Windows XP常见进程列表Word格式文档下载.docx

Windows XP常见进程列表Word格式文档下载.docx

《Windows XP常见进程列表Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《Windows XP常见进程列表Word格式文档下载.docx（53页珍藏版）》请在冰点文库上搜索。

允许通过Internet信息服务的管理单元管理Web和FTP服务。

tftpd.exe实现TFTPInternet标准。

该标准不要求用户名和密码。

远程安装服务的一部分。

termsrv.exe提供多会话环境允许客户端设备访问虚拟的Windows2000Professional桌面会话以及运行在服务器上的基于Windows的程序。

dns.exe应答对域名系统（DNS）名称的查询和更新请求。

--------------------

以下服务很少会用到，对安全有害，如果不是必要的应该关掉

tcpsvcs.exe提供在PXE可远程启动客户计算机上远程安装Windows2000

Professional的能力。

支持以下TCP/IP服务：

CharacterGenerator,Daytime,Discard,Echo,以及QuoteoftheDay。

ismserv.exe允许在WindowsAdvancedServer站点间发送和接收消息。

ups.exe管理连接到计算机的不间断电源（UPS）。

wins.exe为注册和解析NetBIOS型名称的TCP/IP客户提供NetBIOS名称服务。

llssrv.exeLicenseLoggingService（systemservice）

ntfrs.exe在多个服务器间维护文件目录内容的文件同步。

RsSub.exe控制用来远程储存数据的媒体。

locator.exe管理RPC名称服务数据库。

lserver.exe注册客户端许可证。

dfssvc.exe管理分布于局域网或广域网的逻辑卷。

clipsrv.exe支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。

msdtc.exe并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。

faxsvc.exe帮助您发送和接收传真。

cisvc.exeIndexingService（systemservice）

dmadmin.exe磁盘管理请求的系统管理服务。

mnmsrvc.exe允许有权限的用户使用NetMeeting远程访问Windows桌面。

netdde.exe提供动态数据交换（DDE）的网络传输和安全特性。

smlogsvc.exe配置性能日志和警报。

rsvp.exe为依赖质量服务（QoS）的程序和控制应用程序提供网络信号和本地通信控制安装功能。

RsEng.exe协调用来储存不常用数据的服务和管理工具。

RsFsa.exe管理远程储存的文件的操作。

grovel.exe扫描零备份存储（SIS）卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。

SCardSvr.exe对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。

snmp.exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。

snmptrap.exe接收由本地或远程SNMP代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上SNMP管理程序。

UtilMan.exe从一个窗口中启动和配置辅助工具。

msiexec.exe依据.MSI文件中包含的命令来安装、修复以及删除软件。

总结：

发现可疑进程的秘诀就是要多看任务管理器中的进程列表，看多了以后，一眼就可以发现可疑进程，就象找一群熟悉人中的陌生人一样。

=======================

另外啰嗦一下。

WindowsXP装上Sp2后进程添加的新丁:

control.exe---控制面板程序。

alg.exe---ApplicationLayerGatewayService应用层网关服务（防火墙）

wscenfy.exe---WindowsSecurityCenterNotificationApp安全中心警告程序

Wuauclt.exe---AutomaticUpdates自动升级

alg.exe就是微软windows防火墙。

虽然功能不是很强，但已经能满足用户的最基本要求了，它占的资源相当少。

wscenfy.exe就是微软的安全中心的通知程序了。

wscenfy.exe，在你系统安全设置存在风险的时候就会出现的。

你要想让它不出现，就得①安装杀毒软件，或者放弃监视。

②开启自动更新。

③开启防火墙，或者选择不监视防火墙。

否则这个东东就赖在任务栏了。

Wuauclt.exe是windowsXP的自动更新的程序了。

如果你没有开启自动升级的话就不会有这项进程了，而且就算你开启了它，它也不是任何时候都开启的。

Wuauclt.exe占用的资源也不算太小。

运行时内存占用达到了6m左右，好在自动升级不是每时每刻开着的。

但是如果你关闭了这个程序的话，呵呵。

wscenfy.exe就会启动，又是3m内存，呵呵。

时时刻刻通知你，该注意这事情了。

又得内存说话了。

========================

wdfmgrorwdfmgr.exe进程---WindowsDriverFoundationManager一般进程，MicrosoftWindowsmediaplayer10的一部分。

Svchost进程揭秘

在基于NT内核的Windows操作系统家族中，Svchost.exe是一个非常重要的进程。

很多病毒、木马驻留系统与这个进程密切相关，因此深入了解该进程是非常有必要的。

本文主要介绍Svchost进程的功能，以及与该进程相关的知识。

　　Svchost进程概述

　　微软对“Svchost进程”的定义是：

Svchost.exe是从动态链接库（DLL）中运行的服务的通用主机进程名称。

Svchost.exe文件位于“%SystemRoot%\System32”文件夹中。

当系统启动时，Svchost将检查注册表中的服务部分，以构建需要加载的服务列表。

Svchost的多个实例可以同时运行。

每个Svchost会话可以包含一组服务，以便根据Svchost的启动方式和位置的不同运行不同的服务，这样可以更好地进行控制且更加便于调试。

　　Svchost组是由注册表[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost]项来识别的。

在这个注册表项下的每个值都代表单独的Svchost组，并在我们查看活动进程时作为单独的实例显示。

这里的键值均为REG_MULTI_SZ类型的值，并且包含该Svchost组里运行的服务名称（如图1）。

图1注册表中的Svchost

　　实际上，Svchost只是作为服务的宿主，本身并不实现什么功能。

如果需要使用Svchost来启动某个DLL形式实现的服务，该DLL的载体Loader指向Svchost，在启动服务的时候由Svchost调用该服务的DLL来实现启动的目的。

使用Svchost启动某个服务的DLL文件是由注册表中的参数来决定的，在需要启动服务的注册表项下都有一个“Parameters”子项，其中的“ServiceDll”键值表明该服务由哪个DLL文件负责，并且这个DLL文件必须导出一个ServiceMain（）函数，为处理服务任务提供支持。

　　提示：

不同版本的Windows系统，存在不同数量的Svchost进程。

一般来说，Windows2000有两个Svchost进程，而WindowsXP则有四个或四个以上的Svchost进程。

　　Svchost进程实例讲解

　　要想查看在Svchost中运行服务的列表，可以在WindowsXP命令提示符窗口中输入“Tasklist/svc”命令后，回车执行（如果使用的是Windows2000，可用SupportTools提供的Tlist工具查看，命令为“Tlist-s”）。

Tasklist命令显示活动进程的列表，/svc命令开关指定显示每个进程中活动服务的列表。

从图中可以看到，Svchost进程启动很多系统服务，如：

RpcSs（RemoteProcedureCall）、Dhcp（DHCPClient）、Netman（NetworkConnections）服务等等（如图2）。

图2Svchost的服务列表

　　这里我们以RpcSs服务为例，来具体了解一下Svchost进程与服务的关系。

运行Regedit，打开注册表编辑器，依次展开[HKEY_LOCAL_MACHINE\SYSTEM\

　　CurrentControlSet\Services\RpcSs]分支，在“Parameters”子项中有个名为“ServiceDll”的键，其值为“%SystemRoot%\system32\rpcss.dll”。

这表示系统启动RpcSs服务时，调用“%SystemRoot%\system32”目录下的Rpcss.dll动态链接库文件。

　　接下来，从控制面板中依次双击“管理工具→服务”，打开服务控制台。

在右侧窗格中双击“RemoteProcedureCall（RPC）”服务项，打开其属性对话框，可以看到RpcSs服务的可执行文件的路径为“C:

\Windows\system32\svchost-krpcss”，这说明RpcSs服务是依靠Svchost启动的，“-krpcss”表示此服务包含在Svchost的Rpcss服务组中。

　　Svchost进程木马浅析

　　从前面的介绍我们已经知道，在注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current-Version\Svchost]分支中，存放着Svchost启动的组和组内的各项服务，很多木马和病毒正是利用这一点来实现自动加载的。

它们通常的方法有：

　　·

添加一个新的组，在组里添加服务名；

在现有的组里添加服务名或者利用现有组一个未安装的服务；

修改现有组里的服务，将它的ServiceDll指向自己的DLL文件。

　　例如PortLessBackDoor就是一款典型的利用Svchost进程加载的后门工具。

那么对于像PortLessBackDoor这样的木马、病毒，该如何检测并清除呢？

以WindowsXP为例，首先我们可以利用“进程间谍”这样的进程工具查看Svchost进程中的模块信息（如图3），并与之前的模块信息比较，可以发现Svchost进程中有一个可疑的DLL文件“SvchostDLL.dll”。

同时，在“管理工具→服务”列表中会看到一项新的服务“IntranetServices”（显示名称），此服务名称为：

Iprip，由Svchost启动，“-knetsvcs”表示此服务包含在Netsvcs服务组中。

图3Svchost进程中的模块信息

在Windows2000中，系统的Iprip服务侦听由使用RoutingInformation协议版本1（RIPv1）的路由器发送的路由更新信息，在服务列表中显示的名称为“RIPListener”。

　　运行Regedit，打开注册表编辑器，展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

　　Services\IPRIP]分支，查看其“Parameters”子项，其中“ServiceDll”键值指向调用的DLL文件路径和全称，这正是后门的DLL文件。

知道了这些，就可以动手清除了：

在服务列表用右键单击“IntranetServices”服务，从菜单中选择“停止”，然后在上述注册表分支中删除“Iprip”项。

重新启动计算机，再按照“ServiceDll”键值提示的位置删除后门程序主文件即可。

最后需要提醒读者的是，对注册表进行修改前，应做好备份工作，以便出现错误时能够及时还原。

实用才是硬道理--Windows必备十大工具

1、MagicSet（超级兔子魔法设置）

　　从对系统的设置和优化看，一台电脑必须有这只兔子帮忙，它的功能虽然不及国外的一些工具强大，但它是中文界面，便于操作。

这对于初学者和修改系统属性的操作来说，都是至关重要的，毕竟我们追求的应该还是稳定性，而超常发挥功效只是次要的，魔法兔子在这方面已经做得很好了。

面对一台刚刚装好系统的机器，我们要做的是清理注册表垃圾，删除一些无用的自启动程序，对硬盘和光盘进行优化，从而达到更好的运行效果，你会发现，一些常用的设置已经不用进入控制面板了，比如卸载软件这个经常用到的工具，在兔子魔法设置里被增强了，不仅仅是卸载，在不动注册表的前提下，我们可以删除一些无用的卸载信息，真是方便（图1）。

图1

　　2、Windows优化大师

　　Windows优化大师是一款出色的系统优化、检测软件，绝对是不可多得的精品！

它由Windows系统医生；

Windows内存整理；

Windows进程管理；

快猫加鞭；

自动优化向导等软件模块组成。

适用于各种Windows平台，能够为您的系统提供全面有效而简便的优化、维护和清理手段，让您的电脑系统始终保持在最佳状态。

Windows优化大师具有以下十大功能：

系统信息检测、磁盘优化、菜单速度优化、文件系统优化、网络优化、黑客和病毒程序扫描和免疫、进程管理、注册表优化、文件清理、开机优化和个性化设置，而且每一个功能都做得非常出色。

这么说吧，您想到的它给您提供了，您没想到的它也为您提供了，强烈推荐（图2）！

图2

　　3、SpeedDisk

　　经常使用电脑，一定搞得硬盘碎片成堆，严重影响运行速度，这时候需要进行磁盘碎片整理了。

很多人对Windows自带的这个附件很是反感，于是开始选用其他的工具，诺顿的SpeedDisk则是一款不错的选择，因为我喜欢在整理碎片的时候也要听音乐，而它下好自带播放wav的功能。

从结果来看，经它整理后的分区没有任何碎片，而Windows自带的则很多。

另外，很多人推崇VoptXP，它主要是由于速度快，同样的工作，它只需要SpeedDisk整理的1/10的时间，速度是可以了，但是质量呢？

毕竟我们还是要看看它的实际利用价值，经过实际测试，表明VoptXP效果非常不好，整理后还有很多碎片残余，真是失望，毕竟鱼与熊掌不能兼得啊！

　　4、Finaldata

　　误删除文件怎么办？

任它丢失？

不，我们可以将丢失的信息拯救回来，Finaldata是这类软件的一匹黑马，记得最初来自韩国，后来卖到日本三菱，好像最近要被国内代理了，确实是一个好东西。

使用起来非常简单，最终版本为Win9x和NT/2000两种，它可以将格式化后的文件恢复，即使是一个月以前删除的也能够恢复，但是要注意，如果进行了多次的磁盘碎片整理，成功率会相对降低，这和软件的工作原理有关。

　　5、PartitionMagicPro

　　拿到硬盘第一件事情做什么？

当然是分区了，但是Fdisk的功能太少了，不足以满足现在的大容量硬盘。

如果在Windows系统下继续进行整理，将会更加有效的利用硬盘空间，PartitionMagicPro可以进行各种操作，比如重新分区、合并分区、移动空间等，简直将硬盘玩弄于股掌之间。

　　6、WinRescue

　　一提起备份，大家一定会想到Ghost，但是经过实际使用一段时间，发现Ghost恢复的系统经常会有这样那样的问题，虽然速度很快，省去了重装各种软件的麻烦，但随之而来的是无穷无尽的死机，所以这样的系统备份不是个办法，而且局限于相同的机器。

如果克隆到其他的机器上，由于配置没，问题会更多。

这时就需要另一种备份方法——逐个击破，意思是可以把收藏夹、我的文档、注册表之类逐一备份，使得它们是独立的，这样恢复起来也很简单，而且不必担心会有安全隐患，何乐而不为呢？

WinRescue就是这样的一个工具。

　　7、BadCopyPRO

　　它是一个烂盘（光盘、软盘）复制利器，可以最大限度地拯数据。

它在复制数据时，如果遇到无法读取的位置，会自动跳过去，并自动填充数据到目标文件；

该程序还专门针对使用软盘的入添加了新功能。

其实，笔者很早就用BadCopy系列软件了，那时候真的为我换回了不少难以读取的信息，BadCopyPRO就更不会让人失望了（图3）。

图3

　　8、RegRun

　　RegRun是一个系统安全保护工具，功能十分强大。

这个软件以很好地控制诸如由注册表，系统文件，下载，或用户定义载入的自动运行程序。

同时通过对系统所有进程进行实时监测，RegRun能够有效地检测到隐藏在系统中的木马程序，病毒或其他来路不明的程序。

RegRun在其他程序启动前激活它的功能，如果有变化发生则向用户发出警告。

用户还可以从系统启动时自动运行的程序中清除自己不愿运行的程序，通过选择自己的启动预设方案，或调整启动进程可以获得一个清洁的系统启动。

使用该软件的最大的好处就是对系统中的文件和注册表的变化能做到心中有数！

　　9、木马克星

　　木马克星是一款国产查杀木马软件，它对国产木马的查杀堪称第一。

木马克星可以查杀五千多种国际木马，一百多种电子邮件木马，保证查杀冰河类文件关联木马，QQ类寄生木马，ICMP类幽灵木马，网络神偷类反弹木马；

并且内置木马防火墙，任何黑客试图与本机建立连接，都需要木马克星确认，不仅可以查杀木马，更可以查黑客。

该软件是动态监视网络与静态特征字扫描的完美结合，可以查杀木马种类非常多，尤为难得的是对国产木马的查杀效果非常好，对新木马的反映速度非常快！

并且占用系统资源也不多。

使用它可以查杀木马，这样网络安全就有保证了（图4）。

图4

　　10、天网个人防火墙

　　天网防火墙个人版可以帮你抵挡网络入侵和攻击，防止信息泄露，并可与天网的开发者的网站相配合，根据可疑的攻击信息，来找到攻击者。

同时天网防火墙个人版把网络分为本地网和互联网，可以针对来自不同网络的信息，来设置不同的安全方案，它适合于在拨号上网的用户，也适合通过网络共享软件上网的用户。

天网防火墙是国产软件的骄傲，对付各种攻击应付自如，如果你希望你的网络生活能更安全些，那么上网时就运行天网个人防火墙吧（图5）！

图5

　　以上介绍的软件，可以到

WinXP虚拟内存的标准设置方法

虚拟内存的作用是什么？

到底设置多少为好？

本文就来对它进行详细的介绍。

以下所有步骤均以Windows

XP操作系统为例。

打造虚拟内存的“标准间”

　　当系统运行时，先要将所需的指令和数据从外部存储器（如硬盘、软盘、光盘等）调入内存中，CPU

再从内存中读取指令或数据进行运算，并将运算结果存入内存中，内存所起的作用就像一个“二传手”的

作用。

当运行一个程序需要大量数据、占用大量内存时，内存这个仓库就会被“塞满”，而在这个“仓库

”中总有一部分暂时不用的数据占据着有限的空间，所以要将这部分“惰性”的数据“请”出去，以腾出

地方给“活性”数据使用。

这时就需要新建另一个后备“仓库”去存放“惰性”数据。

由于硬盘的空间很

大，所以微软Windows操作系统就将后备“仓库”的地址选在硬盘上，这个后备“仓库”就是虚拟内存。

在默认情况下，虚拟内存是以名为Pagefile.sys的交换文件保存在硬盘的系统分区中。

手动设置虚拟内存

　　在默认状态下，是让系统管理虚拟内存的，但是系统默认设置的管理方式通常比较保守，在自动调节

时会造成页面文件不连续，而降低读写效率，工作效率就显得不高，于是经常会出现“内存不足”这样的

提示，下面就让我们自已动手来设置它吧。

　　①用右键点击桌面上的“我的电脑”图标，在出现的右键菜单中选择“属性”选项打开“系统属性”

窗口。

在窗口中点击“高级”选项卡，出现高级设置的对话框；

　　②点击“性能”区域的“设置”按钮，在出现的“性能选项”窗口中选择“高级”选项卡，打开其对

话框。

　③在该对话框中可看到关于虚拟内存的区域，点击“更改”按钮进入“虚拟内存”的设置窗口。

选择

一个有较大空闲容量的分区，勾选“自定义大小”前的复选框，将具体数值填入“初始大小”、“最大值

”栏中，而后依次点击“设置→确定”按钮即可，最后重新启动计算机使虚拟内存设置生效。

　　　建议：

可以划分出一个小分区专门提供给虚拟内存、IE临时文件存储等使用，以后可以对该分区定期进行磁盘整理，从而能更好提高计算机的工作效率。

量身定制虚似内存

　　1.普通设置法

　　根据一般的设置方法，虚拟内存交换文件最小值、最大值同时都可设为内存容量的1.5倍，但如果内

存本身容量比较大，比如内存是512MB，那么它占用的空间也是很可观的。

所以我们可以这样设定虚拟内

存的基本数值：

内存容量在256MB以下，就设置为1.5倍；

在512MB以上，设置为内存容量的一半；

介于256

MB与512MB之间的设为与内存容量相同值。

　　2.精准设置法

　　由于每个人实际操作的应用程序不可能一样，比如有些人要运行3DMAX、Photoshop等这样的大型程序

，而有些人可能只是打打字、玩些小游戏，所以对虚拟内存