系统进程与用户进程.doc

实验四: 认清系统进程及用户进程 smss.exe 　Session Manager 这个进程是不可以从任务管理器中关掉的。 这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的， 包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（就是挂起）。  spoolsv.exe 这个进程是不可以从任务管理器中关掉的。 缓冲（spooler）服务是管理缓冲池中的打印和传真作业。 service.exe 这个进程是不可以从任务管理器中关掉的。 大多数的系统核心模式进程是作为系统进程在运行。 包含很多系统服务 csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录和推出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了，显示安全对话框。 winmgmt.exe win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化 lsass.exe 这个进程是不可以从任务管理器中关掉的。 这是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。 svchost.exe 包含很多系统服务，但经常会有病毒或木马的可执行程序改成此进程名，如何判断此进程为系统正常的进程还是病毒，你可试着删除，如果能被删除，则可能是病毒！ !!!-eventsystem,(SPOOLSV.EXE 将文件加载到内存中以便迟后打印等。)(附：Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的 %systemroot%\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使 多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务， 以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误. Svchost.exe 组是用下面的注册表值来识别。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost 每个在这个键下的值代表一个独立的Svchost组，并且当你正在看活动的进程时，它显示作为一个单独的 例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个 或多个从注册表值中选取的服务名，这个服务的参数值包含了一个ServiceDLL值。 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service 结合任务管理器中的“查看”—“选择列”—勾选“线程计数”，查看该进程是否占用CPU很高，且线程数也很高，如上100个线程，则此进程非常危险！ explorer.exe 资源管理器 (internat.exe 托盘区的拼音图标) 就像任务条，桌面等等。这个进程并不是像你想象的那样是作为一个重要的进程运行在windows中，你可以从任务管理器中停掉它，或者重新启动。 通常不会对系统产生什么负面影响。 taskmagr.exe 这个进程就是任务管理器。 System Idle Process 这个进程是不可以从任务管理器中关掉的。 这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器。 mstask.exe 这个进程是不可以从任务管理器中关掉的。 这是一个任务调度服务，负责用户事先决定在某一时间运行的任务的运行。 internat.exe 这个进程是可以从任务管理器中关掉的。 internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加载内容的。 internat.exe 加载“EN”图标进入系统的图标区，允许使用者可以很容易的转换不同的输入点。 当进程停掉的时候，图标就会消失，但是输入点仍然可以通过控制面板来改变。 附加的系统