I、最基本的系统进程

I、最基本的系统进程II、附加的系统进程III、应该关掉的服务IV、模块一览V、WIN2000的常用服务列表一、最基本的系统进程(系统运行的基本条件，有了这些进程，系统就能正常运行）SystemIdleProcess这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。smss。exeSessionManager这是一个会话管理子系统，负责启动用户会话.这个进程是通过系统进程初始化的，并且对许多活动的,包括已经正在运行的Winlogon，Win32（Csrss。exe）线程和设定的系统变量作出反映.在它启动这些进程后，它等待Winlogon或者Csrss结束.如果这些过程时正常的,系统就关掉了.如果发生了什么不可预料的事情，smss。exe就会让系统停止响应（就是挂起）。csrss。exe子系统服务器进程，负责控制windows,创建或者删除线程和一些16位的虚拟MS—DOS环境。winlogon.exe这个进程是管理用户登录和推出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了，显示安全对话框services。exe包含很多系统服务lsass。exe这是一个本地的安全授权服务，管理IP安全策略以及启动ISAKMP/Oakley（IKE)和IP安全驱动程序。并且它会为使用winlogon服务的授权用户生成一个进程.这个进程是通过使用授权的包，例如默认msgina.dll来执行的.如果授权是成功的，lsass就会产生用户的进入令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。svchost.exe在启动的时候，Svchost.exe检查注册表中的位置来构建需要加载的服务列表.多个Svchost.exe可以在同一时间运行；每个Svchost。exe的会话期间都包含一组服务,单独的服务必须依靠Svchost.exe获知怎样和在那里启动。SPOOLSV。EXE管理缓冲池中的打印和传真作业。(系统服务）explorer.exe资源管理器。internat.exe托盘区的输入法图标.二、附加的系统进程（不是必要的，可以根据需要通过服务管理器来增加或减少）mstask.exe允许程序在指定时间运行。(系统服务）regsvc.exe允许远程注册表操作。（系统服务)winmgmt.exe提供系统管理信息(系统服务)。它是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化.inetinfo.exe通过Internet信息服务的管理单元提供FTP连接和管理。(系统服务）tlntsvr.exe允许远程用户登录到系统并且使用命令行运行控制台程序.（系统服务)允许通过Internet信息服务的管理单元管理Web和FTP服务。（系统服务）tftpd.exe实现TFTPInternet标准。该标准不要求用户名和密码。远程安装服务的一部分。（系统服务)termsrv。exe提供多会话环境允许客户端设备访问虚拟的Windows2000Professional桌面会话以及运行在服务器上的基于Windows的程序。（系统服务)dns。exe应答对域名系统(DNS)名称的查询和更新请求。（系统服务）三、应该关掉的服务（里面的服务很少会用到,可能对安全有害）tcpsvcs。exe提供在PXE可远程启动客户计算机上远程安装Windows2000Professional的能力。(系统服务)支持以下TCP/IP服务：CharacterGenerator，Daytime，Discard,Echo,以及QuoteoftheDay。(系统服务)ismserv。exe允许在WindowsAdvancedServer站点间发送和接收消息。（系统服务)ups。exe管理连接到计算机的不间断电源（UPS）。(系统服务）wins.exe为注册和解析NetBIOS型名称的TCP/IP客户提供NetBIOS名称服务。(系统服务)llssrv.exeLicenseLoggingService(systemservice）ntfrs。exe在多个服务器间维护文件目录内容的文件同步。（系统服务）RsSub.exe控制用来远程储存数据的媒体。(系统服务)locator.exe管理RPC名称服务数据库.(系统服务）lserver.exe注册客户端许可证。（系统服务)dfssvc。exe管理分布于局域网或广域网的逻辑卷。（系统服务)clipsrv。exe支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。(系统服务）msdtc。exe并列事务，是分布于两个以上的数据库,消息队列，文件系统,或其它事务保护资源管理器。（系统服务）faxsvc。exe帮助您发送和接收传真。（系统服务）cisvc。exeIndexingService（systemservice)dmadmin。exe磁盘管理请求的系统管理服务。（系统服务)mnmsrvc。exe允许有权限的用户使用NetMeeting远程访问Windows桌面.（系统服务）netdde。exe提供动态数据交换（DDE）的网络传输和安全特性。(系统服务)smlogsvc。exe配置性能日志和警报。(系统服务）rsvp。exe为依赖质量服务(QoS）的程序和控制应用程序提供网络信号和本地通信控制安装功能。（系统服务)RsEng.exe协调用来储存不常用数据的服务和管理工具.(系统服务)RsFsa。exe管理远程储存的文件的操作。(系统服务）grovel。exe扫描零备份存储（SIS）卷上的重复文件,并且将重复文件指向一个数据存储点，以节省磁盘空间。（系统服务）SCardSvr。exe对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。（系统服务)snmp。exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。（系统服务）snmptrap。exe接收由本地或远程SNMP代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上SNMP管理程序。（系统服务)UtilMan.exe从一个窗口中启动和配置辅助工具。（系统服务)msiexec。exe依据.MSI文件中包含的命令来安装、修复以及删除软件。(系统服务)四、模块一览:名称模块所在位置何时被启动/加载由谁启动hal.dll硬件抽象层系统启动时系统ntoskrnl。exe微内核和执行体系统启动时系统kernel32.dllwin32子系统。dll系统启动时系统gdi32。dllwin32子系统.dll系统启动时系统user32。dllwin32子系统.dll系统启动时系统advapi32。dllwin32子系统.dll系统启动时系统smss。exe会话管理器系统启动时系统win32k.syswin32的内核模式部分系统启动时smss.execsrss。exewin32子系统进程系统启动时smss。exewinlogon.exewindows登陆进程系统启动时smss。exemsgina.dll缺省gina系统启动时winlogon。exelsass。exe本地安全性鉴别服务器系统启动时winlogon.exentdll.dll支持函数和到执行体的接口系统启动时smss.exeservices.exe服务控制器和大多数系统服务系统启动时smss.exeos2ss。exeos/2子系统进程根据需要smss。exepsxdll。dllposix子系统.dll根据需要smss。exepsxss.exeposix子系统进程根据需要smss.exe五、WIN2000的常用服务列表服务名称：Alerter显示名称：Alerter描述：通知所选用户和计算机有关系统管理级警报。可执行文件的路径：C：WINNTSystem32services。exe(假设系统在C盘,以下同）服务名称：AppMgmt显示名称：ApplicationManagement描述:提供软件安装服务，诸如分派,发行以及删除.可执行文件的路径：C：WINNTsystem32services.exe服务名称：AtiHotKeyPoller显示名称:AtiHotKeyPoller描述：［]可执行文件的路径：C:WINNTSystem32Ati2evxx.exe服务名称：ClipSrv显示名称：ClipBook描述:支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。可执行文件的路径：C：WINNTsystem32clipsrv.exe服务名称:EventSystem显示名称：COM+EventSystem描述:提供事件的自动发布到订阅COM组件。可执行文件的路径：C:WINNTSystem32svchost.exe-knetsvcs服务名称:Browser显示名称：ComputerBrowser描述:维护网络上计算机的最新列表以及提供这个列表给请求的程序。可执行文件的路径：C：WINNTSystem32services.exe服务名称：Dhcp显示名称：DHCPClient描述：通过注册和更改IP地址以及DNS名称来管理网络配置。可执行文件的路径：C:WINNTSystem32services。exe服务名称：TrkWks显示名称:DistributedLinkTrackingClient描述：当文件在网络域的NTFS卷中移动时发送通知。可执行文件的路径：C:WINNTsystem32services.exe服务名称：MSDTC显示名称：DistributedTransactionCoordinator描述：并列事务,是分布于两个以上的数据库,消息队列，文件系统,或其它事务保护资源管理器。可执行文件的路径：C:WINNTSystem32msdtc.exe服务名称：Dnscache显示名称：DNSClient描述：解析和缓冲域名系统(DNS）名称.可执行文件的路径：C：WINNTSystem32services.exe服务名称：Eventlog显示名称：EventLog描述：记录程序和Windows发送的事件消息。事件日志包含对诊断问题有所帮助的信息.您可以在“事件查看器”中查看报告.可执行文件的路径：C:WINNTsystem32services.exe服务名称：Fax显示名称:FaxService描述：帮助您发送和接收传真可执行文件的路径：C：WINNTsystem32faxsvc.exe服务名称:MSFTPSVC显示名称:FTPPublishingService描述：通过Internet信息服务的管理单元提供FTP连接和管理。可执行文件的路径：C:WINNTSystem32inetsrvinetinfo.exe服务名称:IISADMIN显示名称：IISAdminService描述：允许通过Internet信息服务的管理单元管理Web和FTP服务.可执行文件的路径:C：WINNTSystem32inetsrvinetinfo。exe服务名称：cisvc显示名称：IndexingService描述：本地和远程计算机上文件的索引内容和属性;通过灵活查询语言提供文件快速访问。可执行文件的路径：C:WINNTSystem32cisvc。exe服务名称：Irmon显示名称：InfraredMonitor描述:支持安装在这台计算机上的红外设备并且检测在有效范围内的其它红外设备。可执行文件的路径：C:WINNTSystem32svchost.exe—knetsvcs服务名称：SharedAccess显示名称：InternetConnectionSharing描述：为通过拨号网络连接的家庭网络中所有计算机提供网络地址转换、定址以及名称解析服务。可执行文件的路径:C：WINNTSystem32svchost。exe-knetsvcs服务名称:PolicyAgent显示名称：IPSECPolicyAgent描述：管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。可执行文件的路径：C：WINNTSystem32lsass.exe服务名称：dmserver显示名称：LogicalDiskManager描述：逻辑磁盘管理器监视狗服务可执行文件的路径：C：WINNTSystem32services.exe服务名称:dmadmin显示名称：LogicalDiskManagerAdministrativeService描述：磁盘管理请求的系统管理服务可执行文件的路径：C：WINNTSystem32dmadmin.exe/com服务名称:Messenger显示名称：Messenger描述：发送和接收系统管理员或者“警报器”服务传递的消息。可执行文件的路径：C：WINNTSystem32services.exe服务名称：MSUpdate显示名称：MicrosoftWindowsUpdateService描述：Microsoft（R）WindowsUpdate可执行文件的路径:C:WINNTSystem32wupdmgr32.exe服务名称：Netlogon显示名称:NetLogon描述：支持网络上计算机pass—through帐户登录身份验证事件。可执行文件的路径:C：WINNTSystem32lsass.exe服务名称：mnmsrvc显示名称:NetMeetingRemoteDesktopSharing描述：允许有权限的用户使用NetMeeting远程访问Windows桌面。可执行文件的路径:C:WINNTSystem32mnmsrvc.exe服务名称：Netman显示名称：NetworkConnections描述：管理“网络和拨号连接”文件夹中对象，在其中您可以查看局域网和远程连接。可执行文件的路径：C:WINNTSystem32svchost。exe-knetsvcs服务名称：NetDDE显示名称：NetworkDDE描述：提供动态数据交换(DDE）的网络传输和安全特性。可执行文件的路径：C：WINNTsystem32netdde。exe服务名称：NetDDEdsdm显示名称：NetworkDDEDSDM描述:管理网络DDE的共享动态数据交换可执行文件的路径：C:WINNTsystem32netdde.exe服务名称：NtLmSsp显示名称：NTLMSecuritySupportProvider描述：为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。可执行文件的路径：C:WINNTSystem32lsass.exe服务名称：SysmonLog显示名称：PerformanceLogsandAlerts描述：配置性能日志和警报。可执行文件的路径：C:WINNTsystem32smlogsvc。exe服务名称：PlugPlay显示名称：PlugandPlay描述:管理设备安装以及配置，并且通知程序关于设备更改的情况.可执行文件的路径：C:WINNTsystem32services.exe服务名称：Spooler显示名称：PrintSpooler描述：将文件加载到内存中以便迟后打印.可执行文件的路径：C：WINNTsystem32spoolsv。exe服务名称：ProtectedStorage显示名称:ProtectedStorage描述:提供对敏感数据(如私钥)的保护性存储，以便防止未授权的服务，过程或用户对其的非法访问。可执行文件的路径：C：WINNTsystem32services.exe服务名称:RSVP显示名称:QoSRSVP描述：为依赖质量服务(QoS）的程序和控制应用程序提供网络信号和本地通信控制安装功能。可执行文件的路径：C:WINNTSystem32rsvp.exe—s服务名称:RasAuto显示名称：RemoteAccessAutoConnectionManager描述：无论什么时候当某个程序引用一个远程DNS或NetBIOS名或者地址就创建一个到远程网络的连接。可执行文件的路径:C:WINNTSystem32svchost。exe—knetsvcs服务名称：RasMan显示名称：RemoteAccessConnectionManager描述：创建网络连接。可执行文件的路径：C:WINNTSystem32svchost.exe-knetsvcs服务名称：RpcSs显示名称：RemoteProcedureCall(RPC）描述：提供终结点映射程序（endpointmapper）以及其它RPC服务。可执行文件的路径：C:WINNTsystem32svchost—krpcss服务名称:RpcLocator显示名称：RemoteProcedureCall（RPC）Locator描述：管理RPC名称服务数据库.可执行文件的路径：C：WINNTSystem32locator。exe服务名称：RemoteRegistry显示名称：RemoteRegistryService描述：允许远程注册表操作.可执行文件的路径：C:WINNTsystem32regsvc.exe服务名称:NtmsSvc显示名称：RemovableStorage描述：管理可移动媒体、驱动程序和库。可执行文件的路径:C:WINNTSystem32svchost。exe—knetsvcs服务名称:RemoteAccess显示名称：RoutingandRemoteAccess描述：在局域网以及广域网环境中为企业提供路由服务.可执行文件的路径：C：WINNTSystem32svchost.exe-knetsvcs服务名称：seclogon显示名称：RunAsService描述:在不同凭据下启用启动过程可执行文件的路径：C:WINNTsystem32services.exe服务名称：SamSs显示名称:SecurityAccountsManager描述：存储本地用户帐户的安全信息。可执行文件的路径：C:WINNTsystem32lsass。exe服务名称：lanmanserver显示名称：Server描述：提供RPC支持、文件、打印以及命名管道共享。可执行文件的路径：C:WINNTSystem32services。exe服务名称:ServiceSupport显示名称：ServiceSupport描述：WindowsServiceSupport可执行文件的路径：C：WINNTSystem32srvsupp.exe服务名称:SMTPSVC显示名称：SimpleMailTransportProtocol（SMTP）描述:跨网传送电子邮件可执行文件的路径:C：WINNTSystem32inetsrvinetinfo.exe服务名称：SCardSvr显示名称:SmartCard描述：对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。可执行文件的路径：C:WINNTSystem32SCardSvr。exe服务名称：SCardDrv显示名称：SmartCardHelper描述：提供对连接到计算机上旧式智能卡的支持。可执行文件的路径:C:WINNTSystem32SCardSvr.exe服务名称：SENS显示名称：SystemEventNotification描述：跟踪系统事件,如登录Windows，网络以及电源事件等.将这些事件通知给COM+事件系统“订阅者(subscriber）"。可执行文件的路径：C:WINNTsystem32svchost。exe—knetsvcs服务名称：Schedule显示名称：TaskScheduler描述：允许程序在指定时间运行。可执行文件的路径:C：WINNTsystem32MSTask。exe服务名称：LmHosts显示名称：TCP/IPNetBIOSHelperService描述：允许对“TCP/IP上NetBIOS(NetBT)”服务以及NetBIOS名称解析的支持。可执行文件的路径：C:WINNTSystem32services.exe服务名称：TapiSrv显示名称：Telephony描述：提供TAPI的支持，以便程序控制本地计算机，服务器以及LAN上的电话设备和基于IP的语音连接。可执行文件的路径：C：WINNTSystem32svchost。exe—knetsvcs服务名称:TlntSvr显示名称：Telnet描述:允许远程用户登录到系统并且使用命令行运行控制台程序。可执行文件的路径：C:WINNTsystem32tlntsv