|
相信每一个从事计算机的人,都对众多系统关键服务与进程有所了解,但却不是每一个人都能详细说出这些进程,普通用户更是对众多的映象名称知之甚少。近日病毒的猖獗也使得部分用户大呼认识了进程就可以手动删除病毒,其实这样的想法都是片面的。从计算机病毒的发展来看,仅仅伪装系统关键进程或者创建新进程的病毒,几乎可能给用户造成任何影响。在此,笔者将详细介绍Windows操作系统进程的相关知识,使用户可以正确认识什么是进程,进程又都在做些什么。
. C- `% Q5 S* a* h ; p: N! G- N3 Y( E2 Q+ [# i3 E
( J# ^! Q# {" R( B
认识计算机进程4 G( c: b: S+ Z/ Q; k1 h* T
进程是程序在计算机上的一次执行活动。当你运行一个程序,你就启动了一个进程。显然,程序是静态的,进程是动态的。进程可以分为系统进程和用户进程。凡是用于完成操作系统的各种功能的进程就是系统进程,它们就是处于运行状态下的操作系统本身;用户进程就是所有由你启动的进程。进程是操作系统进行资源分配的单位。8 K: \' \8 K* @
说到进程就不得不说线程,这也使得很多人误解关了进程就关了杀毒软件。线程是一种操作系统对象,代表着一个进程中要被执行的代码路径。每一个WIN32应用程序至少有一个线程,应用程序可以自由地创建其他线程来执行其他任务。
3 J* g$ v1 u* w! E$ D 线程是比进程更小的执行单位。一个进程在其执行过程能够中,可以产生多个线程,形成多条执行线索。每条线索,即每个线程也有它自身的产生、存在和消亡过程,也是一个动态的概念。
- d7 Q& A5 U+ l& X7 d5 m 但是进程只是存在内存中,实际上他是不会做任何事情的。真正起作用的是计算机的线程。线程是程序的执行者,一个程序至少有一个线程,但是在多线程的操作系统中,可以有一个以上的线程。6 B3 L' s5 ?- b$ \
这里用户就应该知道很多时候,当你发现了陌生进程为什么关不掉,或者没有陌生的进程为什么又中了病毒的原因。当然如今病毒技术的发展,存在多种隐藏病毒本身的方式,这里笔者主要详细介绍进程相关知识。
- q" V6 S! j1 B2 _/ s# f 首先让我们看一下系统进程都有哪些,用户根据自己需要的服务,用户可以根据自己的需求来订制自己的需求。3 k! W# @3 F) e3 i4 L: \! \4 O
/ [8 g6 o/ j7 f5 [3 R7 b( X
1 @6 ]% U5 y: o9 ^- `" a0 V agentsvr.exe:agentsvr.exe是一个ActiveX插件,用于多媒体程序。
! q$ c" P+ G# q L. _0 Y ( u, s( H. v [, A; B! y
alg.exe:Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙(系统服务);5 S2 t/ P% f; p3 \1 v
$ N7 P: w: O Z2 i3 [! U5 b
cmd.exe:cmd.exe是一个32位的命令行程序,运行在Windows & u2 I( O- f" |$ P
NT/2000/XP上。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。% D K5 s7 w4 m8 y8 G# u
/ S0 \ k& m' }6 U- S csrss.exe:微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务(系统服务);
# R9 D$ O0 D# q+ h ctfmon.exe:Microsoft Office产品套装的一部分。它可以选择用户文字输入程序,和微软Office 语言条。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题;
- q6 Z9 k3 B/ M! g% N$ b1 K& t ) ^+ u0 K) r5 `) i1 T- X; @" H. [
dns.exe:应答对域名系统(DNS)名称的查询和更新请求(系统服务)。0 ^! v6 P) A! w+ a6 W8 x* K- e& o, A
" H8 U- m' e5 t5 n$ p$ J2 |
explorer.exe:Windows程序管理器或者Windows资源管理器,它用于管理Windows图形壳,包括开始菜单、任务栏、桌面和文件管理;' j+ \5 P' H& a( I8 z
+ O. ]2 n0 P6 X
iexplore.exe:是Microsoft Internet Explorer的主程序。这个微软Windows应用程序让你在网上冲浪,和访问本地Interanet网络。7 Y# S2 w' M& d; @) \( n( N
* W, G( V. Y3 C$ l" ?. o, _
internat.exe:Windows多语言输入程序,托盘区的拼音图标,附加的系统进程(这些进程不是必要的,你可以根据需要通过服务管理器来增加或减少);
4 J" f5 T. e$ l; ?% m O9 ?+ w
1 }$ M( |$ z4 @; N `9 V ismserv.exe :允许在 Windows Advanced Server 站点间发送和接收消息(系统服务); ?% W6 U7 C2 A# X: f
( ~1 G7 H; [8 f9 D6 B
lsass.exe :管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务);
! I. r0 l4 K. R. Y* p/ O) Z 9 e4 r* b; d) j
mstask.exe :Windows计划任务程序。它用于管理计划任务,包括备份和更新,定时运行。如果你删除该进程,计划任务将无法运行(系统服务);
9 L+ U4 W/ O! v. B9 } ' c1 M- S4 { r; a+ Y
regsvc.exe:Windows服务集中的一个系统服务。它用于远程计算机访问本地注册表。一些本地程序也能够通过该服务编辑注册表 (系统服务);
- O# G; M/ v+ J" _- t 6 s0 H. _* |; x, U: j! R/ p
rundll32.exe:用于在内存中运行DLL文件,它们会在应用程序中被使用;: V) \0 J3 H5 {( U9 r: Y& X
- C2 D4 \$ ]' q# E+ H services.exe:是Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务(系统服务);& @/ x! a, m1 j- K
: U" m+ d8 _/ @2 v' R! u( W: O smss.exe:Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话(系统服务);( C5 |0 R$ `" W& K2 B7 G) x5 `0 W/ a/ p
" D- _- f8 S7 N* H. T; s2 h
spoolsv.exe:用于将Windows打印机任务发送给本地打印机.
+ E* K) r8 k% x# q8 |8 R! k0 @3 Y! Q
6 M2 }! M( w6 x. g3 R) ~, t( | svchost.exe:是一个属于微软Windows操作系统的系统程序,包含很多系统服务,用于执行DLL文件(系统服务)。系统中根据启动的服务多少,该进程数量也会不同,一般在4-5个左右。
' Y# t, K# I& k& g
+ j) _# j: I; f# | winlogon.exe:Windows登陆管理器,用于处理系统的登陆和登陆过程(系统服务);7 F: t9 G8 }' j: J! c- A! d
}" Z0 q: y0 t7 S' b 这里只列举了常见的内容,并不代表所有的系统进程,毕竟进程是可以被伪装的。其实越是被大家熟悉的进程越容易被病毒所利用,例如Explorer.exe,svchost.exe,spoolsv.exe,winlogon.exe,rundll32.exe。例如06大为流行的威金病毒,其进程主要为:rundl132.exe,logo_1.exe,vdll.dll,logo1_.exe等,利用“1”和“l”等字母和数字相似性来伪装的病毒在过去十分常见。
9 g8 e7 P1 N# O- [ 计算机病毒发展到今天,用户会发现利用伪装进程来传染用户的病毒木马不再是主流趋势,很多时候用户会发现只是通过关闭进程是无法杀掉病毒的,这主要是由于DLL及产生的不同线程引起的。9 p7 N) G3 |) K9 r
|
评分
-
查看全部评分
|