http://fulong258.blog.163.com/

系统进程system篇:

1。System Idle Process

进程文件: System Idle Process

进程名称: 处理器分派

描述: 每一个CPU上作为单线程。(支持多处理器的窗口系统和单处理器的系统区别就在此)。System IDLE Process  这是一个当没有任何程序或者进程对CPU发出请求的时候调用的普通进程,该进程不能被结束,如果它显示CPU占用率是“97%”,那就意味着只有3%的CPU进程被真正的程序占用着,如果你发现这个Idle Processes一直保持很低的数值(比如一直显示3%),那么肯定有一个应用程序一直在运行着,需要检查一下!

2。taskmgr.exe

进程文件: taskmgr 或者 taskmgr.exe进程名称: 窗口任务管理者描述:用于窗口任务管理器。它显示你系统中正在运行的进程。该程序使用Ctrl+Alt+Delete打开,这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。

3。svchost.exe

进程文件: svchost或svchost.exe

进程名称: 服务主机过程

描述: 服务主机过程是一个标准的动态连接库主机处理服务。 Svchost.exe仅位于x:windowssytem32下。启动时,依据以下注册表来加载:HKEY_LOCAL_MACHINE /SOFTWARE /MICROSOFT /WINDOWSNT /CURRENTVERSION /SCHOST,每个键值都是REG_MULTI_SZ类型,包括多个运行服务。svchost.exe  这实际上是一个服务(service),有时候你会经常在任务管理器里面看到好几个一样的该进程(system、network 、user或者其他),在Windows XP里面,如果你结束了这个进程,那么系统就会在一分钟之内自动关闭,在Windows 2000中,该进程将显示为关键进程,禁止结束!

进程详解:Svchost.exe是一个系统的核心进程,并不是病毒进程。但由于Svchost.exe进程的特殊性,所以病毒也会千方百计的入侵Svchost.exe。通过察看Svchost.exe进程的执行路径可以确认是否中毒 Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。其实Svchost.exe是Windows XP系统的一个核心进程。Svchost.exe不单单只出现在Windows XP中,在使用NT内核的Windows系统中都会有Svchost.exe的存在。一般在Windows 2000中Svchost.exe进程的数目为2个,而在Windows XP中Svchost.exe进程的数目就上升到了4个及4个以上。所以看到系统的进程列表中有几个Svchost.exe不用那么担心。如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:/Windows/System32”目录下的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。

4。conime.exe

进程文件: conime 或者 conime.exe

进程名称: Console IME IME控制台(WINDOWS2000命令)

描述: 输入法编辑器,允许用户使用标准键盘就能输入复杂的字符与符号。注意:conime.exe同时可能是一个bfghost1.0远程控制后门程序。此程序允许攻击者访问你的计算机,窃取密码和个人数据。建议立即删除此进程。

5。spoolsv.exe

进程文件: spoolsv or spoolsv.exe

进程名称: Printer Spooler Service

描述: Windows打印任务控制程序,用以打印机就绪。

6。explore.exe

进程文件: explore或explore.exe

进程名称: 资源管理器

描述: 一旦终止会自动重新加载,否则会呈死机状态。这可不是Internet Explorer,explorer.exe总是在后台运行,它控制着标准的用户界面、进程、命令和桌面等,如果你打开任务管理器,就会看到另外一个explorer.exe在后台运行。根据系统的字体、背景图片、活动桌面等情况的不同,通常会消耗5.8 MB到36MB内存不等。Idle如果你在任务管理器看到它显示99%的占用率,千万不要害怕,实际上这是好事,因为这表示你的计算机目前有99%的性能等待你的使用!这是关键进程,不能结束。该进程只有16KB的大小,循环统计CPU的空闲度。

7。lsass.exe

进程文件: lsass or lsass.exe

进程名称: 本地安全权限服务

描述: 这个本地安全权限服务控制Windows安全机制。

进程详解:管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket),也就是本地安全权限服务,属于Windowsde 的核心进程之一,也被黑客千方百计的寻找漏洞,大名鼎鼎的震荡波利用的就是其中一个漏洞。

8。services.exe

进程文件: services or services.exe

进程名称: Windows Service Controller

描述: 管理Windows服务。

9。winlogon.exe

进程文件: winlogon or winlogon.exe

进程名称: Windows Logon Process

描述: Windows NT用户登陆程序。winlogon.exe  这个进程处理登录和注销任务,事实上,这个进程是必需的,它的大小和你登录的时间有关系,我曾亲眼看见这个进程占用空间的波动情况,一个是登录一个小时左右,内存在1.2MB到8.5MB之间波动;另一个是登录了40多天,内存在1.7MB到17MB之间波动。

10。csrss.exe

进程文件: csrss or csrss.exe

进程名称: Client/Server Runtime Server Subsystem

描述: 客户端服务子系统,用以控制Windows图形相关子系统。它是Windows的核心部分之一,全称为Client Server Runtime Process。我们不能结束该进程。这个只有4k的进程经常消耗3MB到6MB左右的内存,建议不要禁止该进程,而且它很难去除,不如让它运行好了。

11。smss.exe

进程文件: smss or smss.exe

进程名称: Session Manager Subsystem

描述: 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。smss.exe  它只有45KB的大小却占据着300KB到2MB的内存空间,这是一个Windows的核心进程之一,是Windows NT内核的会话管理程序。

12。system

进程文件: system或system

进程名称: 窗口系统过程

描述: 微软公司窗口系统进程。

13。system process   进程文件: [system process] or [system process]进程名称: Windows内存处理系统进程描述: Windows页面内存管理进程,拥有0级优先。

14。alg.exe

进程文件: alg or alg.exe

进程名称: 应用层网关服务

描述: 这是一个应用层网关服务用于网络共享。

15。ddhelp.exe

进程文件: ddhelp or ddhelp.exe

进程名称: DirectDraw Helper

描述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。

16。dllhost.exe

进程文件: dllhost or dllhost.exe

进程名称: DCOM DLL Host进程

描述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。

17。inetinfo.exe

进程文件: inetinfo or inetinfo.exe

进程名称: IIS Admin Service Helper

描述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用于Debug调试除错。

18。internat.exe

进程文件: internat or internat.exe

进程名称: Input Locales

描述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。 

19。kernel32.dll

进程文件: kernel32 or kernel32.dll

进程名称: Windows壳进程

描述: Windows壳进程用于管理多线程、内存和资源。

20。mdm.exe

进程文件: mdm or mdm.exe

进程名称: Machine Debug Manager

描述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft Script Editor脚本编辑器。

21。mmtask.tsk

进程文件: mmtask or mmtask.tsk

进程名称: 多媒体支持进程

描述: 这个Windows多媒体后台程序控制多媒体服务,例如MIDI。

22。mprexe.exe

进程文件: mprexe or mprexe.exe

进程名称: Windows路由进程

描述: Windows路由进程包括向适当的网络部分发出网络请求。

23。msgsrv32.exe

进程文件: msgsrv32 or msgsrv32.exe

进程名称: Windows信使服务

描述: Windows信使服务调用Windows驱动和程序管理在启动。

24。mstask.exe

进程文件: mstask or mstask.exe

进程名称: Windows计划任务

描述: Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。 

25。regsvc.exe

进程文件: regsvc or regsvc.exe

进程名称: 远程注册表服务

描述: 远程注册表服务用于访问在远程计算机的注册表。

26。rpcss.exe

进程文件: rpcss or rpcss.exe

进程名称: RPC Portmapper

描述: Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。

27。snmp.exe

进程文件: snmp or snmp.exe

进程名称: Microsoft SNMP Agent

描述: Windows简单的网络协议代理(SNMP)用于监听和发送请求到适当的网络部分。

28。spool32.exe

进程文件: spool32 or spool32.exe

进程名称: Printer Spooler

描述: Windows打印任务控制程序,用以打印机就绪。

29。stisvc.exe

进程文件: stisvc or stisvc.exe

进程名称: Still Image Service

描述: Still Image Service用于控制扫描仪和数码相机连接在Windows。

30。taskmon.exe

进程文件: taskmon or taskmon.exe

进程名称: Windows Task Optimizer

描述: windows任务优化器监视你使用某个程序的频率,并且通过加载那些经常使用的程序来整理优化硬盘。

31。tcpsvcs.exe

进程文件: tcpsvcs or tcpsvcs.exe

进程名称: TCP/IP Services

描述: TCP/IP Services Application支持透过TCP/IP连接局域网和Internet。

32。winmgmt.exe

进程文件: winmgmt or winmgmt.exe

进程名称: Windows Management Service

描述: Windows Management Service透过Windows Management Instrumentation data (WMI)技术处理来自应用客户端的请求。