Windows进程及服务详解--让病毒无处藏身.docx

让病毒无处藏身 Windows进程及服务详解作者：柳焚烟出处：IT专家网2007-09-29 08:49　　【IT专家网独家】相信每个计算机用户都或多或少遭受过病毒的侵袭，虽然大多的用户都安装有杀毒软件，但是目前病毒的发展趋势是首先针对杀毒软件，一旦判断出杀毒软件第一步就是先干掉杀毒软件。面对这样的情况，手动查杀病毒就不可避免了。而手动查杀病毒的前提就是要结束掉病毒的进程和服务，否则病毒程序根本无法删除。那么，什么是病毒的进程呢，病毒的进程又具备哪些特点呢?了解了Windows系统进程之后，非系统的病毒进程就容易判断了。在此，结合实例介绍Windows操作系统进程和基础的病毒进程判断。　　一、首先描述下最基本的系统进程，也就是说，这些进程是系统运行的基本条件，有了这些进程，系统就能正常运行。　　smss.exe：Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话(系统服务);　　alg.exe：Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙(系统服务);　　csrss.exe：微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务(系统服务);　　winlogon.exe：Windows登陆管理器，用于处理系统的登陆和登陆过程(系统服务);　　services.exe：是Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务(系统服务);　　lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务);　　svchost.exe：是一个属于微软Windows操作系统的系统程序，包含很多系统服务，用于执行DLL文件(系统服务)。系统中根据启动的服务多少，该进程数量也会不同，一般在4-5个左右。　　spoolsv.exe:用于将Windows打印机任务发送给本地打印机.　　explorer.exe：Windows程序管理器或者Windows资源管理器，它用于管理Windows图形壳，包括开始菜单、任务栏、桌面和文件管理;　　rundll32.exe：用于在内存中运行DLL文件，它们会在应用程序中被使用;　　internat.exe：Windows多语言输入程序，托盘区的拼音图标，附加的系统进程(这些进程不是必要的，你可以根据需要通过服务管理器来增加或减少);　　ctfmon.exe：Microsoft Office产品套装的一部分。它可以选择用户文字输入程序，和微软Office XP语言条。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题;　　mdm.exe：indows进程除错程序。用于使用可视化脚本工具对Internet Explorer除错(系统服务);　　mstask.exe Windows计划任务程序。它用于管理计划任务，包括备份和更新，定时运行。如果你删除该进程，计划任务将无法运行(系统服务);　　regsvc.exe：Windows服务集中的一个系统服务。它用于远程计算机访问本地注册表。一些本地程序也能够通过该服务编辑注册表 (系统服务);　　winmgmt.exe：提供系统管理信息(系统服务)。　　inetinfo.exe：通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)　　tlntsvr.exe：允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)　　tftpd.exe：实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)　　termsrv.exe：提供多会话环境允许客户端设备访问虚拟的 Windows 2000　　dns.exe：应答对域名系统(DNS)名称的查询和更新请求(系统服务)。　　二、以下服务很少会用到，如果不是必要的可以停止：　　tcpsvcs.exe：提供在 PXE 可远程启动客户计算机上远程安装 Windows2000 Professional 的能力(系统服务);　　ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息(系统服务);　　ups.exe：管理连接到计算机的不间断电源(UPS)(系统服务);　　wins.exe：为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS名称服务(系统服务);　　llssrv.exe：Microsoft Windows Server版的一部分，用于许可登陆服务(系统服务);　　ntfrs.exe：在多