知识<4>:Windows XP 系统进程详解
一、正常启动下应有的进程:1.可终止的:
Svchost.exe 仅位于x:windowssytem32下。启动时,依据以下注册表来加载:HKEY_LOCAL_MACHINE\SOFTWAREMICROSOFTWINDOWS NTCURRENTVERSIONSCHOST, 每个键值都是REG_MULTI_SZ类型,包括多个运行服务。
Explorer.exe 资源管理器,一旦终止会自动重新加载,否则会呈死机状态。
Ctfmon.exe(internat.exe)是输入法图标。
2.不可终止的:
Lsass.exe是本地安全授权服务。为winlogon所产生的用户生成一个进程。
Csrss.exe 子服务器进程。使用户模式Win32的一部分,负责控制创建和终止线程和16位MS-DOS。
Smss.exe 会话管理子系统。为系统变量做出反应。
Spoolsv.exe 缓冲服务。管理缓冲池中打印和传真作业。
Service.exe 核心系统服务。大多数系统核心进程包含于此。
System idle process 处理器分派。于每一个CPU上作为单线程。(支持多处理器的Windows系统和单处理器的系统区别就在此)
Winlogon.exe 用户登陆管理。这是XP盗版的破解之处,管理登陆和注销。
二、附加进程:
Alg.exe Internet防火墙:为家庭或小型办公网络提供网络地址转换,定址以及名称解析和/或防止入侵服务。
Dns.exe 解析和缓冲域名服务:为此计算机解析和缓冲域名系统 (DNS) 名称。如果此服务被停止,计算机将不能解析 DNS 名称并定位 Active Directory 域控制器。如果此服务被禁用,任何明确依赖它的服务将不能启动。
Locator.exe远程过程调用 (RPC): 管理 RPC 名称服务数据库。一种能允许分布式应用程序调用网络上不同计算机的可用服务的消息传递实用程序。在计算机的远程管理期间使用。
Mnmsrvc.exe NetMeeting 远程桌面共享:允许经过授权的用户用 NetMeeting 在公司 intranet 上远程访问这台计算机。如果服务被停止,远程桌面共享将不可用。如果服务被禁用,依赖这个服务的任何服务都会无法启动。
Mstask.exe 计划任务:使用户能在此计算机上配置和制定自动任务的日程。如果此服务被终止,这些任务将无法在日程时间里运行。如果此服务被禁用,任何依赖它的服务将无法启动。
Regsvc.exe 远程注册表:使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表。如果此服务被禁用,任何依赖它的服务将无法启动。
Smlogsvc.exe 配置性能日志和警报:启用在事件查看器查看基于 Windows 的程序和组件颁发的事件日志消息。无法终止此服务。
Tlntsvc.exe 远程登录:允许远程用户登录到此计算机并运行程序,并支持多种 TCP/IP Telnet 客户,包括基于 UNIX 和 Windows 的计算机。如果此服务停止,远程用户就不能访问程序,任何直接依靠它的服务将会启动失败。
Termsrv.exe 终端服务:允许多位用户连接并控制一台机器,并且在远程计算机上显示桌面和应用程序。这是远程桌面(包括管理员的远程桌面)、快速用户转换、远程协助和终端服务器的基础结构。
三、应用程序进程:
wmplayer.exe 媒体播放器
WINWORD.EXE Word
realsched.exe Realplayer中心
fxssvc.exe 传真服务
mmc.exe 控制台
realplay.exe Realplayer
taskgr.exe 任务管理器
IEXPLORE.EXE IE浏览器
Windows优化大师.exe windows优化大师
等等,不再一一列举。
依据进程,可以中止多数病毒的运行。再找的其文件所在位置,就可以杀除。
[楼 主] | Posted: 2005-03-30 15:59
nxvd
级别: 富农
精华: 8
发帖: 1877
威望: 0
菜籽: 4318
菜币: 0
在线时间:0(小时)
注册时间:2005-03-21
最后登录:2005-08-10
mss.exesessionmanager
csrss.exe 子系统服务器进程
winlogon.exe管理用户登录
services.exe包含很多系统服务
lsass.exe 管理 ip 安全策略以及启动 isakmp/oakley (ike) 和 ip 安全驱动程序。
svchost.exe windows 2000/xp 的文件保护系统
spoolsv.exe 将文件加载到内存中以便迟后打印。)
explorer.exe资源管理器
internat.exe托盘区的拼音图标)
mstask.exe允许程序在指定时间运行。
regsvc.exe允许远程注册表操作。(系统服务)->remoteregister
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exemsftpsvc,w3svc,iisadmn
tlntsvr.exe tlnrsvr
tftpd.exe 实现 tftp internet 标准。该标准不要求用户名和密码。
termsrv.exe termservice
dns.exe 应答对域名系统(dns)名称的查询和更新请求
tcpsvcs.exe 提供在 pxe 可远程启动客户计算机上远程安装 windows 2000 professional 的能力
ismserv.exe 允许在 windows advanced server 站点间发送和接收消息
ups.exe 管理连接到计算机的不间断电源(ups
wins.exe为注册和解析 netbios 型名称的 tcp/ip 客户提供 netbios 名称服务
llssrv.exe证书记录服务
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步
rssub.exe 控制用来远程储存数据的媒体
locator.exe 管理 rpc 名称服务数据库
lserver.exe 注册客户端许可证
dfssvc.exe管理分布于局域网或广域网的逻辑卷
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统或其它事务保护护资源管理器
faxsvc.exe帮助您发送和接收传真
cisvc.exe 索引服务
dmadmin.exe 磁盘管理请求的系统管理服务
mnmsrvc.exe 允许有权限的用户使用 netmeeting 远程访问 windows 桌面
netdde.exe提供动态数据交换 (dde) 的网络传输和安全特性
smlogsvc.exe配置性能日志和警报
rsvp.exe为依赖质量服务(qos)的程序和控制应用程序提供网络信号和本地通信控制安装功功能
rseng.exe 协调用来储存不常用数据的服务和管理工具
rsfsa.exe 管理远程储存的文件的操作
grovel.exe扫描零备份存储(sis)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间(只对 ntfs 文件系统有用)
scardsvr.ex 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制
[[i] 本帖最后由 阿宣 于 2006-12-30 14:59 编辑 [/i]] 老大,拜托下次复制的时候把人家的个人信息删除掉
级别: 富农
精华: 8
发帖: 1877
威望: 0
菜籽: 4318
菜币: 0
在线时间:0(小时)
注册时间:2005-03-21
最后登录:2005-08-10 Svchost.exe
我对这个是又疼又爱的。。。
唉。。。我前段时间 中招 全是因为他 自己搞定 也全是靠了它!!!
一些DLL也是全靠它 唉 。。。。
页:
[1]
