標簽:系統進程
(1)[系統空閑進程]
進程文件:[系統進程]或[系統進程]
進程名稱:Windows內存處理系統進程
描述:Windows頁面內存管理進程,優先級為0。
簡介:這個進程在每個處理器上作為壹個單獨的線程運行,當系統不處理其他線程時,它分配處理器時間。cpu利用率越大,可供分配的CPU資源越多,數字越小,CPU資源越緊張。
(2)[alg.exe]
工藝文件:阿爾戈爾alg.exe
流程名稱:應用層網關服務
描述:這是壹個應用層網關服務,用於網絡娛樂。
簡介:壹個網關通信插件的管理器,為“互聯網連接* * *服務”和“互聯網連接防火墻服務”提供第三方協議插件的支持。
(3)[csrss.exe]
過程文件:csrss.exe csrssor
進程名:客戶機/服務器運行時服務器子系統
描述:客戶服務子系統用於控制Windows圖形相關子系統。
簡介:這是用戶模式Win32子系統的壹部分。Csrss代表客戶機/服務器運行子系統,是壹個必須壹直運行的基本子系統。Csrss用於維護對窗口的控制,創建或刪除線程以及壹些16位的虛擬MS-DOS環境。
(4)[ddhelp.exe]
進程文件:ddhelp.exe
進程名稱:DirectDraw助手
描述:DirectDraw Helper是DirectX的壹個組成部分,用於圖形服務。
簡介:Directx helper
⑸[dllhost.exe]
進程文件:dll hostor dllhost.exe
進程名稱:DCOM DLL宿主進程
描述:DCOM DLL宿主進程支持基於COM對象的DLL來運行Windows程序。
導讀:com代理,系統中加入的dll組件越多,dllhost占用的cpu和內存資源就越多,八月的“沖擊波殺手”大概也讓大家耳熟能詳了。
⑹[explorer.exe]
進程文件:資源管理器或explorer.exe
流程名稱:項目管理
描述:Windows程序管理器或Windows資源管理器用於控制Windows圖形外殼,包括開始菜單、任務欄、桌面和文件管理。
邵傑:這是壹個用戶外殼,對我們來說就像壹個任務欄、桌面等等。或者只是壹個資源管理器。我不相信妳能在運行中執行它。對windows系統的穩定性還是很重要的,紅碼就是找它的麻煩,在C和D根下創建explorer.exe。
(7)[inetinfo.exe]
進程文件:inetinfo或inetinfo.exe
進程名稱:IIS管理服務幫助程序
說明:InetInfo是微軟互聯網信息服務(IIS)的壹部分,用於調試和調試。
簡介:IIS服務進程,藍色代碼是利用了inetinfo.exe的緩沖區溢出漏洞。
(八)[internat.exe]
過程文件:internat.exe內部
流程名稱:輸入區域設置
描述:此輸入控制圖標用於更改類似的國家設置、鍵盤類型和日期格式。Internat.exe在啟動時開始運行。它加載用戶指定的不同輸入點。輸入點從註冊表中的這個位置HKEY _用戶加載內容。默認\ KeyboardLayout \ preload。Internat.exe將“EN”圖標加載到系統的圖標區域,允許用戶輕松切換不同的輸入點。過程停止時,圖標消失,但仍可通過控制面板更改輸入點。
簡介:主要用於控制輸入法。當妳的任務欄上沒有“EN”圖標,而系統中有壹個internat.exe進程時,妳還不如在運行時結束該進程並執行internat命令。
(九)[kernel32.dll]
過程文件:內核32或kernel32.dll
進程名稱:Windows外殼進程
描述:Windows shell進程用於管理多線程、內存和資源。
更多內容瀏覽非法操作及Kernel32解讀
(10)[lsass.exe]
工藝文件:lsass.exe教授
進程名稱:本地安全權限服務
描述:此本地安全權限服務控制Windows安全機制。管理IP安全策略並啟動ISAKMP/奧克利(IKE)和IP安全驅動程序。
簡介:這是壹個本地安全授權服務,它將為使用winlogon服務的授權用戶生成壹個進程。這個過程是通過使用壹個授權的包來執行的,例如默認的msgina.dll。如果授權成功,lsass將生成用戶的入口令牌,而不是使用初始shell。其他用戶啟動的進程將繼承此令牌。而windows Active Directory的遠程堆棧溢出漏洞正是由於對用戶使用LDAP 3的搜索請求功能提交的請求缺乏正確的緩沖區邊界檢查,構造了超過1000個“和”請求並發送到服務器,導致堆棧溢出、Lsass.exe服務崩潰和系統在30秒內重啟。
(11)[mdm.exe]
工藝文件:MDMOR mdm.exe
進程名稱:機器調試管理器
說明:Debug調試管理用於調試應用程序和Microsoft Office中的Microsoft Script Editor腳本編輯器。
簡介:Mdm.exe的主要工作是調試應用軟件。說到這,跑題了,如果妳在系統中看到fff開頭的0字節文件,那是mdm.exe在調試時生成的壹些臨時文件。這些文件在操作系統關閉時不會自動清除,所以fff開頭的壹些奇怪的文件是沒用的垃圾文件,可以用來改韻。x系統,只要系統中有Mdm.exe,就有可能產生以fff開頭的奇怪文件。可以通過以下方式停止系統運行MDM.exe徹底刪除以fff開頭的陌生文件:首先按Ctrl+Alt+Del,在彈出的關閉程序窗口中選擇Mdm,按結束任務按鈕,停止Mdm.exe在後臺的運行,然後重命名Mdm。Exe(在C:\Windows\System目錄下)到Mdm.bak .運行msconfig程序,在啟動頁面取消選擇“機器調試管理器”。這樣,妳就可以阻止Mdm.exe自己啟動,然後點擊“確定”結束msconfig程序,重新啟動計算機。另外,如果使用IE 5以上的瀏覽器。x、建議禁用腳本調用(點擊“工具→互聯網選項→高級→禁用腳本調用”),避免以fff開頭的奇怪文件再次出現。
(12)[mmtask.tsk]
進程文件:mmtask或mmtask.tsk
流程名稱:多媒體支持流程
描述:此Windows多媒體後臺程序控制多媒體服務,如MIDI。
邵傑:這是壹個任務調度服務,負責用戶預先決定在某個時間運行的任務的操作。
(13)[mprexe.exe]
過程文檔:mprexe.exe教授
進程名稱:Windows路由進程
描述:Windows路由過程包括向適當的網絡部分發出網絡請求。
簡介:這是Windows的32位網絡接口服務進程文件,是網絡客戶端組件啟動的核心。在我的印象中,“A-311特洛伊(特洛伊。A-311.104)”還會在內存中建立壹個mprexe.exe進程,可以通過資源管理結束該進程。
(14)[msgsrv32.exe]
工藝文件:msgsrv32or或msgsrv32.exe
進程名稱:Windows Messenger服務
描述:Windows Messenger服務在啟動時調用Windows驅動程序和程序管理。
簡介:管理信息窗口在msgsrv32.exe的應用。如果win9x下聲卡或顯卡的驅動配置不正確,會導致死機或提示msgsrv32.exe出錯。
(15)[mstask.exe]
進程文件:MSTASK或mstask.exe
進程名稱:Windows計劃任務
描述:Windows計劃任務用於設置何時備份或運行繼承。
簡介:安排任務,任務通過註冊表啟動。因此,通過調度任務啟動的程序在系統信息中看不到它的文件名。壹旦從註冊表中刪除或禁用它,所有通過計劃任務啟動的程序都不能自動運行。當系統在win9X下啟動時,將啟動計劃任務。您可以通過雙擊計劃任務圖標-高級-終止計劃任務來阻止它啟動。此外,攻擊者在攻擊過程中還經常使用規劃任務,包括上傳文件、升級權限、植入後門、清理腳印等等。
(16)[regsvc.exe]
進程文件:regsvc.exe註冊公司
進程名稱:遠程註冊表服務
描述:遠程註冊表服務用於訪問遠程計算機上的註冊表。
(17)[rpcss.exe]
過程文件:rpcssor rpcss.exe
進程名稱:RPC端口映射程序
描述:Windows中的RPC端口映射進程處理RPC調用(遠程模塊調用),然後將它們映射到指定的服務提供程序。
簡介:98加載或引導解釋程序時,它不會啟動。使用中如有問題,可直接登錄HKEY _本地_機器\軟件\微軟\ Windows \當前版本\運行。
HKEY _本地_機器\軟件\微軟\ Windows \當前版本\運行服務添加“字符串值”並指向“C:\ Windows \系統\RPCSS”。
(18)[services.exe]
流程文件:服務或services.exe
進程名稱:Windows服務控制器
描述:管理Windows服務。
簡介:大多數系統內核模式進程都是作為系統進程運行的。在管理工具中打開服務,可以看到很多服務都在調用% systemroot % \ system32 \ service.exe。
(19)[smss.exe]
工藝文件:smss.exe或SMSS
進程名稱:會話管理器子系統
描述:會話管理子系統使用該進程來初始化系統變量。MS-DOS驅動程序名稱類似於LPT1和COM,它調用Win32外殼子系統並在Windows登錄進程中運行。
簡介:這是壹個會話管理子系統,負責啟動用戶會話。該進程由系統進程初始化並響應許多活動,包括已經在運行並設置系統變量的Winlogon、Win32(Csrss.exe)線程。啟動這些進程後,它會等待Winlogon或Csrss完成。如果這些過程正常,則系統關閉。如果發生意外,smss.exe會讓系統停止響應(也就是掛斷)。
(20)[snmp.exe]
進程文件:SNMP或snmp.exe
進程名稱:Microsoft SNMP代理
描述:Windows簡單網絡協議代理(SNMP)用於偵聽並向適當的網絡部分發送請求。
簡介:負責接收SNMP請求消息,根據需要發送響應消息,處理與WinsockAPI的接口。
(21)[spool32.exe]
工藝文件:線軸32或spool32.exe
進程名稱:打印機假脫機程序
描述:Windows打印任務控制程序,用於讓打印機準備就緒。
(22)[spoolsv.exe]
流程文件:斯波爾沃spoolsv.exe
進程名稱:打印機後臺打印程序服務
描述:Windows打印任務控制程序,用於讓打印機準備就緒。
簡介:假脫機服務用於管理緩沖池中的打印和傳真作業。
(23)[stisvc.exe]
工藝文件:stisvc.exe Stisvcor
進程名稱:靜止圖像服務
描述:靜止圖像服務用於控制Windows中掃描儀和數碼相機之間的連接。
(24)[svchost.exe]
過程文件:svchostor svchost.exe
進程名稱:服務主機進程
描述:服務主機進程是壹個標準的動態鏈接庫主機處理服務。
簡介:Svchost.exe文件是那些從動態鏈接庫運行的服務的通用主機進程名。Svhost.exe文件位於系統的%systemroot%\system32文件夾中。啟動時,Svchost.exe檢查註冊表中的位置,以構建需要加載的服務列表。這將使多個Svchost.exe同時運行。每個Svchost.exe的回復都包含壹組服務,因此單個服務必須依賴於Svchost.exe啟動的方式和位置。這使得控制和發現錯誤變得更加容易。Windows 2k壹般有兩個svchost進程,壹個是RPCSS(Remote Procedure Call,遠程過程調用)服務進程,壹個是很多服務享受的svchost.exe。在windows XP中,壹般有四個以上的svchost.exe服務進程,在windows 2003 server中更多。
(25)[taskmon.exe]
過程文件:任務或taskmon.exe
進程名稱:Windows任務優化器
圖說:windows任務優化器監控妳使用某個程序的頻率,通過加載那些經常使用的程序,對硬盤進行整理和優化。
簡介:任務管理器,作用是監控程序的執行情況,並隨時上報。它可以以窗口的形式監控任務欄中運行的所有程序,打開和結束程序,直接調出系統關機對話框。
(26)[tcpsvcs.exe]
過程文件:tcpsvsor tcpsvcs.exe
進程名稱:TCP/IP服務
描述:TCP/IP服務應用程序支持局域網和互聯網之間通過TCP/IP的連接。
(27)[winlogon.exe]
進程文件:Winlogon或winlogon.exe
進程名稱:Windows登錄進程
描述:Windows NT用戶登錄程序。該流程管理用戶登錄和註銷。此外,當用戶按CTRL+ALT+DEL時,winlogon被激活,並顯示安全對話框。
(28)[winmgmt.exe]
進程文件:Winmgmtor winmgmt.exe
進程名稱:Windows管理服務
描述:Windows Management Service通過Windows Management Instrumentation數據WMI技術處理來自應用程序客戶端的請求。
簡介:winmgmt是win2000客戶端管理的核心組件。當客戶端應用程序連接或者當管理程序需要它自己的服務時,這個過程被初始化。WinMgmt.exe(CIM對象管理器)和倉庫是WMI的兩個主要組成部分。存儲庫是對象定義的數據庫,是存儲所有可管理的靜態數據的中央數據庫。對象管理器負責處理存儲庫中對象的收集和操作,並從WMI提供者收集信息。WinMgmt.exe在Windows 2k/NT上作為服務運行,在Windows 95/98上作為獨立的exe程序運行。某些計算機上的Windows 2k系統中的WMI錯誤可以通過安裝Windows 2k SP2來糾正。
(29)[系統]
進程文件:系統還是系統
進程名稱:Windows系統進程
描述:Microsoft Windows系統進程。
簡介:妳會在任務管理器裏看到這個進程,屬於正常的系統進程。
系統流程到此為止。
在Windows2k/XP中,必須加載以下進程:
Smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe(多個可以同時存在)、spoolsv.exe、explorer.exe,系統閑置流程;;
在Windows 9x中,必須加載以下進程:
msgsrv32.exe、mprexe.exe、mmtask.tsk、kenrel32.dll .