XP系統(tǒng)進程知多少?
很多朋友在使用XP操作系統(tǒng)時總是抱怨速度很慢,老是死機。排除硬件上面的緣故不說,就要從系統(tǒng)進程里找找毛病了。但進程那么多,而且都英文字符又沒有詳細介紹,誰知道哪個跟哪個,一不小心刪錯了還會造成系統(tǒng)不穩(wěn)定。不急,今天會讓你清清楚楚,明明白白。
進程也就是當前計算機運行的程序,包括前臺的和后臺的。在XP中,進程主要分為關(guān)鍵進程,應(yīng)用程序進程,服務(wù)進程以及后臺程序進程。關(guān)鍵進程也叫系統(tǒng)進程,是指操作系統(tǒng)自身必須要執(zhí)行的程序,在一般情況下不允許用戶結(jié)束。應(yīng)用程序進程就不用說了,當然是指當前運行的應(yīng)用程序。服務(wù)進程是系統(tǒng)進程的擴展,包括網(wǎng)絡(luò)服務(wù)和本地服務(wù),主要是提供給用戶方便的操作。后臺程序進程指隱藏運行的軟件,什么監(jiān)控軟件啦,掃描軟件啦,木馬程序啦,病毒啦,這一類都是。簡單了解之后,將基本進程列出來,供大家研究和參考。
System Idle Process:
Windows頁面內(nèi)存管理進程,該進程擁有0級優(yōu)先。它作為單線程運行在每個處理器上,并在系統(tǒng)不處理其他線程的時候分派處理器的時間。它的cpu占用率越大表示可供分配的CPU資源越多,數(shù)字越小則表示CPU資源緊張。
ALG.EXE:
這是一個應(yīng)用層網(wǎng)關(guān)服務(wù)用于網(wǎng)絡(luò)共享。它一個網(wǎng)關(guān)通信插件的管理器,為“Internet連接共享服務(wù)”和“Internet連接防火墻服務(wù)”提供第三方協(xié)議插件的支持。
csrss.exe:
Client/Server Runtime ServerSubsystem,客戶端服務(wù)子系統(tǒng),用以控制Windows圖形相關(guān)子系統(tǒng)。正常情況下在WindowsNT4/2000/XP/2003系統(tǒng)中只有一個CSRSS.EXE進程,正常位于System32文件夾中,若以上系統(tǒng)中出現(xiàn)兩個(其中一個位于Windows文件夾中),或在Windows 9X/Me系統(tǒng)中出現(xiàn)該進程,則是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。另外,目前新浪利用了系統(tǒng)漏洞傳播的一個類似于病毒的小插件,它會產(chǎn)生名為nmgamex.dll、sinaproc327.exe、csrss.exe三個常駐文件,并且在系統(tǒng)啟動項中自動加載,在桌面產(chǎn)生一個名為“新浪游戲總動園”的快捷方式,不僅如此,新浪還將Nmgamex.dll文件與系統(tǒng)啟動文件rundll32.exe進行綁定,并且偽造系統(tǒng)文件csrss.exe,產(chǎn)生一個同名的文件與系統(tǒng)綁定加載到系統(tǒng)啟動項內(nèi),無法直接關(guān)閉系統(tǒng)進程后刪除。手工清除方法:先先修改注冊表,清除名為啟動項:NMGameX.dll、csrss.exe,然后刪除System32NMGameX.dll、System32sinaproc327.exe和WindowsNMWizardA14.exe三個文件,再修改Windows文件夾中的任意一個文件名,從新啟動計算機后刪除修改過的csrss.exe文件。
ddhelp.exe:
DirectDraw Helper是DirectX這個用于圖形服務(wù)的一個組成部分,DirectX幫助程序。
dllhost.exe:
DCOM DLL Host進程支持基于COM對象支持DLL以運行Windows程序。如果該進程常常出錯,那么可能感染W(wǎng)elchia病毒。
explorer.exe:
Windows Explorer用于控制Windows圖形Shell,包括開始菜單、任務(wù)欄,桌面和文件管理。這是一個用戶的shell,在我們看起來就像任務(wù)條,桌面等等。或者說它就是資源管理器,不相信你在運行里執(zhí)行它看看。它對Windows系統(tǒng)的穩(wěn)定性還是比較重要的,而紅碼也就是找它的麻煩,在c和d根下創(chuàng)建explorer.exe。
inetinfo.exe:
IIS Admin Service Helper,InetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用于Debug調(diào)試除錯。IIS服務(wù)進程,藍碼正是利用的inetinfo.exe的緩沖區(qū)溢出漏洞。
internat.exe:
Input Locales,它主要是用來控制輸入法的,當你的任務(wù)欄沒有“EN”圖標,而系統(tǒng)有internat.exe進程,不妨結(jié)束掉該進程,在運行里執(zhí)行internat命令即可。這個輸入控制圖標用于更改類似國家設(shè)置、鍵盤類型和日期格式。internat.exe在啟動的時候開始運行。它加載由用戶指定的不同的輸入點。輸入點是從注冊表的這個位置HKEY_USERS.DEFAULTKeyboard LayoutPreload 加載內(nèi)容的。internat.exe 加載“EN”圖標進入系統(tǒng)的圖標區(qū),允許使用者可以很容易的轉(zhuǎn)換不同的輸入點。當進程停掉的時候,圖標就會消失,但是輸入點仍然可以通過控制面板來改變。
lsass.exe:
本地安全權(quán)限服務(wù)控制Windows安全機制。管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動程序等。它會為使用winlogon服務(wù)的授權(quán)用戶生成一個進程。這個進程是通過使用授權(quán)的包,例如默認的msgina.dll來執(zhí)行的。如果授權(quán)是成功的,lsass就會產(chǎn)生用戶的進入令牌,令牌別使用啟動初始的shell。其他的由用戶初始化的進程會繼承這個令牌的。而windows活動目錄遠程堆棧溢出漏洞,正是利用LDAP 3搜索請求功能對用戶提交請求缺少正確緩沖區(qū)邊界檢查,構(gòu)建超過1000個"AND"的請求,并發(fā)送給服務(wù)器,導(dǎo)致觸發(fā)堆棧溢出,使Lsass.exe服務(wù)崩潰,系統(tǒng)在30秒內(nèi)重新啟動。這里請記住該進程的正常路徑為C:WINDOWSsystem32,一些病毒,如W32.Nimos.Worm病毒會在其它位置模仿LSASS.EXE來運行。
mdm.exe:
Machine Debug Manager,Debug除錯管理用于調(diào)試應(yīng)用程序和Microsoft Office中的Microsoft Script Editor腳本編輯器。Mdm.exe的主要工作是針對應(yīng)用軟件進行排錯(Debug),說到這里,扯點題外話,如果你在系統(tǒng)見到fff開頭的0字節(jié)文件,它們就是mdm.exe在排錯過程中產(chǎn)生一些暫存文件,這些文件在操作系統(tǒng)進行關(guān)機時沒有自動被清除,所以這些fff開頭的怪文件里是一些后綴名為CHK的文件都是沒有用的垃圾文件,可以任意刪除而不會對系統(tǒng)產(chǎn)生不良影響。對9X系統(tǒng),只要系統(tǒng)中有Mdm.exe存在,就有可能產(chǎn)生以fff開頭的怪文件??梢园聪旅娴姆椒ㄗ屜到y(tǒng)停止運行Mdm.exe來徹底刪除以fff開頭的怪文件:首先按“Ctrl+Alt+Del”組合鍵,在彈出的“關(guān)閉程序”窗口中選中“Mdm”,按“結(jié)束任務(wù)”按鈕來停止Mdm.exe在后臺的運行,接著把Mdm.exe(在System目錄下)改名為Mdm.bak。運行msconfig程序,在啟動頁中取消對“Machine Debug Manager”的選擇。這樣可以不讓Mdm.exe自啟動,然后點擊“確定”按鈕,結(jié)束msconfig程序,并重新啟動電腦。另外,如果你使用IE 5.X以上版本瀏覽器,建議禁用腳本調(diào)用(點擊“工具→Internet選項→高級→禁用腳本調(diào)用”),這樣就可以避免以fff開頭的怪文件再次產(chǎn)生。
[page_break]
rpcss.exe:
Windows 的RPC端口映射進程處理RPC調(diào)用(遠程模塊調(diào)用)然后把它們映射給指定的服務(wù)提供者。它不是在裝載解釋器時或引導(dǎo)時啟動,如果使用中有問題,可以直接在在注冊表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices添加"字符串值",定向到"C:WINDOWSSYSTEMRPCSS"即可。
services.exe:
Windows Service Controller,管理Windows服務(wù)。大多數(shù)的系統(tǒng)核心模式進程是作為系統(tǒng)進程在運行。打開管理工具中的服務(wù),可以看到有很多服務(wù)都是在調(diào)用service.exe。
smss.exe:
Session Manager Subsystem,該進程為會話管理子系統(tǒng)用以初始化系統(tǒng)變量,MS-DOS驅(qū)動名稱類似LPT1以及COM,調(diào)用Win32殼子系統(tǒng)和運行在Windows登陸過程。它是一個會話管理子系統(tǒng),負責(zé)啟動用戶會話。這個進程是通過系統(tǒng)進程初始化的并且對許多活動的,包括已經(jīng)正在運行的Winlogon,Win32(Csrss.exe)線程和設(shè)定的系統(tǒng)變量作出反映。在它啟動這些進程后,它等待Winlogon或者Csrss結(jié)束。如果這些過程時正常的,系統(tǒng)就關(guān)掉了。如果發(fā)生了什么不可預(yù)料的事情,smss.exe就會讓系統(tǒng)停止響應(yīng)(掛起)。要注意:如果系統(tǒng)中出現(xiàn)了不只一個smss.exe進程,而且有的smss.exe路徑是"%WINDIR%SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒,這是一種Windows下的PE病毒,它采用VB6編寫 ,是一個自動訪問某站點的木馬病毒。該病毒會在注冊表中多處添加自己的啟動項,還會修改系統(tǒng)文件WIN.INI,并在[WINDOWS]項中加入"RUN" = "%WINDIR%SMSS.EXE"。手工清除時請先結(jié)束病毒進程smss.exe,再刪除%WINDIR%下的smss.exe文件,然后清除它在注冊表和WIN.INI文件中的相關(guān)項即可。
snmp.exe:
Microsoft SNMP Agent,Windows簡單的網(wǎng)絡(luò)協(xié)議代理(SNMP)用于監(jiān)聽和發(fā)送請求到適當?shù)木W(wǎng)絡(luò)部分。負責(zé)接收SNMP請求報文,根據(jù)要求發(fā)送響應(yīng)報文并處理與WinsockAPI的接口。
spool32.exe:
Printer Spooler,Windows打印任務(wù)控制程序,用以打印機就緒。
stisvc.exe:
Still Image Service用于控制掃描儀和數(shù)碼相機連接在Windows。
svchost.exe
:Service Host Process是一個標準的動態(tài)連接庫主機處理服務(wù)。Svchost.exe文件對那些從動態(tài)連接庫(DLL)中運行的服務(wù)來說是一個普通的主機進程名。Svhost.exe文件定位在系統(tǒng)的Windowssystem32文件夾下。在啟動的時候,Svchost.exe檢查注冊表中的位置來構(gòu)建需要加載的服務(wù)列表。這就會使多個Svchost.exe在同一時間運行。Windows 2000一般有2個Svchost進程,一個是RPCSS(Remote Procedure Call)服務(wù)進程,另外一個則是由很多服務(wù)共享的一個Svchost.exe;而在windows XP中,則一般有4個以上的Svchost.exe服務(wù)進程;Windows 2003 server中則更多。Svchost.exe是一個系統(tǒng)的核心進程,并不是病毒進程。但由于Svchost.exe進程的特殊性,所以病毒也會千方百計的入侵Svchost.exe。通過察看Svchost.exe進程的執(zhí)行路徑可以
關(guān)鍵詞:XP,系統(tǒng)進程
閱讀本文后您有什么感想? 已有 人給出評價!
- 1
- 1
- 1
- 2
- 1
- 1