常用Windows系统进程列表http://os 51cto com 2005-12-0809:15 51CTO com整理我要评论(2)
摘要本文是关于常用Windows系统进程的列表
标签Windows
限时报名参加“甲骨文全球大会2010北京”及“JavaOne和甲骨文开发者大会2010”
一、最基本的系统进程
也就是说这些进程是系统运行的基本条件有了这些进程系统就能正常运行
1、 smss.exe Ses sion Manager
2、 csrss.exe子系统服务器进程
3、winlogon.exe管理用户登录
4、 se rvice s.exe包含很多系统服务
5、 lsass.exe管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。 (系统服务)产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据
6、 ticket。 (系统服务) ->netlogon
7、 svchost.exe包含很多系统服务! ! !->eventsystem
8、 SPOOLSV.EXE将文件加载到内存中以便迟后打印没有打印机也不必了 。
9、 explore r.exe资源管理器
10、 internat.exe托盘区的拼音图标装了OfficeXP及以上者为ctfmon.exe。
二、附加的系统进程
这些进程不是必要的你可以根据需要通过服务管理器来增加或减少
1、mstask.exe允许程序在指定时间运行。 (系统服务)->schedule
2、 regsvc.exe允许远程注册表操作。 (系统服务)->remoteregister 3、winmgmt.exe提供系统管理信息(系统服务)。
4、 inetinfo.e xe->msftpsvc,w 3svc,iis admn
5、 tlntsvr.exe->tlnrsvr
6、 tftpd.exe实现TFTP Internet标准。该标准不要求用户名和密码是远程安装服务的一部分。 (系统服务)
7、 termsrv.exe提供多会话环境允许客户端设备访问虚拟的Windows 2000 Professional桌面会话以及运行在服务器上的基于Window s的程序。 (系统服务)
8、 dns.exe应答对域名系统(DNS)名称的查询和更新请求。 (系统服务)
三、 以下全是系统服务,并且很少会用到如果你暂时用不着,应该关掉(对安全有害)
1、 tcpsvcs.exe提供在PXE可远程启动客户计算机上远程安装Windows 2000Professional的能力。 (系统服务)->simptcp支持以下TCP/IP服务 Character Generator,Daytime,Discard,Echo,以及Quote of the Day。 (系统服务)
2、 is ms e rv.exe允许在Window s Advanc ed Server站点间发送和接收消息。 (系统服务)
3、 ups.exe管理连接到计算机的不间断电源(UPS)。 (系统服务)
4、wins.e xe为注册和解析NetBIOS型名称的TCP/IP客户提供NetBIOS名称服务。(系统服务)
5、 llssrv.exeLicense Logging Service(system service)6、 ntfrs.exe在多个服务器间维护文件目录内容的文件同步。 (系统服务)
7、RsSub.exe控制用来远程储存数据的媒体。 (系统服务)
8、 locator.exe管理RPC名称服务数据库.(rpclocator区RpcSs)
9、 ls e rve r.exe注册客户端许可证。 (系统服务)
10、 dfssvc.exe管理分布于局域网或广域网的逻辑卷。 (系统服务)
11、 clips rv.e xe支持"剪贴簿查看器"以便可以从远程剪贴簿查阅剪贴页面。 (系统服务)
12、msdtc.exe并列事务是分布于两个以上的数据库消息队列文件系统或其它事务保护资源管理器。 (系统服务)
13、 faxsvc.exe帮助您发送和接收传真。 (系统服务)
14、 cisvc.exeIndexing Servic e(system servic e)! ! !
15、 dmadmin.e xe磁盘管理请求的系统管理服务。 (系统服务)
16、mnms rvc.exe允许有权限的用户使用NetMeeting远程访问Window s桌面。 (系统服务)
17、 ne tdde.e xe提供动态数据交换(DDE)的网络传输和安全特性。 (系统服务)
18、 smlogsvc.exe配置性能日志和警报。 (系统服务)
19、 rsvp.exe为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。 (系统服务)
20、Rs En g.e xe协调用来储存不常用数据的服务和管理工具。 (系统服务)
21、Rs Fs a.e xe管理远程储存的文件的操作。 (系统服务)
22、 grovel.exe扫描零备份存储(SIS)卷上的重复文件并且将重复文件指向一个数据存储点 以节省磁盘空间。 (系统服务)
23、 SCardSvr.exe对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。 (系统服务)24、 snmp.exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。 (系统服务)
25、 s n mptrap.e xe接收由本地或远程SNMP代理程序产生的陷阱消息然后将消息传递到运行在这台计算机上S NMP管理程序。 (系统服务)
26、UtilMan.exe从一个窗口中启动和配置辅助工具。 (系统服务)
27、msiexec.exe依据.MSI文件中包含的命令来安装、修复以及删除软件。 (系统服务)
其它补充sfmprint.exe>Print Services for Macintosh打印Macintosh服务
Nspmon.exe Windows Media Monitor Servic e(NsMonitor)
Nsum.exe Windows Media Unicast Service(NsUnicast)微软文档Windows 2000中的默认进程
Csrss.exe-您无法从任务管理器中结束此进程。
Win32子系统的用户模式部分Win32.sys是内核模式部分 。Csrss代表client/serverrun-time subsystem客户端/服务器运行时子系统 它是一个基本的子系统必须始终运行。Csrss负责管理控制台窗口创建和/或删除线程并且负责16位虚拟MS-DOS环境的某些部分。
Explorer.exe-您可以从任务管理器中结束此进程。 这是用户外壳程序 即我们熟悉的任务栏、桌面等。该进程对于Window s的正常运行所起的作用并不像我们想像的那么重要并且可以从任务管理器中停止并重新启动它而且通常不会给系统带来任何副作用。
Internat.exe-您可以从任务管理器中结束此进程。 Internat.exe在启动时运行它加载由用户指定的不同的输入法区域设置。为当前用户加载的区域设置来自以下注册表项HKEY_CURRENT_US ERKeybo ard LayoutPreload Internat.exe将"EN"图标加载到任务栏中
这使得用户可以轻松地在区域设置之间切换。当该进程停止时此图标将消失但是仍然可以通过"控制面板"更改区域设置。
注意 "系统"的区域设置是从以下位置加载的 HKE Y_US ERS.DEF AULT KeyboardLayoutPrelo ad这些区域设置由"本地系统"帐户下运行的系统服务使用或者在没有用户登录时例如在出现登录提示时使用Lsass.exe-您无法从任务管理器中结束此进程。
本地安全身份验证服务器它生成的进程将负责验证用户的身份以使用Winlogon服务。该进程通过使用身份验证程序包如默认的Msgina.dll来执行。如果身份验证成功Ls as s将生成用户的访问令牌该令牌用于启动初始外壳程序。该用户启动的其他进程将继承这一令牌。
Mstask.exe-您无法从任务管理器中结束此进程。 任务计划程序服务负责在用户预定的时间运行任务。 Smss.exe-您无法从任务管理器中结束此进程。 这是会话管理器子系统负责启动用户会话。该进程由系统线程启动并负责各种活动其中包括启动Winlogon和Win32(Csrss.exe)进程以及设置系统变量。当它启动这些进程后它将等待Winlogon或Csrss结束。如果这些过程"正常"发生系统将会关闭如果这些过程出现异常 Smss.exe将导致系统停止响应挂起 。
Spoolsv.exe-您无法从任务管理器中结束此进程。 后台打印程序服务负责管理发送到后台的打印/传真作业。
Svchost.exe-您无法从任务管理器中结束此进程。 这是一个通用进程它充当从DLL运行的其他进程的宿主因此该进程会对应有多个项目这是很正常的。要查看哪些进程正在使用Svchost.exe请使用Window s 2000安装光盘中的Tlist.exe语法是在命令提示符处键入tlist-s Services.exe-您无法从任务管理器中结束此进程。 这是服务控制管理器负责启动、停止系统服务以及与系统服务进行交互。
System-您无法从任务管理器中结束此进程。 大多数系统内核模式的线程都作为系统进程运行。
System Idle Process -您无法从任务管理器中结束此进程。该进程是在各个处理器上运行的单个线程它唯一的任务是在系统没有处理其他线程时占用处理器时间。在任务管理器中此进程会占用绝大部分的处理器时间。 Taskmgr.exe-您可以从任务管理器中结束此进程。 这是任务管理器自身的进程
Winlogon.exe-您无法从任务管理器中结束此进程。 该进程负责管理用户登录和注销。此外仅当用户按Ctrl+Alt+De l时Win logon才会被激活此时它会显示安全对话框。
Winmgmt.exe-您无法从任务管理器中结束此进程。
Winmgmt.exe是Window s 2000中客户端管理的核心组件。当第一个客户端应用程序进行连接时该进程将进行初始化或者当管理应用程序请求该进程的服务时该进程会不断地进行初始化许多无法从任务管理器中结束的进程都可以使用资源工具箱实用工具kill.exe来结束。但是该命令可能会导致系统故障或其他不希望出现的副作用。
【推荐】手工查杀病毒
[作者蓝色寒冰|更新日期:2007-10-508:56:26| 阅读次数1452 ]
本文转自雨林木风交流论坛[BBS.YlmF.CoM]蓝色寒冰的帖子虽然是今年一月的帖子但很经典转载给大家学习下也许在别的地方已经看过好多遍了嘿嘿
个人认为病毒无非是病毒文件、注册表、启动项、服务四大块既然如此只要把这四方面都干掉了也就差不多了 本次寒冰通过一次实战经历把查杀病毒会出现的问题尽可能涉及所以以下查杀部分不全部代表该病毒的情况只是为了做一说明而添加必要的假设希望本帖真的可以帮到经常被病毒困扰的朋友们。
本帖一共分四部分,分别为:
第一部分 工具篇(随兵出征)
第二部分查毒篇
第三部分杀毒篇(初战告捷)
第四部分修复篇打完收工
第一部分工具篇
工欲善其事必先利其器手动查杀并不是徒手而来当然要借助些工具好的工具可以帮助你快速找到解决的方案与窍门当然要借助些工具
一、扫描日志工具
当你去到一部中毒的机子,是不是会对如何下手有点茫然呢?那样,不管3721,扫描一份报告看看有何不妥先,而在报告总,系统的启动项目,进程,驱动和服务一目了然,多少可以重装发现一些蛛丝马迹,而寒冰也是习惯从这个步骤开始的.至于寒冰推荐的扫描日志扫描当属hijac kthis和S REng尤其是后者,最近360的报告好像也挺热火的可能是个人使用习惯吧,寒冰感觉他是介乎于两者之间没有S reng那么强大的dll数据也没有hijac kthis般的修复功能虽然有颜色可以一目了然,可是排列却有点乱,有待改善啊,所以如果你还没用过使用
报告,寒冰首推SRENG这款软件现在新的2.3版本已经出来了具体更新的内容可以去寒冰的百度空间查看
二、进程服务工具
没有病毒会选择沉默病毒的特性决定他不会一直闲着而活动必然会在系统留下蛛丝马迹可是系统自带的资源管理器在现在病毒面前却显得如此软弱因此请进助手自然势在必行常用的进程分析当属Icesword和Process Explorer
三、删除工具
相信跟电脑相处多了的人,总会遇见过“文件正在被另一个人或程序使用无法删除”诸如此类的警告而正常文件尚且如此,病毒更是猖狂一个具备完好自我保护体系的病毒单单的资源管理器无法结束其进程更不用说删除他了发现了病毒却不能删除,郁闷也许有人会建议进入安全模式进行查杀没错的确可以可是太麻烦了而且安全模式下又不利于我们发现病毒的同伙最好的状态还是在“病毒进行时”因此一款在正常模式下可以正常删除任意文件的工具就这样应运而生了常用且有效的有 killbox、 Ic esw ord和unloc ker其中Ic esw ord当属得力助手当然有时候他也无能为力只能多试几个好工具更多的查杀工具欢迎到寒冰优盘http://readon99.ys 168.c om去下载 自己尝试在此也不多讲了免得又有人说写得复杂呵呵准备好常用的工具 自然我们可以进行下面的操作了www.newjian.c om
第二部分查毒篇
隐蔽性是病毒的一大特性可是再隐蔽他也总要让他自身运行的而保证的途径必然会使他在系统留下蛛丝马迹因此了解病毒的自启动方式对于进一步发现病毒的蛛丝马迹很有帮助具体常见的宝地有
一、启动项目留迹
1.内置到注册表启动项目中
注册表是病毒最喜欢隐藏的地方既没有人能找到它又能自动运行真是快哉的确
注册表由于比较复杂木马常常喜欢藏在这里快活常见的键值有
HKEY_L OC AL_MAC HINE\S oftw are\Mic ro s oft\Window s\CurrentVers ion下所有以“run”开头的键值
HKEY_C URRENT_US ER\S o ftw are\Mic ro s o ft\Window s\CurrentVers ion下所有以“run”开头的键值
HKEY-US E RS\Defau lt\S o ftw are\Mic ro s oft\Window s\CurrentVers ion下所有以“run”开头的键值。
2、隐形于启动组中
有时木马并不在乎自己的行踪它更注意的是能否自动加载到系统中因为一旦木马加载到系统中任你用什么方法你都无法将它赶跑(哎这木马脸皮也真是太厚)因此按照这个逻辑启动组也是木马可以藏身的好地方 因为这里的确是自动加载运行的好场所。动组对应的文件夹为 C:window sstart menuprogramsstartup
在注册表中的位置 HKEY_CURRENT_US ERSoftw areMicros oftWindow sCurr entVer s ion
ExplorerShellFo lders Startup="C:windowsstart menuprogramsstartup"。要注意经常检查启动组哦
3、捆绑在启动文件中
即应用程序的启动配置文件控制端利用这些文件能启动程序的特点将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件这样就可以达到启动木马的目的了。
4、潜伏在Win.ini中
木马要想达到控制或者监视计算机的目的必须要运行然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然木马也早有心理准备知道人类是高智商的动物不会帮助它工作的因此它必须找一个既安全又能在系统启动时自动运行的地方于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看在它的[window s]字段中有启动命令“lo ad=”和“run=”在一般情况下“”后面是空白的如果有后跟程序 比
方说是这个样子 run=c:windowsfile.exe lo ad=c:window sfile.exe
这时你就要小心了这个file.exe很可能是木马哦。
5、在System.ini中藏身
木马真是无处不在呀什么地方有空子它就往哪里钻这不Window s安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点打开这个文件看看它与正常文件有什么不同在该文件的[boot]字段中是不是有这样的内容那就是shell=Explorer.exe file.exe如果确实有这样的内容那你就不幸了 因为这里的file.exe就是木马服务端程序另外在System.ini中的[386Enh]字段要注意检查在此段内的“driv er=路径程序名”这里也有可能被木马所利用。再有在System.ini中的[mic]、 [drivers]、 [drivers32]这三个字段这些段也是起到加载驱动程序的作用但也是增添木马程序的好场所现在你该知道也要注意这里喽。
6、隐蔽在Winstart.bat中
按照上面的逻辑理论凡是利于木马能自动加载的地方木马都喜欢呆。这不Winstart.bat也是一个能自动被Window s加载运行的文件它多数情况下为应用程序及Window s自动生成在执行了Win.c om并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成 因此木马完全可以像在Autoexec.bat中那样被加载运行危险由此而来。
7、集成到程序中
为了不让用户能轻易地把它删除就常常集成到程序里一旦用户激活木马程序那么木马文件和某一应用程序捆绑在一起然后上传到服务端覆盖原文件这样即使木马被删除了只要运行捆绑了木马的应用程序木马又会被安装上去了。绑定到某一应用程序中如绑定到系统文件那么每一次Windows启动均会启动木马。 高招
8、隐藏在配置文件中
木马实在是太狡猾知道菜鸟们平时使用的是图形化界面的操作系统对于那些已经不太重要的配置文件大多数是不闻不问了这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用木马很容易就能在大家的计算机中运行、发作从而偷窥或者监视大家。不过现在这种方式不是很隐蔽容易被发现所以在Autoexec.bat和Config.sys中加载木马程序的并不多见但也不能因此而掉以轻心哦。 这种方式现在好像没那么流行了明白了系统的藏身之处我们就有思绪把他找出来了当使用sreng查看其启动项目时,自动弹出了相应警告,提示load shell和Userinit等值被修改,所以,首先用Sreng扫描一份报告如下
[HKEY_CURRENT_USER\Softw are\Micros oft\Window s NT\CurrentVers ion\Window s]
<load><C:\windows\system32\wincfgs.exe>[N/A]
[HKEY_LO CAL_MACHINE\Softw are\Micros oft\Window s NT\CurrentVers ion\Winlogon]
<shell><Exp lorer.exe"C:\WINDO WS\eksplorasi.exe">[N/A]
<Userinit><userinit.exe,EXP LORER.EXE>[(Verified)Microsoft Corporation]
从中可以看出病毒为了实现启动分别在load shell和Userinit等进行了窜改其中Userinit的EXPLORER.EXE还假装了(Verified)Microsoft Corporation的标识具备很大诱惑性。
比如之前大名顶顶的熊猫烧香,就是通过userinit.exe加载病毒程序
C:WINDOWS\system32\SVCH0ST.exe实现开机启动,如果发现了这一项目,相信你的硬盘数据就危险了
二、运行系统留迹
病毒要运行 自然会有进程可是庆幸的是某个病毒的进程还算是统一的除非变种了而初级的病毒通过资源管理器可以立马做出判断前提你应该认识系统进程和常用软件进程再通过相应的工具辅组就可以找到他的相对路径也许有人抱怨资源管理器连路径都无法提供太无能了就去找那个lohorn版本的装上其实只需要一个命令就可以找出来进程的文件路径方法如下
TMThosting发布了一个2021 Summer Sale活动,针对西雅图VPS主机提供月付7折优惠码,年付65折优惠码,独立服务器提供95折优惠码,本轮促销活动到7月25日。这是一家成立于2018年的国外主机商,主要提供VPS和独立服务器租用业务,数据中心包括美国西雅图和达拉斯,其中VPS基于KVM架构,都有提供免费的DDoS保护,支持选择Windows或者Linux操作系统。Budget ...
创梦网络怎么样,创梦网络公司位于四川省达州市,属于四川本地企业,资质齐全,IDC/ISP均有,从创梦网络这边租的服务器均可以****,属于一手资源,高防机柜、大带宽、高防IP业务,另外创梦网络近期还会上线四川眉山联通、广东优化线路高防机柜,CN2专线相关业务。广东电信大带宽近期可以预约机柜了,成都优化线路,机柜租用、服务器云服务器租用,适合建站做游戏,不须要在套CDN,全国访问快,直连省骨干,大网...
数脉科技怎么样?昨天看到数脉科技发布了7月优惠,如果你想购买香港服务器,可以看看他家的产品,性价比还是非常高的。数脉科技对香港自营机房的香港服务器进行超低价促销,可选择10M、30M的优质bgp网络。目前商家有优质BGP、CN2、阿里云线路,国内用户用来做站非常不错,目前E3/16GB阿里云CN2线路的套餐有一个立减400元的优惠,有需要的朋友可以看看。点击进入:数脉科技商家官方网站香港特价阿里云...