常用Windows-任务管理器进程详解.doc

Win2000/XP 的任务管理器是一个非常有用的工具，它能提供我们很多信息，比如现在系统中运行的程序(进程)，但是面对那些文件可执行文件名我们可能有点茫然，不知道它们是做什么的，会不会有可疑进程(病毒，木马等)。本文的目的就是提供一些常用的Win2000/XP 中的进程名，并简单说明它们的用处。在W2K/XP 中，同时按下crtl+shift+Esc 键，可以打开Windows 任务管理器，单击“进程”，可以看到很多正在运行的进程，仔细看看有很多奇怪的EXE 文件在运行？下面这些并不是真正的服务，而是在不同情况下运行的程序或进程，很多还是必需的进程。【Csrss】：这是Windows 的核心部份之一，全称为ClientServerProcess。我们不能结束该进程。这个只有4K 的进程经常消耗3MB 到6MB 左右的内存，建议不要修改此进程，让它运行好了。【Ctfmon】：这是安装了WinXP(尤其是安装oficeXP)后，在桌面右下角显示的“语言栏”，如果不希望它出现，可通过下面的步骤取消：双击“控制面板”，“区域和语言设置”，单击“语言”标签，单击“详细信息”按钮，打开“文字服务和输入语言”对话框，单击下面“首选项”的“语言栏”按钮，打开“语言栏设置”对话框，取消“在桌面上显示语言栏”的勾选即可。不要小看这个细节，它会为你节省1.5MB 到4MB 的内存。【dovldr32】：如果你有一个CreativeSBLive 系列的声卡，就可能击现这个进程，它占用大约2.3MB 到2.6MB 的内存。有些奇怪的是，当我从任务栏禁止了这个进程后，通过DVD 实验，并没有发生任何错误。但如果你将这个文件重新命名了，就会出现windows 的文件保护警告窗口，而且CreativeMixer 和AudioHQ 程序加载出错。当然你希望节省一些内存，那么可以将它禁止。【explorer】：这可不是InternetExplorer，explorer.exe 总是在后台运行，它控制着标准的用户界面、进程、命令和桌面等，如果打开“任务管理器”，就会看到一个explorer.exe 在后台运行。根据系统的字体、背景图片、活动桌面等情况的不同，通常会消耗5.8MB 到36MB 内存不等。【Ldle】：如果你在“任务管理器”看到它显示99%的占用率，千万不要害怕，实际上这是好事，因为这表示你的计算机目前有99%的性能等待你使用!这是关键进程，不能结束。该进程只有16KB 的大小，循环统计CPU 的空闲度。【IEXPLORE】：这才是IE 浏览器。当我们用它上网冲浪时，它占有7.3MB甚至更多的内存。当然，这个随着打开的浏览器窗口的增加而增多。但当关闭所有IE 窗口时，它并不会从任务管理器消失，IEXPLORE.EXE 依然在后台运行着，它的作用是加快我们再一次打开IE 的速度。【GenericHostProcessforWin32Services】：如果你安装了ZoneAlarm以后，在连接Internet 时ZonAlarm 总是抱怨链接不到Internet，那么你就应该好好看看下面的文字。Svhost.exe 就是GenericServiceHost，意思就是说，它是其他服务的主机。如果你的Internet 连接不工作了，很有可能是你禁止了一些必须的服务，比如如果你禁止了“DNS 搜索”功能，那么当你输入 时就不会连接上网，但如果输入IP地址，尽管还是可以上网，但实际上你已经破坏了上网冲浪的关键进程!【msmsgs】：这是微软的WindowsMessengr(即时通信软件)着名的MSN进程，在WinXP 的家庭版和专业版里面绑定的，如果你还运行着Outlook和MSNExplorer 等程序，该进程会在后台运行支持所有这些微软号称的很Cool 的，NET 功能等新技术。【msn6】：这是微软在WinXP 里面绑定的MSNExplorer(MSN 浏览器)进程，该进程需要msmsgs.exe 事先运行。【Navpw32】：这是安装了NortonAntiVirus2002 软件后启动的进程，除非你不需要病毒检测功能了，否则不要结束这个进程，这个进程同时还承担着自动升级病毒定义库文件的功能和在系统任务栏显示一个小图标的功能。【Point32】：这是安装了特殊的鼠标软件(Intellimouse 等等)后启动的等程序，由于在WinXP 里面内建了很多鼠标新功能，所以，就没有必要在系统后台运行，既浪费1.1MB 到1.6MB 的内存，还要在任务栏占个地方!【Promon】：这是Intel 系列显卡安装的程序，在任务栏显示图标控制程序，占据大约656KB 到1.1MB 的内存。【Smss】：只有45KB 的大小却占据着300KB 到2MB 的内存空间，这是一个Windows 的核心进程之一，是windowsNT 内核的会话管理程序。【Svchost】：这实际上是一个服务(service)，有时你会经常在“任务管理器”里看到好几个一样的该进程(分别掌管着system,network,user 或者其他)，在windowsXP 里面，如果你结束了这个进程，那么系统就会在一分钟之内自动关闭，在windows2000 中，该进程将显示为关键进程，禁止结束!【SystemIDLEProcess】：这是一个当没有任何程序或者进程对CPU 发出请求的时候调用的普通进程，该进程不能被结束，如果它显示CPU 占用率是97%，那就意味着只有3%的CPU 进程被真正的程序占用着，如果你发现这个ldleprocesses 一直保持很低的数值(比如一直显示3%)，那么肯定有一个应用程序一直在运行着，需要检查一下!【taskmgr】：如果你看到了这个进程在运行，其实就是看这个进程的“任务管理器”本身。它大约占用了3.2MB 的内存，当你优化系统时，不要忘了把它也算进去。【Vptray】：这是NortonAV 显示在任务栏的一个图标的进程，占用大约2.9MB 左右的内存如果我们从任务栏将这个图标移走，能够收回一些内存，但是实际上它还在后台运行着。【Winlogon】：这个进程处理登录和注销任务，事实上，这个进程是必需的，它的大小和你登录的时间有关系，我曾亲眼看见这个进程占用空间的波动情况，一个是登录一个小时左右，内存在1.7MB 到8.5MB 之间波动;另一个登录了40 多天，内存在1.7MB 到17MB 之间波动。【Wowexec】：当你运行一些老的应用程序(比如一些16 位的程序)或者DOS 控制台下运行DOS 命令行程序，你就会在进程里面发现它。【TaskSwitch】：在XP 系统中安装了powerToys 后会出现此进程，按Alt+Tab 键显示切换图标，大约占用1.4MB 到2MB 的内存空间。【在WIN2000/XP 中,系统包含以下缺省进程】：Csrss.exeExplorer.exeInternat.exeLsass.exeMstask.exeSmss.exeSpoolsv.exeSvchost.exeServices.exeSystemSystemIdleProcessTaskmgr.exeWinlogon.exeWinmgmt.exe【下面列出更多的进程和它们的简要说明】进程名描述smss.exeSessionManagercsrss.exe子系统服务器进程winlogon.exe 管理用户登录services.exe 包含很多系统服务lsass.exe管理IP 安全策略以及启动ISAKMP/Oakley(IKE)和IP 安全驱动程序svchost.exeWindows2000/XP 的文件保护系统SPOOLSV.EXE 将文件加载到内存中以便迟后打印explorer.exe 资源管理器internat.exe 托盘区的拼音图标mstask.exe允许程序在指定时间运行。regsvc.exe允许远程注册表操作。(系统服务)-remoteregisterwinmgmt.exe 提供系统管理信息(系统服务)inetinfo.exemsftpsvc,w3svc,iisadmntlntsvr.exetlnrsvrtftpd.exe 实现TFTPInternet 标准。该标准不要求用户名和密码termsrv.exetermservicedns.exe应答对域名系统(DNS)名称的查询和更新请求tcpsvcs.exe 提供在PXE 可远程启动客户计算机上远程安装2000Professional 的能力ismserv.exe 允许在WindowsAdvancedServer 站点间发送和接收消息ups.exe管理连接到计算机的不间断电源(UPS)wins.exe为注册和解析NetBIOS 型名称的TCP/IP 客户提供NetBIOS 名称服务llssrv.exe 证书记录服务ntfrs.exe 在多个服务器间维护文件目录内容的文件同步RsSub.exe 控制用来远程储存数据的媒体locator.exe 管理RPC 名称服务数据库lserver.exe 注册客户端许可证dfssvc.exe 管理分布于局域网或广域网的逻辑卷clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统或其它事务保护资源管理器。faxsvc.exe 帮助您发送和接收传真。cisvc.exe 索引服务madmin.exe 磁盘管理请求的系统管理服务。mnmsrvc.exe 允许有权限的用户使用NetMeeting 远程访问Windows 桌面。netdde.exe 提供动态数据交换(DDE)的网络传输和安全特性。smlogsvc.exe 配置性能日志和警报。rsvp.exe为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功功能。RsEng.exe 协调用来储存不常用数据的服务和管理工具。RsFsa.exe 管理远程储存的文件的操作。grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间(只对NTFS 文件系统有用)SCardSvr.ex 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。snmp.exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。snmptrap.exe 接收由本地或远程SNMP 代理程序产生的陷阱(trap)消息，然后将消息传递到运行在这台计算机上SNMP 管理程序。UtilMan.exe 从一个窗口中启动和配置辅助工具。msiexec.exe 依据.MSI 文件中包含的命令来安装、修复以及删除软件。【总结】：发现可疑进程的秘诀就是要多看任务管理器中的进程列表，看多了以后，一眼就可以发现可可疑进程，就象找一群熟悉人中的陌生人一样。 Windows XP 常见的进程列表 下面是系统的进程列表最基本的系统进程（也就是说，这些进程是系统运行的基本条件，有了这些进程，系统就能正常运行）smss.exe Session Managercsrss.exe 子系统服务器进程winlogon.exe 管理用户登录services.exe 包含很多系统服务lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务)产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)svchost.exe 包含很多系统服务svchost.exeSPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)explorer.exe 资源管理器internat.exe 托盘区的拼音图标附加的系统进程（这些进程不是必要的，你可以根据需要通过服务管理器来增加或减少）mstask.exe 允许程序在指定时间运行。(系统服务)regsvc.exe 允许远程注册表操作。(系统服务)winmgmt.exe 提供系统管理信息(系统服务)。inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000Professional 桌面会话以及运行在服务器上的基于 Windows 的程序。(系统服务)dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)以下服务很少会用到，上面的服务都对安全有害，如果不是必要的应该关掉tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000Professional 的能力。(系统服务)支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及Quote of the Day。(系统服务)ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)llssrv.exe License Logging Service(system service)ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)RsSub.exe 控制用来远程储存数据的媒体。(系统服务)locator.exe 管理 RPC 名称服务数据库。(系统服务)lserver.exe 注册客户端许可证。(系统服务)dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)clipsrv.exe 支持剪贴簿查看器，以便可以从远程剪贴簿查阅剪贴页面。(系统服务)msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务)faxsvc.exe 帮助您发送和接收传真。(系统服务)cisvc.exe Indexing Service(system service)dmadmin.exe 磁盘管理请求的系统管理服务