windows系统各进程详解
精选
转载
windows系统各进程详解
|
|
|
|
|
|
|
下面列出的都是操作系统的进程,而不是程序的进程,记住这些进程并了解他们的工作原理,用途,能让我们对系统进程的理解提升一个级别。 |
|
1、System Idle Process系统进程介绍
[system Idle Process]
进程文件: [system process] or [system process]
进程名称: Windows内存处理系统进程
描 述: Windows页面内存管理进程,拥有0级优先。
介 绍:该进程作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。
System Idle Process为何物
问:在使用Windows XP的过程中,按“Ctrl+Alt+Del”键调出任务管理器,在进程中我发现一个名为“System Idle Process”的进程,它往往占用了大部分CPU资源,经常是80%以上,请问为什么它占用了那么多资源?
答:你误解了“System Idle Process”进程的意思了,这里的80%并不是你所想的占用CPU的资源,恰恰相反的是这里的80%以上是CPU资源空闲了出来的。这里的数字越大表示CPU可用资源越多,数字越小则表示CPU资源越紧张。该进程是系统必须的,不能禁止哦。
2、alg.exe系统进程介绍
[alg.exe]
进程文件: alg or alg.exe
进程名称: 应用层网关服务
描 述: 这是一个应用层网关服务用于网络共享。
介 绍:一个网关通信插件的管理器,为 “Internet连接共享服务”和 “Internet连接防火墙服务”提供第三方协议插件的支持。
Internet 连接共享 (ICS)/Windows 防火墙服务(ICF)的这个子组件对允许网络协议通过防火墙并在 Internet 连接共享后面工作的插件提供支持。应用程序层网关 (ALG) 插件可以打开端口和更改嵌入在数据包内的数据(如端口和 IP 地址)。文件传输协议 (FTP) 是唯一具有 Windows Server 2003 标准版和 Windows Server 2003 企业版附带的一个插件的网络协议。ALG FTP 插件旨在通过这些组件使用的网络地址转换 (NAT) 引擎来支持活动的 FTP 会话。ALG FTP 插件通过重定向所有通过 NAT 的流量和发送到通向环回适配器上 3000 到 5000 范围内的专用侦听端口的端口 21 的流量来支持这些会话。ALG FTP 插件随后监视并更新 FTP 控制通道流量,以便 FTP 插件能够通过 FTP 数据通道的 NAT 转发端口映射。FTP 插件还更新 FTP 控制通道流中的端口。
系统服务名称:ALG应用程序协议 协议 端口
FTP 控制 TCP 21
问:
我是ADSL宽带用户,平时常常下载电影,这几星期里我用网际快车下载电影的时候(下载的中段时候),老是出错:“ALG.EXE文件挂起”。我用的是XP系统,具体询问的问题如下:1.ALG.EXE是什么文件?为什么老是会挂起?2.为什么挂起后就不可以下载了?反映连接不上,但是其它上网都很正常如QQ、MSN、看网站,是一点问题也没有(就是不可以下载了,连FTP也不可以下载)。3.重启以后就好了,但是不到五分钟又是ALG.EXE文件挂起,又不可以下载电影了。我等着,一笑哥给我想想办法吧。
答:
ALG嘛,Application Layer Gateway Service是也,是Windows XP的一个应用层网关服务,通过“控制面板|管理工具|服务”,你可以看到其具体解释是“为应用程序级协议插件提供支持并启用网络/协议连接”,在其上点击右键,选择“属性|依存关系”,还可以发现“Internet Connection Firewall(ICF)/Internet Connection Sharing(ICS)”需要依赖此服务,而ICF和ICS也就是我们平时所说的XP中自带的防火墙和Internet连接共享。由于ALG的特殊性,因此很多病毒都将自己伪装成ALG.EXE文件,以欺骗系统和使用电脑的朋友,因此经常挂起很可能与你中了病毒有关,建议你使用最新版的杀毒软件进行查杀,看系统是否有问题。而在ALG.EXE挂起时,忘记快车不能够下载,是由于你启用了系统Internet连接的连接共享或者防火墙功能,ALG.EXE挂起导致这些功能失效,因此出现不能下载的情况。你可以关闭Internet连接共享以及防火墙功能,看是否有类似问题再次出现。
3、csrss.exe系统进程介绍
[csrss.exe]
进程文件: csrss or csrss.exe
进程名称: Client/Server Runtime Server Subsystem
描 述: 客户端服务子系统,用以控制Windows图形相关子系统。
介 绍: 这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss用于维持Windows的控制,创建或者删除线程和一些16位的虚拟MS-DOS环境。
纯手工查杀木马csrss.exe
注意:csrss.exe进程属于系统进程,这里提到的木马csrss.exe是木马伪装成系统进程
前两天突然发现在C:\Program Files\下多了一个rundll32.exe文件。这个程序记得是关于登录和开关机的,不应该在这里,而且它的图标是98下notepad.exe的老记事本图标,在我的2003系统下面很扎眼。但是当时我没有在意。因为平时没有感到系统不稳定,也没有发现内存和CPU大量占用,网络流量也正常。
这两天又发现任务管理器里多了这个rundll32.exe和一个csrss.exe的进程。它和系统进程不一样的地方是用户为Administrator,就是我登录的用户名,而非system,另外它们的名字是小写的,而由SYSTEM启动的进程都是大写的RUNDLL32.EXE和CSRSS.EXE,觉得不对劲。
然后按F3用资源管理器的搜索功能找csrss.exe,果然在C:\Windows下,大小52736字节,生成时间为12月9日12:37。而真正的csrss.exe只有4k,生成时间是2003年3月27日12:00,位于C:\Windows\Syetem32下。
于是用超级无敌的UltraEdit打开它,发现里面有kavscr.exe,mailmonitor一类的字符,这些都是金山毒霸的进程名。在该字符前面几行有SelfProtect的字符。自我保护和反病毒软件有关的程序,不是病毒就是木马了。灭!
试图用任务管理器结束csrss.exe进程失败,称是系统关键进程。先进注册表删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相应值,注销重登录,该进程消失,可见它没有象3721那样加载为驱动程序。
然后要查找和它有关的文件。仍然用系统搜索功能,查找12月9日生成的所有文件,然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe,但kavsrc.exe的图标也是98下的记事本图标,它和rundll32.exe的大小都是33792字节。
此后在12:38分生成了一个tmp.dat文件,内容是
@echo off
debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
C:\WINDOWS\system32\netstart.exe
好像是用debug汇编了一段什么程序,这年头常用debug的少见,估计不是什么善茬,因为商业程序员都用Delphi、PB等大程序写软件。
汇编大约进行了1分钟,在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一个0字节的tmp.out文件。netstart.exe大小117786字节,另两个大小也是52736字节。前两个位于C:\Windows\System32下,后两个在当前用户的Temp文件夹里。
这样我就知道为什么我的系统没有感染的表现了。netstart.exe并没有一直在运行,因为我在任务管理器中没有见过它。把这些文件都删除,我的办法是用winrar压缩并选中完成后删除源文件,然后在rar文件注释中做说明,放一个文件夹里,留待以后研究。这个监狱里都是我的战利品,不过还很少。
现在木马已经清除了。使用搜索引擎查找关于csrss.exe的内容,发现结果不少,有QQ病毒,传奇盗号木马,新浪游戏病毒,但是文件大小和我中的这个都不一样。搜索netstart.exe只有一个日文网站结果,也是一个木马。
这个病毒是怎么进入我的电脑的呢?搜索时发现在12月9日12:36分生成了一个快捷方式,名为dos71cd.zip,它是我那天从某网站下载的DOS7.11版启动光盘,但是当时下载失败了。现在看来根本就不是失败,是因为这个网站的链接本来就是一段网页注入程序,点击后直接把病毒下载来了。
4、ddhelp.exe系统进程介绍
[ddhelp.exe]
进程文件: ddhelp or ddhelp.exe
进程名称: DirectDraw Helper
描 述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。
简 介:Directx 帮助程序
错误信息:Ddhelp.exe 导致模块 Mgaxdd32.dll 中出现无效页错误
症状
当使用 Windows Media Player 播放文件或运行 DxDiag.exe 工具时,您可能会看到以下错误信息:
Ddhelp.exe caused an invalid page fault in module Mgaxdd32.dll at 015F:BAAL521F(Ddhelp.exe 在 015F:BAAL521F 处导致 Mgaxdd32.dll 模块中出现无效页错误)
原因
如果您的计算机中装有以下任何项目,就可能会出现此问题: ? Matrox Millennium II 视频适配器
Microsoft DirectX 6.1
不兼容的视频适配器
解决方案
要解决此问题,请与视频适配器的生产厂商联系,以获得更新的视频驱动程序。(重装新版的显卡驱动)
5、dllhost.exe系统进程介绍
[dllhost.exe]
进程文件: dllhost or dllhost.exe
进程名称: DCOM DLL Host进程
描 述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。
介 绍:com代理,系统附加的dll组件越多,则dllhost占用的cpu资源和内存资源就越多,而8月的“冲击波杀手”大概让大家对它比较熟悉吧。
解决Web服务器出现的dllhost.exe错误
我的Web服务器出了问题。一个弹出话框显示“dllhost.exe出现错误”。当我查看应用事件日志时发现有很多Active Server Pages Event 5这样的错误。它们在错误信息中显示为“line 0内存溢出”。这种错误以前每隔几天就发生一次,但现在是每隔几小时就发生一次。重启后也只能维持一阵子。你对此有什么看法吗?
我还没碰到过这种问题,但我在微软的参考信息中看到Exchange Outlook Web Access使用过程中描述过这样的错误。(http://support.microsoft.com/?kbid=224327)
该链接建议你安装最新的Exchange升级版。如果你在使用Exchange,不妨尝试一下。如果没有,我就要给你一些建议,它们同那些存在ASP 3.0方面问题的人的建议一样:
确保你有所有最新升级版和服务包。
在每个Web应用中允许进程隔离。
将应用程序升级到ASP.NET。
将Web 服务器升级到Windows Server 2003。
了解真相 dllhost.exe是病毒吗?
dllhost.exe 解释
dllhost.exe是什么?
dllhost.exe是运行COM+的组件,即COM代理,运行Windows中的Web和FTP服务器必须有这个东西。
什么时候会出现dllhost.exe?
运行COM+组件程序的时候就会出现。例如江民KV2004
冲击波杀手又是怎么一回事?
冲击波杀手借用了dllhost.exe作为进程名,但是由于Windows不允许同一个目录下有同名文件的存在,因此,冲击波杀手把病毒体:dllhost.exe放到了C:\Windows\System32\Wins目录里面(Windows 2000是C:\WINNT\System32\Wins,全部假设系统安装在C盘),但是真正的dllhost.exe应该放 在C:\Windows\System32(Windows 2000是C:\WINNT\System32)
换句话说就是:冲击波(Worm.WelChia)为了迷惑用户,避免病毒的执行体被进程管理器终止,采用了dllhost.e xe这个和Windows组件一样的名字,但是并不是说进程里面出现dllhost.exe就等于感染了worm.welchi a
再看看这里的FAQ吧
第一个误区————进程出现Dllhost.exe就等于中了病毒
Dllhost.exe是系统文件,但是进程里面出现Dllhost.exe进程不等于中了病毒
第二个误区————一见Dllhost.exe进程就杀死
其实这样做是不好的。很多程序都需要Dllhost.exe,例如KV2004实时监控运行的时候或IIS在解析一些ASP文件 的时候,进程中都会出现Dllhost.exe
之所以大家恐惧Dllhost.exe进程,恐怕是由于冲击波(杀手)的问题。
其实冲击波(杀手)只不过采取了一个偷梁换柱的方法。因为任务管理器里面无法看出进程中exe文件的路径,所以让大家在分析问题 的时候出现一些偏差。
感染冲击波(杀手)的典型特征不是进程中出现Dllhost.exe,而是RPC服务出现问题(冲击波)和System32\w ins目录里面出现svchost.exe和dllhost.exe文件(冲击波杀手)。注意路径!!
那么,Dllhost.exe是什么呢?Dllhost.exe是 COM+ 的主进程。正常下应该位于system32目录里面和system32\dllcache目录里面。而system32\win s目录里面是不会有dllhost.exe文件的。
6、Explorer.exe系统进程介绍
| |
