv32.exe

进程名称:

Windows信使服务

描述:

Windows信使服务调用Windows驱动和程序管理在启动。

是否为系统进程:

是

mstask.exe

进程文件:

mstaskormstask.exe

进程名称:

Windows计划任务

描述:

Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。

是否为系统进程:

是

regsvc.exe

进程文件:

regsvcorregsvc.exe

进程名称:

远程注册表服务

描述:

远程注册表服务用于访问在远程计算机的注册表。

是否为系统进程:

是

rpcss.exe

进程文件:

rpcssorrpcss.exe

进程名称:

RPCPortmapper

描述:

Windows的RPC端口映射进程处理RPC调用（远程模块调用）然后把它们映射给指定的服务提供者。

是否为系统进程:

是

services.exe

进程文件:

servicesorservices.exe

进程名称:

WindowsServiceController

描述:

管理Windows服务。

是否为系统进程:

是

smss.exe

进程文件:

smssorsmss.exe

进程名称:

SessionManagerSubsystem

描述:

该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。

是否为系统进程:

是

snmp.exe

进程文件:

snmporsnmp.exe

进程名称:

MicrosoftSNMPAgent

描述:

Windows简单的网络协议代理（SNMP）用于监听和发送请求到适当的网络部分。

是否为系统进程:

是

spool32.exe

进程文件:

spool32orspool32.exe

进程名称:

PrinterSpooler

描述:

Windows打印任务控制程序，用以打印机就绪。

是否为系统进程:

是

spoolsv.exe

进程文件:

spoolsvorspoolsv.exe

进程名称:

PrinterSpoolerService

描述:

Windows打印任务控制程序，用以打印机就绪。

是否为系统进程:

是

stisvc.exe

进程文件:

stisvcorstisvc.exe

进程名称:

StillImageService

描述:

StillImageService用于控制扫描仪和数码相机连接在Windows。

是否为系统进程:

是

svchost.exe

进程文件:

svchostorsvchost.exe

进程名称:

ServiceHostProcess

描述:

ServiceHostProcess是一个标准的动态连接库主机处理服务。

是否为系统进程:

是

system

进程文件:

systemorsystem

进程名称:

WindowsSystemProcess

描述:

MicrosoftWindows系统进程。

是否为系统进程:

是

taskmon.exe

进程文件:

taskmonortaskmon.exe

进程名称:

WindowsTaskOptimizer

描述:

windows任务优化器监视你使用某个程序的频率，并且通过加载那些经常使用的程序来整理优化硬盘。

是否为系统进程:

是

tcpsvcs.exe

进程文件:

tcpsvcsortcpsvcs.exe

进程名称:

TCP/IPServices

描述:

TCP/IPServicesApplication支持透过TCP/IP连接局域网和Internet。

是否为系统进程:

是

winlogon.exe

进程文件:

winlogonorwinlogon.exe

进程名称:

WindowsLogonProcess

描述:

WindowsNT用户登陆程序。

是否为系统进程:

是

winmgmt.exe

进程文件:

winmgmtorwinmgmt.exe

进程名称:

WindowsManagementService

描述:

WindowsManagementService透过WindowsManagementInstrumentationdata（WMI）技术处理来自应用客户端的请求。

是否为系统进程:

是

Windows进程详解！

！

简述以下

以下以WindowsXP系统为例介绍

1.最基本的系统进程

此类系统进程是系统运行的必备条件，只有这些进程处于活动状态，系统才能正常运行。

因此，它们是不能被结束任务的。

winlogon.exe：

管理用户登录。

csrss.exe：

这是子系统服务器进程，负责控制Windows创建或删除线程以及16位的虚拟DOS环境。

SystemIdleProcess：

这个进程是作为单线程运行在每个处理器上，并在系统不处理其它线程的时候分派处理器的时间。

smss.exe：

这是一个会话管理子系统，负责启动用户会话。

services.exe：

这是系统服务管理工具，包含很多系统服务。

lsass.exe：

这是一个本地的安全授权服务，管理IP安全策略以及启动ISAKMP/Oakley（IKE）和IP安全驱动程序。

explorer.exe：

资源管理器。

SPOOLSV.EXE：

管理缓冲区中的打印和传真作业，将文件加载到内存中以便迟后打印。

svchost.exe：

系统启动的时候，Svchost.exe将检查注册表中的位置来创建需要加载的服务列表。

多个Svchost.exe如果同时运行，则表明当前有多组服务处于活动状态，多个DLL文件在调用它。

2.附加的系统进程

附加的系统进程不是必需要运行的，可以根据服务管理的需要来结束相关进程。

mstask.exe：

允许程序在指定时间运行。

regsvc.exe：

允许远程注册表操作。

winmgmt.exe：

提供系统管理信息。

inetinfo.exe：

通过Internet信息服务的管理单元提供FTP连接和管理。

tlntsvr.exe：

允许远程用户登录到系统并且使用命令行运行控制台程序。

tftpd.exe：

实现TFTPInternet标准。

该标准不要求用户名和密码。

远程安装服务的一部分。

termsrv.exe：

提供多会话环境允许客户端设备访问虚拟的Windows2000Professional桌面会话以及运行在服务器上的基于Windows的程序。

dns.exe：

应答对域名系统（DNS）名称的查询和更新请求。

以上提及的系统进程若处于运行状态，则多少会威胁到系统安全，只在需要时开启相应服务即可。

而其余的系统服务则很少会用到，就不再多述了。

首先简单的了解一下什么是进程,进程是程序在一个数据集合上运行的过程（注:

一个程序有可能同时属于多个进程）,它是操作系统进行资源分配和调度的一个独立单位,进程可以简单的分为系统进程（包括一般Windows程序和服务进程）和用户进程。

简单的说,凡是用于完成操作系统的各种功能的进程就是系统进程，它们就是处于运行状态下的操作系统本身；而用户进程就是由用户启动的进程。

在Windows下，进程又被细化为线程，也就是一个进程下有多个能独立运行的更小的单位。

和程序所不同的是,程序是静止的,而进程是动态的,在Windows这样的多任务操作系统中,为了准确描述多道程序在并发执行时多道程序的资源分配的动态性,程序执行的间断性,相互通信的可能性以及同步互斥的必要性等等动态特性,所以引入进程的形式参与系统的并发执行。

现在来具体看看Windows进程都有哪些,它们的具体作用是什么

一:

系统进程[systemprocess]  

1:

系统必要进程

systemprocess  

  进程文件:

[systemprocess]or[systemprocess]

  进程名称:

Windows内存处理系统进程

  描述:

Windows页面内存管理进程，拥有0级优先。

alg.exe    

  进程文件：

algoralg.exe

  进程名称：

应用层网关服务

  描述：

这是一个应用层网关服务用于网络共享

csrss.exe    

  进程文件：

csrssorcsrss.exe

  进程名称：

Client/ServerRuntimeServerSubsystem

  描述：

客户端服务子系统，用以控制Windows图形相关子系统。

ddhelp.exe  

  进程文件:

ddhelporddhelp.exe

  进程名称:

DirectDrawHelper

  描述:

DirectDrawHelper是DirectX这个用于图形服务的一个组成部分。

dllhost.exe  

  进程文件：

dllhostordllhost.exe

  进程名称：

DCOMDLLHost进程

  描述：

DCOMDLLHost进程支持基于COM对象支持DLL以运行Windows程序

explorer.exe  

  进程文件：

explorerorexplorer.exe

  进程名称：

程序管理

  描述：

WindowsProgramManager或者WindowsExplorer用于控制Windows图形Shell，包括开始菜单、任务栏，桌面和文件管理。

这个进程主要负责显示系统桌面上的图标以及任务栏

inetinfo.exe  

  进程文件:

inetinfoorinetinfo.exe

  进程名称:

IISAdminServiceHelper

  描述:

InetInfo是MicrosoftInternetInfomationServices（IIS）的一部分，用于Debug调试除错。

internat.exe  

  进程文件:

internatorinternat.exe

  进程名称:

InputLocales

  描述:

这个输入控制图标用于更改类似国家设置、键盘类型和日期格式

kernel32.dll  

  进程文件:

kernel32orkernel32.dll

  进程名称:

Windows壳进程

  描述:

Windows壳进程用于管理多线程、内存和资源

lsass.exe    

  进程文件：

lsassorlsass.exe

  进程名称：

本地安全权限服务

  描述：

这个本地安全权限服务控制Windows安全机制。

进程详解：

管理IP安全策略以及启动ISAKMP/Oakley（IKE）和IP安全驱动程序。

（系统服务）产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据（ticket）,也就是本地安全权限服务,属于Windowsde的核心进程之一,也被黑客千方百计的寻找漏洞,大名鼎鼎的震荡波利用的就是其中一个漏洞,

mdm.exe    

  进程文件:

mdmormdm.exe

  进程名称:

MachineDebugManager

  描述:

Debug除错管理用于调试应用程序和MicrosoftOffice中的MicrosoftScriptEditor脚本编辑器

mmtask.tsk    

  进程文件:

mmtaskormmtask.tsk

  进程名称:

多媒体支持进程

  描述:

这个Windows多媒体后台程序控制多媒体服务

mprexe.exe    

  进程文件:

mprexeormprexe.exe

  进程名称:

Windows路由进程

  描述:

Windows路由进程包括向适当的网络部分发出网络请求

msgsrv32.exe  

  进程文件:

msgsrv32ormsgsrv32.exe

  进程名称:

Windows信使服务

  描述:

Windows信使服务调用Windows驱动和程序管理在启动

mstask.exe  

  进程文件:

mstaskormstask.exe

  进程名称:

Windows计划任务

  描述:

Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行

regsvc.exe    

  进程文件:

regsvcorregsvc.exe

  进程名称:

远程注册表服务

  描述:

远程注册表服务用于访问在远程计算机的注册表

rpcss.exe    

  进程文件:

rpcssorrpcss.exe

  进程名称:

RPCPortmapper

  描述:

Windows的RPC端口映射进程处理RPC调用（远程模块调用）然后把它们映射给指定的服务提供者

services.exe    

  进程文件：

servicesorservices.exe

  进程名称：

WindowsServiceController

  描述：

管理Windows服务

smss.exe    

  进程文件:

smssorsmss.exe

  进程名称:

SessionManagerSubsystem

  描述:

该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程

snmp.exe    

  进程文件:

snmporsnmp.exe

  进程名称:

MicrosoftSNMPAgent

  描述:

Windows简单的网络协议代理（SNMP）用于监听和发送请求到适当的网络部分

spool32.exe    

  进程文件:

spool32orspool32.exe

  进程名称:

PrinterSpooler

  描述:

Windows打印任务控制程序，用以打印机就绪

spoolsv.exe    

  进程文件：

spoolsvorspoolsv.exe

  进程名称：

PrinterSpoolerService

  描述：

Windows打印任务控制程序，用以打印机就绪

stisvc.exe    

  进程文件:

stisvcorstisvc.exe

  进程名称:

StillImageService

  描述:

StillImageService用于控制扫描仪和数码相机连接在Windows

svchost.exe    

  进程文件：

svchostorsvchost.exe

  进程名称：

ServiceHostProcess

  描述：

ServiceHostProcess是一个标准的动态连接库主机处理服务。

  进程详解：

Svchost.exe是一个系统的核心进程，并不是病毒进程。

但由于Svchost.exe进程的特殊性，所以病毒也会千方百计的入侵Svchost.exe。

通过察看Svchost.exe进程的执行路径可以确认是否中毒Svchost.exe是从动态链接库（DLL）中运行的服务的通用主机进程名称。

其实Svchost.exe是WindowsXP系统的一个核心进程。

Svchost.exe不单单只出现在WindowsXP中，在使用NT内核的Windows系统中都会有Svchost.exe的存在。

一般在Windows2000中Svchost.exe进程的数目为2个，而在WindowsXP中Svchost.exe进程的数目就上升到了4个及4个以上。

所以看到系统的进程列表中有几个Svchost.exe不用那么担心。

如果你怀疑计算机有可能被病毒感染，Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。

一般只会找到一个在：

“C:

WindowsSystem32”目录下的Svchost.exe程序。

如果你在其他目录下发现Svchost.exe程序的话，那很可能就是中毒了。

taskmgr.exe    

  进程文件：

taskmgrortaskmgr.exe

  进程名称：

TheWindowsTaskManager

  描述：

Windows任务管理器,是Windows任务管理执行者

taskmon.exe  

  进程文件:

taskmonortaskmon.exe

  进程名称:

WindowsTaskOptimizer

  描述:

windows任务优化器监视你使用某个程序的频率，并且通过加载那些经常使用的程序来整理优化硬盘

tcpsvcs.exe    

  进程文件:

tcpsvcsortcpsvcs.exe

  进程名称:

TCP/IPServices

  描述:

TCP/IPServicesApplication支持透过TCP/IP连接局域网和Internet

winlogon.exe  

  进程文件：

winlogonorwinlogon.exe

  进程名称：

WindowsLogonProcess

  描述：

WindowsNT用户登陆程序。

winmgmt.exe  

  进程文件:

winmgmtorwinmgmt.exe

  进程名称:

WindowsManagementService

  描述:

WindowsManagementService透过WindowsManagementInstrumentationdata（WMI）技术处理来自应用客户端的请求

wuauclt.exe    

  进程文件：

wuaucltorwuauclt.exe

  进程名称：

AutoUpdateforWindows

  描述：

Windows自动升级,

  进程详解：

Wuauclt.exe是主管Windows自动升级的系统进程.可以在线检测最近Windows更新如果你没有开启自动升级的话就不会有这项进程了，而且就算你开启了它，它也不是任何时候都开启的

wuauc.exe    

  进程文件：

wuaucorwuauc.exe

  进程名称：

AutomaticUpdates自动升级

  进程描述：

wuauc.exe为Windows管理自动更新。

这个程序自动检查最近Windows的更新.

SystemIdleProcess

absr.exe

  进程文件:

absrorabsr.exe

  进程名称:

Backdoor.Autoupd