第六章 win2003 server进程说明.doc

win2003 server进程说明 我的截图是在虚拟机下的，所以会有vmvare工具的进程存在，vmvare工具的相关进程不在说明，仅仅说明默认进程； 后面会补充其他常见的win2003 进程 图： svchost.exe Service Host Process是一个标准的动态连接库(dll)主机处理服务； 是windows系统的一个核心进程，一般在windows系统中该进程的数目是4个或4个以上； windows系统进程分为独立进程和共享进程两种，“svchost.exe”文件存在于“%systemroot% system32”目录下，它属于共享进程。随着windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由 svchost.exe进程来启动。但svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。 可以在cmdtasklist /svc 查看到svchost启动的服务； svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm”）。 svchost.exe进程在注册表中的键值：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Svchost ctfmon.exe 全称：Alternative User Input Services ctfmon.exe是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序，和微软Office XP语言条；此进程可以终止； wuauclt.exe 全称：AutoUpdate for Windows Wuauclt.exe是Windows自动升级管理程序。该进程会不断在线检测更新。删除该进程将使你无法得到最新更新信息。 如果此进程出现了2个，说明其中一个为非法进程(病毒或木马)； lsass.exe 本地安全权限服务 这个本地安全权限服务控制Windows安全机制。 注意：lsass.exe也有可能是病毒； 管理IP安全策略以及启动 ISAKMP/Oakley (IKE)和IP安全驱动程序等； Lsass.exe服务崩溃，系统在30秒内重新启动； services.exe 全称：Windows Service Controller 管理Windows服务，services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的； 该进程也容易受到病毒和木马的感染和伪装； wmiprvse.exe 全称：Microsoft Windows Management Instrumentation wmiprvse.exe是微软Windows操作系统的一部分。用于通过WinMgmt.exe程序处理WMI操作。这个程序对你系统的正常运行是非常重要的。 此进程容易受到病毒和木马的感染； winlogon.exe 全称：Windows Logon Process Windows NT用户登陆程序，它用于处理你登陆和退出系统过程。该进程在你系统的作用是非常重要； 如果此进程名为大写，说明可以感染病毒或木马； csrss.exe 全称：Client/Server Runtime Server Subsystem csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务； 此进程容易受到病毒和木马的感染； explorer.exe Windows Program Manager或者Windows Explorer用于控制Windows图形Shell，包括开始菜单、任务栏，桌面和文件管理； 可以在运行中输入：explorer打开该进程，并同时重新加载注册表，对于修改注册表后需要重启的情况很有效； taskmgr.exe 全称：The Windows Task Manager. taskmgr.exe用于Windows任务管理器。就是我打开的任务管理器，它显示你系统中正在运行的进程。该程序使用Ctrl+Alt+Del打开，这不是纯粹的系统程序； 可以直接在运行中输入：taskmgr 打开windows任务管理器 conime.exe conime.exe是输入法编辑器，允许用户使用标准键盘就能输入复杂的字符与符号；往往在运行cmd.exe之后会出现； conime经常会被病毒利用感染，建议删除； 不过，删