认识计算机系统进程(对电脑感兴趣的都得进来看看）

戒律

相信每一个从事计算机的人，都对众多系统关键服务与进程有所了解，但却不是每一个人都能详细说出这些进程，普通用户更是对众多的映象名称知之甚少。近日病毒的猖獗也使得部分用户大呼认识了进程就可以手动删除病毒，其实这样的想法都是片面的。从计算机病毒的发展来看，仅仅伪装系统关键进程或者创建新进程的病毒，几乎可能给用户造成任何影响。在此，笔者将详细介绍Windows操作系统进程的相关知识，使用户可以正确认识什么是进程，进程又都在做些什么。


　　认识计算机进程
2 ]4 @/ c! |6 ]　　进程是程序在计算机上的一次执行活动。当你运行一个程序，你就启动了一个进程。显然，程序是静态的，进程是动态的。进程可以分为系统进程和用户进程。凡是用于完成操作系统的各种功能的进程就是系统进程，它们就是处于运行状态下的操作系统本身;用户进程就是所有由你启动的进程。进程是操作系统进行资源分配的单位。
+ C" f) u" c4 W! I- {　　说到进程就不得不说线程，这也使得很多人误解关了进程就关了杀毒软件。线程是一种操作系统对象，代表着一个进程中要被执行的代码路径。每一个WIN32应用程序至少有一个线程，应用程序可以自由地创建其他线程来执行其他任务。
　　线程是比进程更小的执行单位。一个进程在其执行过程能够中，可以产生多个线程，形成多条执行线索。每条线索，即每个线程也有它自身的产生、存在和消亡过程，也是一个动态的概念。
       但是进程只是存在内存中，实际上他是不会做任何事情的。真正起作用的是计算机的线程。线程是程序的执行者，一个程序至少有一个线程，但是在多线程的操作系统中，可以有一个以上的线程。
9 s0 i% o7 U7 H2 d' m- Y　　这里用户就应该知道很多时候，当你发现了陌生进程为什么关不掉，或者没有陌生的进程为什么又中了病毒的原因。当然如今病毒技术的发展，存在多种隐藏病毒本身的方式，这里笔者主要详细介绍进程相关知识。
　　首先让我们看一下系统进程都有哪些，用户根据自己需要的服务，用户可以根据自己的需求来订制自己的需求。

- [1 V/ r! s* @4 v. @) x7 U
5 @: s9 |: \7 B5 a) y$ f0 p　　agentsvr.exe：agentsvr.exe是一个ActiveX插件，用于多媒体程序。

4 O' l" n! F, e% ]; M　　alg.exe：Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙(系统服务);
: N/ R, I5 N+ U1 p
6 h+ H) n: o5 ~  G　　cmd.exe：cmd.exe是一个32位的命令行程序，运行在Windows
( H+ Z8 {0 e* r' V3 zNT/2000/XP上。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。

　　csrss.exe：微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务(系统服务);
　　ctfmon.exe：Microsoft Office产品套装的一部分。它可以选择用户文字输入程序，和微软Office 语言条。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题;
3 W, j" U; |/ T1 z# R! T
　　dns.exe：应答对域名系统(DNS)名称的查询和更新请求(系统服务)。
( a: C: k7 k6 h0 B( P
　　explorer.exe：Windows程序管理器或者Windows资源管理器，它用于管理Windows图形壳，包括开始菜单、任务栏、桌面和文件管理;

　　iexplore.exe：是Microsoft Internet Explorer的主程序。这个微软Windows应用程序让你在网上冲浪，和访问本地Interanet网络。
9 h0 B3 ?+ o. |4 O& M
　　internat.exe：Windows多语言输入程序，托盘区的拼音图标，附加的系统进程(这些进程不是必要的，你可以根据需要通过服务管理器来增加或减少);

　　ismserv.exe ：允许在 Windows Advanced Server 站点间发送和接收消息(系统服务);
5 F  v* d( b  X8 A& ?
' G$ F) r+ _7 A　　lsass.exe ：管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务);
+ v- C1 b# {1 j. j( h
　　mstask.exe ：Windows计划任务程序。它用于管理计划任务，包括备份和更新，定时运行。如果你删除该进程，计划任务将无法运行(系统服务);
, y# x' L5 n/ L# c) D5 {
9 Y0 ~2 i+ @( z- R  o　　regsvc.exe：Windows服务集中的一个系统服务。它用于远程计算机访问本地注册表。一些本地程序也能够通过该服务编辑注册表 (系统服务);

　　rundll32.exe：用于在内存中运行DLL文件，它们会在应用程序中被使用;
7 `/ N1 y7 a! P  Z3 O- P# D0 ^+ v
　　services.exe：是Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务(系统服务);

; G, U2 S" u- r# M7 r) O7 [( R　　smss.exe：Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话(系统服务);
! i2 ~/ Q6 N4 X# E$ K8 M# D
: T+ j1 Z! H& r# x" e+ h　　spoolsv.exe:用于将Windows打印机任务发送给本地打印机.

　　svchost.exe：是一个属于微软Windows操作系统的系统程序，包含很多系统服务，用于执行DLL文件(系统服务)。系统中根据启动的服务多少，该进程数量也会不同，一般在4-5个左右。
# B) w5 M$ j% s! c- W7 D: |/ E
4 a& V( N4 S" x( s& I1 U　　winlogon.exe：Windows登陆管理器，用于处理系统的登陆和登陆过程(系统服务);

8 s1 ~/ R; ?; v; D: {* T3 i　　这里只列举了常见的内容，并不代表所有的系统进程，毕竟进程是可以被伪装的。其实越是被大家熟悉的进程越容易被病毒所利用，例如Explorer.exe，svchost.exe，spoolsv.exe，winlogon.exe，rundll32.exe。例如06大为流行的威金病毒，其进程主要为：rundl132.exe，logo_1.exe，vdll.dll，logo1_.exe等，利用“1”和“l”等字母和数字相似性来伪装的病毒在过去十分常见。
5 @- k. p4 M9 C; x1 O　　计算机病毒发展到今天，用户会发现利用伪装进程来传染用户的病毒木马不再是主流趋势，很多时候用户会发现只是通过关闭进程是无法杀掉病毒的，这主要是由于DLL及产生的不同线程引起的。
( V# `; X/ T* y. g% k

睡觉上课

很使用，谢谢LZ。

lzwppp

smss.exe  
" R' {0 L9 J; X9 Y2 [Session Manager Subsystem，该进程为会话管理子系统用以初始化系统变量，MS-DOS 驱动名称类似 LPT1 以及 COM，调用 Win32 壳子系统和运行在 Windows 登陆过程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的 Winlogon，Win32 (csrss.exe) 线程和设定的系统变量作出反映。在它启动这些进程后，它等待 Winlogon.exe 或者 csrss.exe 结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe 就会让系统停止响应(挂起)。要注意，如果系统中出现了不只一个 smss.exe 进程，而且有的 smss.exe 路径位于 Windows 目录，那有可能是中了 TrojanClicker.Nogard.a 病毒，这是一种 Windows 下的 PE 病毒，它采用 VB6 编写 ，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件 WIN.INI，并在 [WINDOWS] 项中加入 "RUN" = "%WINDIR%\SMSS.EXE"。手工清除时请先结束病毒进程 smss.exe，再删除 Windows 目录下的 smss.exe 文件，然后清除它在注册表和 WIN.INI 文件中的相关项即可
csrss.exe
; H# x& x& V  i5 KClient/Server Runtime Server Subsystem，客户端服务子系统，用以控制 Windows 图形相关子系统。正常情况下在 Windows NT/2000/XP/2003 系统中只有一个 csrss.exe 进程，正常位于 System32 文件夹中，若以上系统中出现两个 csrss.exe 进程(其中一个位于 Windows 文件夹中)，或在 Windows 9X/Me 系统中出现该进程，则是感染了病毒。
winlogon.exe
Windows Logon Process，Windows NT 用户登陆程序，管理用户登录和退出。该进程的正常路径应是 C:\Windows\System32 且是以 SYSTEM 用户运行，若不是以上路径且不以 SYSTEM 用户运行，则可能是 W32.Netsky.D@mm 蠕虫病毒，该病毒通过 EMail 邮件传播，当你打开病毒发送的附件时，即会被感染。该病毒会创建 SMTP 引擎在受害者的计算机上，群发邮件进行传播。手工清除该病毒时先结束病毒进程 winlogon.exe，然后删除 C:\Windows 目录下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件，再清除 AOL instant messenger 7.0 服务，位于注册表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的 aol7.0 键。
services.exe
该进程是多个 Windows 系统服务的宿主。包括：1) Event Log，启用在事件查看器查看基于 Windows 的程序和组件颁发的事件日志消息，无法终止此服务。2) Plug and Play，使计算机在极少或没有用户输入的情况下能识别并适应硬件的更改，终止或禁用此服务会造成系统不稳定。
lsass.exe
& l3 l0 W# C/ R$ }该进程是多个 Windows 系统服务的宿主。包括：1) HTTP SSL，通过安全套接字层(SSL)实现 HTTP 服务的安全超文本传送协议(HTTPS)。2) IPSEC Services，提供 TCP/IP 网络上客户端和服务器之间端对端的安全，如果此服务被停用，网络上客户端和服务器之间的 TCP/IP 安全将不稳定。3) Kerberos Key Distribution Center，在域控制器上此服务启用用户使用 Kerberos 授权协议登录网络。如果此服务在域控制器上被停用，用户将无法登录网络。4) Net Logon，为用户和服务身份验证维护此计算机和域控制器之间的安全通道。如果此服务被停用，计算机可能无法验证用户和服务身份并且域控制器无法注册 DNS 记录。5) NT LM Security Support Provider，为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。6) Protected Storage，保护敏感数据(如私钥)的存储，以便防止未授权的服务、过程或用户对其的非法访问。如果此服务被停用，保护性存储将不可用。7) Security Accounts Manager，此服务的启动通知其他服务安全帐户管理 (SAM) 准备好接收请求。禁用此服务将使系统中的其他服务接收不到 SAM 准备好的通知，从而导致这些服务启动不正确。此服务不应被禁用。
, i, n# C8 ~4 ]svchost.exe
4 X$ R4 J' m  n( R* \$ UService Host Process 是一个标准的动态连接库主机处理服务。Svchost.exe 文件对那些从动态连接库(DLL)中运行的服务来说是一个普通的主机进程名。Svhost.exe 程序位于系统目录中。在启动的时候，Svchost.exe 检查注册表中的位置来构建需要加载的服务列表。这就会使多个 Svchost.exe 在同一时间运行，Windows 2000 一般有 2 个 Svchost.exe 进程，一个是 RPCSS (Remote Procedure Call) 服务进程，另外一个则是由很多服务共享的一个 Svchost.exe；而在 Windows XP 中，则一般有 4 个以上的 Svchost.exe 服务进程；Windows 2003 中则更多。但要注意，若发现 Svchost.exe 进程的路径不在 System32 文件夹中，或其所属用户名为普通登陆名(即非系统进程或服务进程)，则其极可能是是病毒程序。
) t1 O( A. }9 q  cExplorer.EXE
4 }; h* C0 J. t  r, s+ R5 ^" u+ SWindows 资源管理器，或是 Windows 图形界面外壳程序，它是一个重要的系统进程。注意它的正常路径是 C:\Windows 目录，否则可能是 W32.Codered 或 W32.mydoom.b@mm 病毒。
ctfmon.exe
1 R0 o) o7 O' b7 i8 S4 F6 _用户输入法选择服务，用于控制输入法语言条，提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。