|
一个运行中的系统究竟跑了那些进程?这些进程都是作什么用的?那些进程比较可疑?小弟在这里就板门弄斧了说明一下wink server在运行中的进程有错误的地方请高手指正谢谢 Svchostexe Svchostexe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名Svhostexe文件定位在系统的%systemroot%\system文件夹下在启动的时候Svchostexe检查注册表中的位置来构建需要加载的服务列表这就会使多个Svchostexe在同一时间运行每个Svchostexe的回话期间都包含一组服务以至于单独的服务必须依靠Svchostexe怎样和在那里启动这样就更加容易控制和查找错误 Svchostexe 组是用下面的注册表值来识别 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost 每个在这个键下的值代表一个独立的Svchost组并且当你正在看活动的进程时它显示作为一个单独的 例子每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务每个Svchost组都包含一个或多个从注册表值中选取的服务名这个服务的参数值包含了一个ServiceDLL值 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service 更多的信息 为了能看到正在运行在Svchost列表中的服务开始-运行-敲入cmd 然后在敲入 tlist s (tlist 应该是wink工具箱里的冬冬) Tlist 显示一个活动进程的列表开关 s 显示在每个进程中的活动服务列表如果想知道更多的关于 进程的信息可以敲tlist pid Tlist 显示Svchostexe运行的两个例子 System Process System smssexe csrssexe Title: winlogonexe Title: NetDDE Agent servicesexe Svcs: AppMgmtBrowserDhcpdmserverDnscacheEventloglanmanserverLanmanWorkstationLmHostsMessengerPlugPlayProtectedStorageseclogonTrkWksWTimeWmi lsassexe Svcs: NetlogonPolicyAgentSamSs svchostexe Svcs: RpcSs spoolsvexe Svcs: Spooler cisvcexe Svcs: cisvc svchostexe Svcs: EventSystemNetmanNtmsSvcRasManSENSTapiSrv regsvcexe Svcs: RemoteRegistry mstaskexe Svcs: Schedule snmpexe Svcs: SNMP winmgmtexe Svcs: WinMgmt cidaemonexe Title: OleMainThreadWndName explorerexe Title: Program Manager OSAEXE Title: Reminder cmdexe Title: D:\WINNT\System\cmdexe tlist s MAPISPEXE Title: WMS Idle rundllexe Title: mmcexe Title: Device Manager tlistexe 在这个例子中注册表设置了两个组 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost: netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc rpcss :Reg_Multi_SZ: RpcSs smssexe csrssexe 这个是用户模式Win子系统的一部分csrss代表客户/服务器运行子系统而且是一个基本的子系统 必须一直运行csrss 负责控制windows创建或者删除线程和一些位的虚拟MSDOS环境 explorerexe 这是一个用户的shell(我实在是不知道怎么翻译shell)在我们看起来就像任务条桌面等等这个 进程并不是像你想象的那样是作为一个重要的进程运行在windows中你可以从任务管理器中停掉它或者重新启动通常不会对系统产生什么负面影响 internatexe 这个进程是可以从任务管理器中关掉的internatexe在启动的时候开始运行它加载由用户指定的不同的输入点输入点是从注册表的这个位置 HKEY_USERS\DEFAULT\Keyboard Layout\Preload 加载内容的 internatexe 加载EN图标进入系统的图标区允许使用者可以很容易的转换不同的输入点当进程停掉的时候图标就会消失但是输入点仍然可以通过控制面板来改变 lsassexe 这个进程是不可以从任务管理器中关掉的这是一个本地的安全授权服务并且它会为使用winlogon服务的授权用户生成一个进程这个进程是通过使用授权的包例如默认的msginadll来执行的如果授权是成功的lsass就会产生用户的进入令牌令牌别使用启动初始的shell其他的由用户初始化的进程会继承这个令牌的 mstaskexe 这个进程是不可以从任务管理器中关掉的这是一个任务调度服务负责用户事先决定在某一时间运行的任务的运行 smssexe 这个进程是不可以从任务管理器中关掉的这是一个会话管理子系统负责启动用户会话这个进程是通过系统进程初始化的并且对许多活动的包括已经正在运行的WinlogonWin(Csrssexe)线程和设定的系统变量作出反映在它启动这些 进程后它等待Winlogon或者Csrss结束如果这些过程时正常的系统就关掉了如果发生了什么不可预料的事情smssexe就会让系统停止响应(就是挂起) spoolsvexe 这个进程是不可以从任务管理器中关掉的缓沖(spooler)服务是管理缓沖池中的打印和传真作业 serviceexe 这个进程是不可以从任务管理器中关掉的大多数的系统核心模式进程是作为系统进程在运行 System Idle Process 这个进程是不可以从任务管理器中关掉的这个进程是作为单线程运行在每个处理器上并在系统不处理其他线程的时候分派处理器的时间 taskmagrexe 这个进程是可以在任务管理器中关掉的这个进程就是任务管理器 winlogonexe 这个进程是管理用户登录和推出的而且winlogon在用户按下CTRL+ALT+DEL时就激活了显示安全对话框 winmgmtexe winmgmt是win客户端管理的核心组件当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化 |
