最基本
系统进程(也就是说
这些进程是系统运行基本条件有了这些进程系统就能正常运行): smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动
(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证
服务凭据(ticket)(系统服务) svchost.exe 包含很多系统服务
svchost.exe
SPOOLSV.EXE 将文件加载到内存中以便迟后打印
(系统服务) explorer.exe 资源管理器
ernat.exe 托盘区拼音图标 附加
系统进程(这些进程不是必要你可以根据需要通过服务管理器来增加或减少): mstask.exe 允许
在指定时间运行(系统服务) regsvc.exe 允许远程注册表操作
(系统服务) winmgmt.exe 提供系统管理信息(系统服务)
inetinfo.exe 通过 Internet 信息服务
管理单元提供 FTP 连接和管理(系统服务) tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台
(系统服务) 允许通过 Internet 信息服务
管理单元管理 Web 和 FTP 服务(系统服务) tftpd.exe 实现 TFTP Internet 标准
该标准不要求用户名和密码远程安装服务
部分(系统服务) termsrv.exe 提供多会话环境允许客户端设备访问虚拟
Windows 2000 Professional 桌面会话以及运行在服务器上基 于 Windows
(系统服务) dns.exe 应答对域名系统(DNS)名称
查询和更新请求(系统服务) 以下服务很少会用到
上面服务都对安全有害如果不是必要应该关掉 tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional
能力(系统服务) 支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day
(系统服务) ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息
(系统服务) ups.exe 管理连接到计算机
不间断电源(UPS)(系统服务) wins.exe 为注册和解析 NetBIOS 型名称
TCP/IP 客户提供 NetBIOS 名称服务(系统服务) llssrv.exe License Logging Service(system service)
ntfrs.exe 在多个服务器间维护文件目录内容
文件同步(系统服务) RsSub.exe 控制用来远程储存数据
媒体(系统服务) locator.exe 管理 RPC 名称服务数据库
(系统服务) lserver.exe 注册客户端许可证
(系统服务) dfssvc.exe 管理分布于局域网或广域网
逻辑卷(系统服务) clipsrv.exe 支持“剪贴簿查看器”
以便可以从远程剪贴簿查阅剪贴页面(系统服务) msdtc.exe 并列事务
是分布于两个以上数据库消息队列文件系统或其它事务保护资源管理器(系统服务) faxsvc.exe 帮助您发送和接收传真
(系统服务) cisvc.exe Indexing Service(system service)
dmadmin.exe 磁盘管理请求
系统管理服务(系统服务) mnmsrvc.exe 允许有权限
用户使用 NetMeeting 远程访问 Windows 桌面(系统服务) netdde.exe 提供动态数据交换 (DDE)
网络传输和安全特性(系统服务) smlogsvc.exe 配置性能日志和警报
(系统服务) [Page]rsvp.exe 为依赖质量服务(QoS)
和控制应用提供网络信号和本地通信控制安装功能(系统服务) RsEng.exe 协
来储存不常用数据服务和管理工具(系统服务) RsFsa.exe 管理远程储存
文件操作(系统服务) grovel.exe 扫描零备份存储(SIS)卷上
重复文件并且将重复文件指向个数据存储点以节省磁盘空间(系统服务) SCardSvr.exe 对插入在计算机智能卡阅读器中
智能卡进行管理和访问控制(系统服务) snmp.exe 包含代理
可以监视网络设备活动并且向网络控制台工作站汇报(系统服务) snmptrap.exe 接收由本地或远程 SNMP 代理
产生陷阱消息然后将消息传递到运行在这台计算机上 SNMP 管理 (系统服务) UtilMan.exe 从
个窗口中启动和配置辅助工具(系统服务) msiexec.exe 依据 .MSI 文件中包含
命令来安装、修复以及删除软件Software(系统服务) 详细介绍说明:
win2k运行进程
Svchost.exe
Svchost.exe文件对那些从动态连接库中运行
服务来说是个普通主机进程名Svhost.exe文件定位 在系统
%systemroot%system32文件夹下在启动时候Svchost.exe检查注册表中位置来构建需要 加载
服务列表这就会使多个Svchost.exe在同时间运行每个Svchost.exe回话期间都包含组服务 以至于单独
服务必须依靠Svchost.exe怎样和在那里启动这样就更加容易控制和查找
Svchost.exe 组是用下面
注册表值来识别 HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionSvchost
每个在这个键下
值代表个独立Svchost组并且当你正在看活动进程时它显示作为个单独 例子
每个键值都是REG_MULTI_SZ类型值而且包括运行在Svchost组内服务每个Svchost组都包含个 或多个从注册表值中选取
服务名这个服务参数值包含了个ServiceDLL值 HKEY_LOCAL_MACHINE
CurrentControlSetServicesService 更多
信息 为了能看到正在运行在Svchost列表中
服务 开始-运行-敲入cmd
然后在敲入 tlist -s (tlist 应该是win2k工具箱里
冬冬) Tlist 显示
个活动进程列表开关 -s 显示在每个进程中活动服务列表如果想知道更多有关 进程
信息可以敲 tlist pid Tlist 显示Svchost.exe运行
两个例子 0
Process 8
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,
LanmanWorkstation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,
TrkWks,W32Time,Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: Event
,Netman,NtmsSvc,RasMan,SENS,TapiSrv 580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager [Page]
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:WINNT5
32cmd.exe - tlist -s 1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在这个例子中注册表设置了两个组
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionSvchost:
netsvcs: Reg_Multi_SZ: Event
Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc rpcss :Reg_Multi_SZ: RpcSs
smss.exe
csrss.exe
这个是用户模式Win32子系统
部分csrss代表客户/服务器运行子系统而且是个基本子系统 必须
直运行csrss 负责控制windows创建或者删除线程和些16位虚拟MS-DOS环境 explorer.exe
这是
个用户shell(我实在是不知道如何翻译shell)在我们看起来就像任务条桌面等等这个 进程并不是像你想象
那样是作为个重要进程运行在windows中你可以从任务管理器中停掉它或者重新启动 通常不会对系统产生什么负面影响
ernat.exe 这个进程是可以从任务管理器中关掉
ernat.exe在启动时候开始运行它加载由用户指定区别输入点输入点是从注册表这个位置 HKEY_USERS.DEFAULTKeyboard LayoutPreload 加载内容
ernat.exe 加载“EN”图标进入系统图标区允许使用者可以很容易转换区别输入点 当进程停掉
时候图标就会消失但是输入点仍然可以通过控制面板来改变 lsass.exe
这个进程是不可以从任务管理器中关掉
这是
个本地安全授权服务并且它会为使用winlogon服务授权用户生成个进程这个进程是 通过使用授权
包例如默认msgina.dll来执行如果授权是成功lsass就会产生用户进入 令牌
令牌别使用启动
shell其他由用户化进程会继承这个令牌 mstask.exe
这个进程是不可以从任务管理器中关掉
这是
个任务调度服务负责用户事先决定在某时间运行任务运行 smss.exe
这个进程是不可以从任务管理器中关掉
这是
个会话管理子系统负责启动用户会话这个进程是通过系统进程化并且对许多活动 包括已经正在运行
WinlogonWin32(Csrss.exe)线程和设定系统变量作出反映在它启动这些 进程后
它等待Winlogon或者Csrss结束如果这些过程时正常系统就关掉了如果发生了什么 不可预料
事情smss.exe就会让系统停止响应(就是挂起) spoolsv.exe
这个进程是不可以从任务管理器中关掉
缓冲(spooler)服务是管理缓冲池中
打印和传真作业 service.exe
这个进程是不可以从任务管理器中关掉
大多数
系统核心模式进程是作为系统进程在运行 Idle Process 这个进程是不可以从任务管理器中关掉
这个进程是作为单线程运行在每个处理器上
并在系统不处理其他线程时候分派处理器时间 winlogon.exe
这个进程是管理用户登录和推出
而且winlogon在用户按下CTRL+ALT+DEL时就激活了显示安全对话框 winmgmt.exe
winmgmt是win2000客户端管理
核心组件当客户端应用连接或当管理需要他本身服务时这个进程化 [Page]taskmagr.exe
这个进程呀
哈哈就是任务管理器了 若有什么不周的处
还望指正. WIN2K_AS安全模式启动服务
C:WINNT
32WBEMWinMgmt.exeWindows Management Instrumentation提供系统管理信息 C:WINNTsystem32svchost -k rpcssRemote Procedure Call (RPC)提供终结点映射
(endpo mapper) 以及其它 RPC 服务 C:WINNTsystem32services.exePlug and Play管理设备安装以及配置
并且通知有关设备更改情况 C:WINNT
32services.exeLogical Disk Manager逻辑磁盘管理器监视狗服务 C:WINNTsystem32services.exeEvent Log记录
和 Windows 发送事件消息事件日志包含对诊断问题有所帮助信息您可以在“事件查看器”中查看报告 这个状态?#挥蠾inMgmt.exe svchost.exe services.exe 3个进程出现.
最新评论