winlogon 是一个实现Window登陆管理,处理用户登陆和登出Windows的进程。每次当你被系统提示输入用户名和密码的时候,你就能看到这个进程。它还负责在用户登陆后载入用户的信息,支持自动登陆(相关的),以及监视键盘和鼠标的操作,来决定何时显示出屏保.winlogon.exe 是存放在目录 C:\Windows\System32下且是以 SYSTEM 用户运行.程序名为小写winlogon.exe.若不是以上路径且不以 SYSTEM 用户运行,如果为WINLOGON.EXE则可能是 W32.Netsky.D@mm 蠕虫病毒,该病毒通过 EMail 邮件传播,当你打开病毒发送的附件时,即会被感染。
smss.exe ( Session Manager Subsystem ) 是会话管理子系统,它负责从Windows 2000之后的所有版本中,负责启动,处理和终止用户会话。它调用Windows Logon(winlogon)和客户端/服务器运行服务(csrss)。它还负责处理终端服务的客户端会话。它是操作系统的一个核心进程,不能被终止。" smss.exe(Session Manager Subsystem),该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在 Windows登陆过程。这是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的 Windows登录程序(winlogon.exe),Win32子系统(csrss.exe)线程和设定的系统变量作出反映。件 smss.exe 是存放在目录 C:\Windows\System32。
lsass.exe ( Local Security Authority Service ) 是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意:lsass.exe也有可能是 Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。
本地安全权限服务控制Windows安全机制。管理IP安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等,是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的 msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个"AND"的请求,并发送给服务器,导致触发堆栈溢出,使Lsass.exe服务崩溃,系统在30秒内重新启动。
ctfmon.exe 是Microsoft Office产品套装的一部分,是有关输入法的一个可执行程序。它可以选择用户文字输入程序,和微软Office XP语言条。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。另外,ctfmon.exe可能被感染上木马而成为病毒程序。Ctfmon.exe 监视活动窗口,并为语音识别、书写识别、键盘、翻译和其他中文可选用户输入方法技术提供文本输入服务支持。程序ctfmon.exe,系统默认情况下是随电脑开机而自动启动的。如果你设置了ctfmon.exe不随机自动启动,进入系统后你的电脑任务栏中的输入法图标(即语言栏)就不见了。
csrss.exe 系统进程,是微软客户端、服务端运行时子系统,管理Windows图形相关任务,对系统的正常运行非常重要,在Windows 2000,XP,2003,Vista和Server 2008中,是通过客户端/服务器运行时间子系统来实现用户模式的。在当前的各种Windows,绝大多数基本的功能都放到核心模块中,但是 csrss.exe却没有,而它恰恰是一个基本的进程,用来实现应用程序和核心模块的通信,管理线程等。" csrss.exe 是存放在目录 C:\Windows\System32。文件 csrss.exe 是 Windows 核心文件。
conime.exe 是输入法编辑器相关程序。允许用户使用标准键盘就能输入复杂的字符与符号,需要注意它同时可能是一个bfghost1.0远程控制后门程序。此程序允许攻击者访问你的计算机,窃取密码和个人数据。建议立即删除此进程。 conime.exe 是存放在目录 C:\Windows\System32
explorer.exe 是Windows程序管理器或者Windows资源管理器,它用于管理Windows图形壳,包括开始菜单、任务栏、桌面和文件管理,删除该程序会导致Windows图形界面无法适用。explorer.exe也有可能是w32.Codered等病毒。该病毒通过email邮件传播,当打开病毒发送的附件时,即被感染,会在受害者机器上建立SMTP服务,允许攻击者访问你的计算机、窃取密码和个人数据。explorer.exe所在的路径 C:\windows\explorer.exe C:\windows\system32\dllcache (windows的文件保护机制备份)
services.exe 是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。终止进程后会重启。正常的services.exe应位于%systemroot%\System32文件夹中,在进程里用户名显示为“system”
wmiprvse.exe 表示Windows Management Instrumentation Provider Services(Windows管理规范提供服务)。它是Windows WMI服务的主进程。WMI可以管理和控制运行环境,使系统管理员查询和修改桌面上、应用程序和网络上的信息。这个进程是自动运行的,不能被终止。"wmiprvse.exe 是存放在 C:\WINDOWS\System32\wbem目录下.
svchost.exe 是一类通用的进程名称。它是和运行动态链接库(DLLs)的Windows系统服务相关的。在机器启动的时候,svchost.exe检查注册表中的服务,运行并载入它们。经常会有多个svchost.exe同时运行的情况,每一个都表示该计算机上运行的一类基本服务。请不要把它和scvhost.exe混淆。"SVCHOST.exe 是存放在目录 C:\Windows\System32目录下。svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。
注:windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot%system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。但 svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢?
原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remoteprocedurecall)服务为例,进行讲解。
从启动参数中可见服务是靠svchost来启动的。
svchost的工作原理另行参见:http://sunyu.blog.51cto.com/744725/287904
system idle process :Windows页面内存管理进程,拥有0级优先;该程序使用Ctrl+Alt+Del打开,该进程作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。该进程是系统必须的,不能禁止。
