進程檔: [system process] or [system process]
進程名稱: Windows記憶體處理系統進程
描 述: Windows頁面記憶體管理進程,擁有0級優先。
介 紹:該進程作為單線程運行在每個處理器上,並在系統不處理其他線程的時候分派處理器的時間。它的cpu佔用率越大表示可供分配的CPU資源越多,數字越小則表示CPU資源緊張。
(2)[alg.exe]
進程檔: alg or alg.exe
進程名稱: 應用層閘道服務
描 述: 這是一個應用層閘道服務用於網路共用。
介 紹:一個閘道通信插件的管理器,為 “Internet連接共用服務”和 “Internet連接防火牆服務”提供第三方協定插件的支援。
(3)[csrss.exe]
進程檔: csrss or csrss.exe
進程名稱: Client/Server Runtime Server Subsystem
描 述: 用戶端服務子系統,用以控制Windows圖形相關子系統。
介 紹: 這個是用戶模式Win32子系統的一部分。csrss代表客戶/伺服器運行子系統而且是一個基本的子系統必須一直運行。csrss用於維持Windows的控制,創建或者刪除線程和一些16位的虛擬MS-DOS環境。
(4)[ddhelp.exe]
進程檔: ddhelp or ddhelp.exe
進程名稱: DirectDraw Helper
描 述: DirectDraw Helper是DirectX這個用於圖形服務的一個組成部分。
簡 介:Directx 幫助程式
(5)[dllhost.exe]
進程檔: dllhost or dllhost.exe
進程名稱: DCOM DLL Host進程
描 述: DCOM DLL Host進程支援基於COM物件支援DLL以運行Windows程式。
介 紹:com代理,系統附加的dll元件越多,則dllhost佔用的cpu資源和記憶體資源就越多,而8月的“衝擊波殺手”大概讓大家對它比較熟悉吧。
(6)[explorer.exe]
進程檔: explorer or explorer.exe
進程名稱: 程式管理
描 述: Windows Program Manager或者Windows Explorer用於控制Windows圖形Shell,包括開始功能表、任務欄,桌面和檔管理。
介 紹:這是一個用戶的shell,在我們看起來就像任務條,桌面等等。或者說它就是資源管理器,不相信你在運行裏執行它看看。它對windows系統的穩定性還是比較重要的,而紅碼也就是找它的麻煩,在c和d根下創建explorer.exe。
(7)[inetinfo.exe]
進程檔: inetinfo or inetinfo.exe
進程名稱: IIS Admin Service Helper
描 述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用於Debug調試除錯。
介 紹:IIS服務進程,藍碼正是利用的inetinfo.exe的緩衝區溢出漏洞。
(8)[internat.exe]
進程檔: internat or internat.exe
進程名稱: Input Locales
描 述: 這個輸入控制圖示用於更改類似國家設置、鍵盤類型和日期格式。internat.exe在啟動的時候開始運行。它載入由用戶指定的不同的輸入點。輸入點是從註冊表的這個位置HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 載入內容的。internat.exe 載入“EN”圖示進入系統的圖示區,允許使用者可以很容易的轉換不同的輸入點。當進程停掉的時候,圖示就會消失,但是輸入點仍然可以通過控制面板來改變。
介 紹:它主要是用來控制輸入法的,當你的任務欄沒有“EN”圖示,而系統有internat.exe進程,不妨結束掉該進程,在運行裏執行internat命令即可。
(9)[kernel32.dll]
進程檔: kernel32 or kernel32.dll
進程名稱: Windows殼進程
描 述: Windows殼進程用於管理多線程、記憶體和資源。
介 紹:更多內容流覽非法操作與Kernel32解讀
(10)[lsass.exe]
進程檔: lsass or lsass.exe
進程名稱: 本地安全許可權服務
描 述: 這個本地安全許可權服務控制Windows安全機制。管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程式等。
介紹:這是一個本地的安全授權服務,並且它會為使用winlogon服務的授權用戶生成一個進程。這個進程是通過使用授權的包,例如默認的 msgina.dll來執行的。如果授權是成功的,lsass就會產生用戶的進入權杖,權杖別使用啟動初始的shell。其他的由用戶初始化的進程會繼承這個權杖的。而windows活動目錄遠端堆疊溢位漏洞,正是利用LDAP 3搜索請求功能對用戶提交請求缺少正確緩衝區邊界檢查,構建超過1000個"AND"的請求,併發送給伺服器,導致觸發堆疊溢位,使Lsass.exe服務崩潰,系統在30秒內重新啟動。
(11)[mdm.exe]
進程檔: mdm or mdm.exe
進程名稱: Machine Debug Manager
描 述: Debug除錯管理用於調試應用程式和Microsoft Office中的Microsoft Script Editor腳本編輯器。
介紹:Mdm.exe的主要工作是針對應用軟體進行排錯(Debug),說到這裏,扯點題外話,如果你在系統見到fff開頭的0位元組檔,它們就是 mdm.exe在排錯過程中產生一些暫存檔,這些檔在作業系統進行關機時沒有自動被清除,所以這些fff開頭的怪檔裏是一些尾碼名為CHK的檔都是沒有用的垃圾檔,可勻我饃境鲶韈換岫韻低巢狲脱渙加跋?6?X系統,只要系統中有Mdm.exe存在,就有可能產生以fff開頭的怪檔。可以按下面的方法讓系統停止運行Mdm.exe來徹底刪除以fff開頭的怪檔:首先按“Ctrl+Alt+Del”組合鍵,在彈出的“關閉程式”視窗中選中“Mdm”,按“結束任務”按鈕來停止Mdm.exe在後臺的運行,接著把Mdm.exe(在C:\Windows\System目錄下)改名為Mdm.bak。運行 msconfig程式,在啟動頁中取消對“Machine Debug Manager”的選擇。這樣可以不讓Mdm.exe自啟動,然後點擊“確定”按鈕,結束msconfig程式,並重新啟動電腦。另外,如果你使用IE 5.X以上版本流覽器,建議禁用腳本調用(點擊“工具→Internet選項→高級→禁用腳本調用”),這樣就可以避免以fff開頭的怪檔再次產生。
(12)[mmtask.tsk]
進程檔: mmtask or mmtask.tsk
進程名稱: 多媒體支援進程
描 述: 這個Windows多媒體後臺程式控制多媒體服務,例如MIDI。
介 紹:這是一個任務調度服務,負責用戶事先決定在某一時間運行的任務的運行。
(13)[mprexe.exe]
進程檔: mprexe or mprexe.exe
進程名稱: Windows路由進程
描 述: Windows路由進程包括向適當的網路部分發出網路請求。
介 紹:這是Windows的32位元網路介面服務進程檔,網路用戶端端部件啟動的核心。印象中“A-311木馬(Trojan.A-311.104)”也會在記憶體中建立mprexe.exe進程,可以通過資源管理結束進程。
(14)[msgsrv32.exe]
進程檔: msgsrv32 or msgsrv32.exe
進程名稱: Windows信使服務
描 述: Windows信使服務調用Windows驅動和程式管理在啟動。
介 紹:msgsrv32.exe 一個管理資訊視窗的應用程式,win9x下如果音效卡或者顯卡驅動程式配置不正確,會導致死機或者提示msgsrv32.exe 出錯。
(15)[mstask.exe]
進程檔: mstask or mstask.exe
進程名稱: Windows計畫任務
描 述: Windows計畫任務用於設定繼承在什麼時間或者什麼日期備份或者運行。
介紹:計畫任務,它通過註冊表自啟動。因此,通過計畫任務程式實現自啟動的程式在系統資訊中看不到它的檔案名,一旦把它從註冊表中刪除或禁用,那麼通過計畫任務啟動的程式全部不能自動運行。win9X下系統啟動就會開啟計畫任務,可以通過雙擊計畫任務圖示-高級-終止計畫任務來停止它自啟動。另外,攻擊者在攻擊過程中,也經常用到計畫任務,包括上傳檔、提升許可權、種植後門、清掃腳印等。
(16)[regsvc.exe]
進程檔: regsvc or regsvc.exe
進程名稱: 遠端註冊表服務
描 述: 遠端註冊表服務用於訪問在遠端電腦的註冊表。
(17)[rpcss.exe]
進程檔: rpcss or rpcss.exe
進程名稱: RPC Portmapper
描 述: Windows 的RPC埠映射進程處理RPC調用(遠端模組調用)然後把它們映射給指定的服務提供者。
介 紹:98它不是在裝載解釋器時或引導時啟動,如果使用中有問題,可以直接在在註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices添加"字串值",定向到"C:\WINDOWS\SYSTEM\RPCSS"即可。
(18)[services.exe]
進程檔: services or services.exe
進程名稱: Windows Service Controller
描 述: 管理Windows服務。
介 紹:大多數的系統核心模式進程是作為系統進程在運行。打開管理工具中的服務,可以看到有很多服務都是在調用%systemroot%\system32\service.exe
(19)[smss.exe]
進程檔: smss or smss.exe
進程名稱: Session Manager Subsystem
描 述: 該進程為會話管理子系統用以初始化系統變數,MS-DOS驅動名稱類似LPT1以及COM,調用Win32殼子系統和運行在Windows登陸過程。
簡介:這是一個會話管理子系統,負責啟動用戶會話。這個進程是通過系統進程初始化的並且對許多活動的,包括已經正在運行的Winlogon,Win32 (Csrss.exe)線程和設定的系統變數作出反映。在它啟動這些進程後,它等待Winlogon或者Csrss結束。如果這些過程時正常的,系統就關掉了。如果發生了什麼不可預料的事情,smss.exe就會讓系統停止回應(就是掛起)。
(20)[snmp.exe]
進程檔: snmp or snmp.exe
進程名稱: Microsoft SNMP Agent
描 述: Windows簡單的網路協定代理(SNMP)用於監聽和發送請求到適當的網路部分。
簡 介:負責接收SNMP請求報文,根據要求發送回應報文並處理與WinsockAPI的介面。
(21)[spool32.exe]
進程檔: spool32 or spool32.exe
進程名稱: Printer Spooler
描 述: Windows列印任務控制程式,用以印表機就緒。
(22)[spoolsv.exe]
進程檔: spoolsv or spoolsv.exe
進程名稱: Printer Spooler Service
描 述: Windows列印任務控制程式,用以印表機就緒。
介 紹:緩衝(spooler)服務是管理緩衝池中的列印和傳真作業。
(23)[stisvc.exe]
進程檔: stisvc or stisvc.exe
進程名稱: Still Image Service
描 述: Still Image Service用於控制掃描器和數碼相機連接在Windows。
(24)[svchost.exe]
進程檔: svchost or svchost.exe
進程名稱: Service Host Process
描 述: Service Host Process是一個標準的動態連接庫主機處理服務.
介紹:Svchost.exe檔對那些從動態連接庫中運行的服務來說是一個普通的主機進程名。Svhost.exe檔定位在系統的%systemroot% \system32檔夾下。在啟動的時候,Svchost.exe檢查註冊表中的位置來構建需要載入的服務列表。這就會使多個Svchost.exe在同一時間運行。每個Svchost.exe的回話期間都包含一組服務,以至於單獨的服務必須依靠Svchost.exe怎樣和在那裏啟動。這樣就更加容易控制和查找錯誤。windows 2k一般有2個svchost進程,一個是RPCSS(Remote Procedure Call)服務進程,另外一個則是由很多服務共用的一個svchost.exe。而在windows XP中,則一般有4個以上的svchost.exe服務進程,windows 2003 server中則更多。
(25)[taskmon.exe]
進程檔: taskmon or taskmon.exe
進程名稱: Windows Task Optimizer
描 述: windows任務優化器監視你使用某個程式的頻率,並且通過載入那些經常使用的程式來整理優化硬碟。
介 紹:任務管理器,它的功能是監視程式的執行情況並隨時報告。能夠監測所有在任務欄中以視窗方式運行的程式,可打開和結束程式,還可直接調出關閉系統對話方塊。
(26)[tcpsvcs.exe]
進程檔: tcpsvcs or tcpsvcs.exe
進程名稱: TCP/IP Services
描 述: TCP/IP Services Application支援透過TCP/IP連接局域網和Internet。
(27)[winlogon.exe]
進程檔: winlogon or winlogon.exe
進程名稱: Windows Logon Process
描 述: Windows NT用戶登陸程式。這個進程是管理用戶登錄和退出的。而且winlogon在用戶按下CTRL+ALT+DEL時就啟動了,顯示安全對話方塊。
(28)[winmgmt.exe]
進程檔: winmgmt or winmgmt.exe
進程名稱: Windows Management Service
描 述: Windows Management Service透過Windows Management Instrumentation data WMI)技術處理來自應用用戶端的請求。
簡介:winmgmt是win2000用戶端管理的核心元件。當用戶端應用程式連接或當管理程式需要他本身的服務時這個進程初始化。WinMgmt.exe (CIM對象管理器)和知識庫(Repository)是WMI兩個主要構成部分,其中知識庫是物件定義的資料庫,它是存儲所有可管理靜態資料的中心資料庫,物件管理器負責處理知識庫中物件的收集和操作並從WMI提供程式收集資訊。WinMgmt.exe在Windows 2k/NT上作為一個服務運行,而在Windows 95/98上作為一個獨立的exe程式運行。Windows 2k系統在某些電腦上出現的WMI錯誤可以通過安裝Windows 2k SP2來修正。
(29)[system]
進程檔: system or system
進程名稱: Windows System Process
描 述: Microsoft Windows系統進程。
介 紹:在任務管理器中會看到這項進程,屬於正常系統進程。
系統進程就介紹到這裏。
在Windows2k/XP中,以下進程是必須載入的:
smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe(可以同時存在多個)、spoolsv.exe、explorer.exe、System Idle Process;
在Windows 9x中,一下進程是必須載入的:
msgsrv32.exe、mprexe.exe、mmtask.tsk、kenrel32.dll。
免費加入買化妝品,禮品,書,手機,電腦,CD,相機....都可以集點喔!
看這裡→ http://www.conn.tw/5008659
24hrs iVIP網路商場→ http://www.vipmall.com.tw/yuanping
沒有留言:
張貼留言