windows操作系统进程详解.doc

当我们按下ctrl+alt+del后,选择”进程”卡(如下图),后看到的进程, 下面是其详细解释:系统进程system篇：1。system idle process进程文件: system idle process进程名称: 处理器分派描述: 每一个cpu上作为单线程。（支持多处理器的窗口系统和单处理器的系统区别就在此）。system idle process 这是一个当没有任何程序或者进程对cpu发出请求的时候调用的普通进程，该进程不能被结束，如果它显示cpu占用率是“97%”，那就意味着只有3%的cpu进程被真正的程序占用着，如果你发现这个idle processes一直保持很低的数值（比如一直显示3），那么肯定有一个应用程序一直在运行着，需要检查一下！2。taskmgr.exe进程文件： taskmgr 或者 taskmgr.exe进程名称： 窗口任务管理者描述：用于窗口任务管理器。它显示你操作系统中正在运行的进程。该程序使用ctrl+alt+delete打开，这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。3。svchost.exe进程文件: svchost或svchost.exe进程名称: 服务主机过程描述: 服务主机过程是一个标准的动态连接库主机处理服务。 svchost.exe仅位于x：windowssytem32下。启动时，依据以下注册表来加载：hkey_local_machine software microsoft windowsnt currentversion schost,每个键值都是reg_multi_sz类型，包括多个运行服务。svchost.exe 这实际上是一个服务（service），有时候你会经常在任务管理器里面看到好几个一样的该进程（system、network 、user或者其他），在windows xp里面，如果你结束了这个进程，那么系统就会在一分钟之内自动关闭，在windows 2000中，该进程将显示为关键进程，禁止结束！进程详解：svchost.exe是一个系统的核心进程，并不是病毒进程。但由于svchost.exe进程的特殊性，所以病毒也会千方百计的入侵svchost.exe。通过察看svchost.exe进程的执行路径可以确认是否中毒 svchost.exe 是从动态链接库 (dll) 中运行的服务的通用主机进程名称。其实svchost.exe是windows xp系统的一个核心进程。svchost.exe不单单只出现在windows xp中，在使用nt内核的windows系统中都会有svchost.exe的存在。一般在windows 2000中svchost.exe进程的数目为2个，而在windows xp中svchost.exe进程的数目就上升到了4个及4个以上。所以看到系统的进程列表中有几个svchost.exe不用那么担心。如果你怀疑计算机有可能被病毒感染，svchost.exe的服务出现异常的话通过搜索svchost.exe文件就可以发现异常情况。一般只会找到一个在：“c:windowssystem32”目录下的svchost.exe程序。如果你在其他目录下发现svchost.exe程序的话，那很可能就是中毒了。4。conime.exe进程文件: conime 或者 conime.exe进程名称: console ime ime控制台（windows2000命令）描述: 输入法编辑器，允许用户使用标准键盘就能输入复杂的字符与符号。注意：conime.exe同时可能是一个bfghost1.0远程控制后门程序。此程序允许攻击者访问你的计算机，窃取密码和个人数据。建议立即删除此进程。5。spoolsv.exe进程文件: spoolsv or spoolsv.exe进程名称: printer spooler service描述: windows打印任务控制程序，用以打印机就绪。6。explore.exe进程文件: explore或explore.exe进程名称: 资源管理器描述: 一旦终止会自动重新加载，否则会呈死机状态。这可不是internet explorer，explorer.exe总是在后台运行，它控制着标准的用户界面、进程、命令和桌面等，如果你打开任务管理器，就会看到另外一个explorer.exe在后台运行。根据系统的字体、背景图片、活动桌面等情况的不同，通常会消耗5.8 mb到36mb内存不等。idle如果你在任务管理器看到它显示99%的占用率，千万不要害怕，实际上这是好事，因为这表示你的计算机目前有99%的性能等待你的使用！这是关键进程，不能结束。该进程只有16kb的大小，循环统计cpu的空闲度。7。lsass.exe进程文件: lsass or lsass.exe进程名称: 本地安全权限服务描述: 这个本地安全权限服务控制windows安全机制。进程详解：管理 ip 安全策略以及启动 isakmp/oakley (ike) 和 ip 安全驱动程序。(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket),也就是本地安全权限服务,属于windowsde 的核心进程之一,也被黑客千方百计的寻找漏洞,大名鼎鼎的震荡波利用的就是其中一个漏洞。8。services.exe进程文件: services or services.exe进程名称: windows service controller描述: 管理windows服务。9。winlogon.exe进程文件: winlogon or winlogon.exe进程名称: windows logon process描述: windows nt用户登陆程序。winlogon.exe 这个进程处理登录和注销任务，事实上，这个进程是必需的，它的大小和你登录的时间有关系，我曾亲眼看见这个进程占用空间的波动情况，一个是登录一个小时左右，内存在1.2mb到8.5mb之间波动；另一个是登录了40多天，内存在1.7mb到17mb之间波动。10。csrss.exe进程文件: csrss or csrss.exe进程名称: client/server runtime server subsystem描述: 客户端服务子系统，用以控制windows图形相关子系统。它是windows的核心部分之一，全称为client server runtime process。我们不能结束该进程。这个只有4k的进程经常消耗3mb到6mb左右的内存，建议不要禁止该进程，而且它很难去除，不如让它运行好了。11。smss.exe进程文件: smss or smss.exe进程名称: session manager subsystem描述: 该进程为会话管理子系统用以初始化系统变量，ms-dos驱动名称类似lpt1以及com，调用win32壳子系统和运行在windows登陆过程。smss.exe 它只有45kb的大小却占据着300kb到2mb的内存空间，这是一个windows的核心进程之一，是windows nt内核的会话管理程序。12。system进程文件: system或system进程名称: 窗口系统过程描述: 微软公司窗口系统进程。13。system process 进程文件: system process or system process进程名称: windows内存处理系统进程描述: windows页面内存管理进程，拥有0级优先。14。alg.exe进程文件: alg or alg.exe进程名称: 应用层网关服务描述: 这是一个应用层网关服务用于网络共享。15。ddhelp.exe进程文件: ddhelp or ddhelp.exe进程名称: directdraw helper描述: directdraw helper是directx这个用于图形服务的一个组成部分。16。dllhost.exe进程文件: dllhost or dllhost.exe进程名称: dcom dll host进程描述: dcom dll host进程支持基于com对象支持dll以运行windows程序。17。inetinfo.exe进程文件: inetinfo or inetinfo.exe进程名称: iis admin service helper描述: inetinfo是microsoft internet infomation services (iis)的一部分，用于debug调试除错。18。internat.exe进程文件: internat or internat.exe进程名称: input locales描述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。 19。kernel32.dll进程文件: kernel32 or kernel32.dll进程名称: windows壳进程描述: windows壳进程用于管理多线程、内存和资源。20。mdm.exe进程文件: mdm or mdm.exe进程名称: machine debug manager描述: debug除错管理用于调试应用程序和microsoft office中的microsoft script editor脚本编辑器。21。mmtask.tsk进程文件: mmtask or mmtask.tsk进程名称: 多媒体支持进程描述: 这个windows多媒体后台程序控制多媒体服务，例如midi。22。mprexe.exe进程文件: mprexe or mprexe.exe进程名称: windows路由进程描述: windows路由进程包括向适当的网络部分发出网络请求。23。msgsrv32.exe进程文件: msgsrv32 or msgsrv32.exe进程名称: windows信使服务描述: windows信使服务调用windows驱动和程序管理在启动。24。mstask.exe进程文件: mstask or mstask.exe进程名称: windows计划任务描述: windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。 25。regsvc.exe进程文件: regsvc or regsvc.exe进程名称: 远程注册表服务描述: 远程注册表服务用于访问在远程计算机的注册表。26。rpcss.exe进程文件: rpcss or rpcss.exe进程名称: rpc portmapper描述: windows 的rpc端口映射进程处理rpc调用(远程模块调用)然后把它们映射给指定的服务提供者。27。snmp.exe进程文件: snmp or snmp.exe进程名称: microsoft snmp agent描述: windows简单的网络协议代理（snmp）用于监听和发送请求到适当的网络部分。28。spool32.exe进程文件: spool32 or spool32.exe进程名称: printer spooler描述: windows打印任务控制程序，用以打印机就绪。29。stisvc.exe进程文件: stisvc or stisvc.exe进程名称: still image service描述: still image service用于控制扫描仪和数码相机连接在windows。30。taskmon.exe进程文件: taskmon or taskmon.exe进程名称: windows task optimizer描述: windows任务优化器监视你使用某个程序的频率，并且通过加载那些经常使用的程序来整理优化硬盘。31。tcpsvcs.exe进程文件: tcpsvcs