flytosky2008gao

正常windows XP SP2每一個進程的含義---進程列表

正常windows XP SP2每一個進程的含義---進程列表--->

進程0：[System Process](優(yōu)先級：暫缺)5a
進程1：System(優(yōu)先級：標準)xf
進程2：\SystemRoot\System32\smss.exe(優(yōu)先級：標準)J'{
進程3：CSRSS.EXE(優(yōu)先級：高)sE?b
進程4：\??\D:\WINDOWS\system32\winlogon.exe(優(yōu)先級：高)x,Y_7
進程5：D:\WINDOWS\system32\services.exe(優(yōu)先級：標準)7U9>p@
進程6：D:\WINDOWS\system32\lsass.exe(優(yōu)先級：標準)Z?r_.
進程7：D:\WINDOWS\system32\svchost.exe(優(yōu)先級：標準)Nz
進程8：SVCHOST.EXE(優(yōu)先級：標準)CZO
進程9：D:\WINDOWS\System32\svchost.exe(優(yōu)先級：標準)yGh>
進程10：SVCHOST.EXE(優(yōu)先級：標準)o,&Y
進程11：SVCHOST.EXE(優(yōu)先級：標準)A
進程12：D:\WINDOWS\system32\spoolsv.exe(優(yōu)先級：標準)T
進程13：D:\WINDOWS\Explorer.EXE(優(yōu)先級：標準)i5d5
進程14：D:\WINDOWS\system32\ctfmon.exe(優(yōu)先級：標準)aeI
進程15：D:\WINDOWS\system32\crypserv.exe(優(yōu)先級：高)~^
進程16：D:\WINDOWS\System32\inetsrv\inetinfo.exe(優(yōu)先級：標準)DF.
進程17：WDFMGR.EXE(優(yōu)先級：標準)g3Qg@
進程18：ALG.EXE(優(yōu)先級：標準)f7Hfr
進程19：D:\WINDOWS\System32\svchost.exe(優(yōu)先級：標準)qM`!1_
進程20：wmiprvse.exe(優(yōu)先級：標準)

---進程說明---j/hNx


進程0：[System Process]<)yYb
公司：g\!H
描述：X
版權：tq^3
文件版本：j
產品名稱：7m
產品版本：

進程1：SystemBF1}~_
公司：1Q
描述：ls
版權：@ho=3r
文件版本：PFE
產品名稱：=+_\sF
產品版本

進程2：\SystemRoot\System32\smss.exe2Jm
公司：(:n
描述：s"jo7'
版權：Iek0b
文件版本：^Jr
產品名稱：gg6y2:
產品版本：

進程3：CSRSS.EXE*
公司：Microsoft Corporation\:e
描述：Client Server Runtime ProcessEk\K+[
版權：? Microsoft Corporation. All rights reserved.r*t
文件版本：5.1.2600.2180 (xpsp_sp2_rtm.040803-2158))"A
產品名稱：Microsoft? Windows? Operating SystemuK
產品版本：5.1.2600.2180mX

　.v[c
進程4：\??\D:\WINDOWS\system32\winlogon.exefHnA
公司： nF^&L
描述：wmv3
版權：@k
文件版本：-o`
產品名稱：EDm"
產品版本：

進程5：D:\WINDOWS\system32\services.exe|>n6
公司：Microsoft Corporation_
描述：Services and Controller app-o4nu|
版權：(C) Microsoft Corporation. All rights reserved.xq(
文件版本：5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)y#\d`
產品名稱：Microsoft(R) Windows(R) Operating Systemj
產品版本：5.1.2600.2180K

進程6：D:\WINDOWS\system32\lsass.exeI
公司：Microsoft Corporationt$wb
描述：LSA Shell (Export Version)\/Z
版權：? Microsoft Corporation. All rights reserved.:9{='
文件版本：5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)diO+s
產品名稱：Microsoft? Windows? Operating SystemK
產品版本：5.1.2600.2180\}

進程7：D:\WINDOWS\system32\svchost.exe`S3?公司：Microsoft Corporation_
描述：Generic Host Process for Win32 Services!j}
版權：? Microsoft Corporation. All rights reserved.-}_"
文件版本：5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)U
產品名稱：Microsoft? Windows? Operating SystemN*uEO
產品版本：5.1.2600.2180P

進程8：SVCHOST.EXEcP}J
公司：Microsoft CorporationJ7Y
描述：Generic Host Process for Win32 Servicesms$^
版權：? Microsoft Corporation. All rights reserved.n.+
文件版本：5.1.2600.2180 (xpsp_sp2_rtm.040803-2158);*^eP
產品名稱：Microsoft? Windows? Operating System[
產品版本：5.1.2600.2180\

進程9：D:\WINDOWS\System32\svchost.exeuhO
公司：Microsoft Corporatione8
描述：Generic Host Process for Win32 ServicesQwQN
版權：? Microsoft Corporation. All rights reserved.gim
文件版本：5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)w
產品名稱：Microsoft? Windows? Operating System=(1
產品版本：5.1.2600.2180N

進程10：SVCHOST.EXEy#-f
公司：Microsoft CorporationhMy}
描述：Generic Host Process for Win32 Servicesl,M
版權：? Microsoft Corporation. All rights reserved.%!-}
文件版本：5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)Jwg2
產品名稱：Microsoft? Windows? Operating SystemuER
產品版本：5.1.2600.2180\

進程11：SVCHOST.EXE]
公司：Microsoft CorporationhC&>?1
描述：Generic Host Process for Win32 Services2e&ZnS
版權：? Microsoft Corporation. All rights reserved.A"]ndF
文件版本：5.1.2600.2180 (xpsp_sp2_rtm.040803-2158):'j_`$
產品名稱：Microsoft? Windows? Operating Systemb
產品版本：5.1.2600.2180j

進程12：D:\WINDOWS\system32\spoolsv.exe,U`?
公司：Microsoft Corporation Rz
描述：Spooler SubSystem App5~+m~
版權：? Microsoft Corporation. All rights reserved.Rh_c
文件版本：5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)F
產品名稱：Microsoft? Windows? Operating System7Cx{pT
產品版本：5.1.2600.2180P

進程13：D:\WINDOWS\Explorer.EXEH4vJ|
公司：Microsoft CorporationXkY
描述：Windows Explorer.YHP
版權：(C) Microsoft Corporation. All rights reserved.$=ql!?
文件版本：6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>5})V
產品名稱：Microsoft(R) Windows(R) Operating Systemwg
產品版本：6.00.2900.2180l2^:

進程14：D:\WINDOWS\system32\ctfmon.exeT9X
公司：Microsoft Corporationpv
描述：CTF Loader`jVUz!
版權：? Microsoft Corporation. All rights reserved.H)SdL[
文件版本：5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)i)q%
產品名稱：Microsoft? Windows? Operating SystemR-F
產品版本：5.1.2600.2180>

進程15：D:\WINDOWS\system32\crypserv.exesg(
公司：Kenonic Controls Ltd.F-[
描述：CrypKey NT ServiceE^~&^Z
版權：Copyright ? 2000h)Y
文件版本：5.4.0R\8z_1
產品名稱：CrypKey Software Licensing System50"H]7
產品版本：5.4"sq`

進程16：D:\WINDOWS\System32\inetsrv\inetinfo.exeZxvi_?
公司：Microsoft Corporation<MF


最基本的系統(tǒng)進程（也就是說，這些進程是系統(tǒng)運行的基本條件，有了這些進程，系統(tǒng)就能正常運行）:
smss.exe Session Manager
csrss.exe 子系統(tǒng)服務器進程
winlogon.exe 管理用戶登錄
services.exe 包含很多系統(tǒng)服務
lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。(系統(tǒng)服務)
產生會話密鑰以及授予用于交互式客戶/服務器驗證的服務憑據(ticket)。(系統(tǒng)服務)
svchost.exe 包含很多系統(tǒng)服務
svchost.exe
SPOOLSV.EXE 將文件加載到內存中以便遲后打印。(系統(tǒng)服務)
explorer.exe 資源管理器
internat.exe 托盤區(qū)的拼音圖標
附加的系統(tǒng)進程（這些進程不是必要的，你可以根據需要通過服務管理器來增加或減少）:
mstask.exe 允許程序在指定時間運行。(系統(tǒng)服務)
regsvc.exe 允許遠程注冊表操作。(系統(tǒng)服務)
winmgmt.exe 提供系統(tǒng)管理信息(系統(tǒng)服務)。
inetinfo.exe 通過 Internet 信息服務的管理單元提供 FTP 連接和管理。(系統(tǒng)服務)
tlntsvr.exe 允許遠程用戶登錄到系統(tǒng)并且使用命令行運行控制臺程序。(系統(tǒng)服務)
允許通過 Internet 信息服務的管理單元管理 Web 和 FTP 服務。(系統(tǒng)服務)
tftpd.exe 實現(xiàn) TFTP Internet 標準。該標準不要求用戶名和密碼。遠程安裝服務的一部分。(系統(tǒng)服務)
termsrv.exe 提供多會話環(huán)境允許客戶端設備訪問虛擬的 Windows 2000 Professional 桌面會話以及運行在服務器上的基于 Windows 的程序。(系統(tǒng)服務)
dns.exe 應答對域名系統(tǒng)(DNS)名稱的查詢和更新請求。(系統(tǒng)服務)
以下服務很少會用到，上面的服務都對安全有害，如果不是必要的應該關掉tcpsvcs.exe 提供在 PXE 可遠程啟動客戶計算機上遠程安裝 Windows 2000 Professional 的能力。(系統(tǒng)服務)
支持以下 TCP/IP 服務：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系統(tǒng)服務)
ismserv.exe 允許在 Windows Advanced Server 站點間發(fā)送和接收消息。(系統(tǒng)服務)
ups.exe 管理連接到計算機的不間斷電源(UPS)。(系統(tǒng)服務)
wins.exe 為注冊和解析 NetBIOS 型名稱的 TCP/IP 客戶提供 NetBIOS 名稱服務。(系統(tǒng)服務)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多個服務器間維護文件目錄內容的文件同步。(系統(tǒng)服務)
RsSub.exe 控制用來遠程儲存數(shù)據的媒體。(系統(tǒng)服務)
locator.exe 管理 RPC 名稱服務數(shù)據庫。(系統(tǒng)服務)
lserver.exe 注冊客戶端許可證。(系統(tǒng)服務)
dfssvc.exe 管理分布于局域網或廣域網的邏輯卷。(系統(tǒng)服務)
clipsrv.exe 支持“剪貼簿查看器”，以便可以從遠程剪貼簿查閱剪貼頁面。(系統(tǒng)服務)
msdtc.exe 并列事務，是分布于兩個以上的數(shù)據庫，消息隊列，文件系統(tǒng)，或其它事務保護資源管理器。(系統(tǒng)服務)
faxsvc.exe 幫助您發(fā)送和接收傳真。(系統(tǒng)服務)
cisvc.exe Indexing Service(system service)
dmadmin.exe 磁盤管理請求的系統(tǒng)管理服務。(系統(tǒng)服務)
mnmsrvc.exe 允許有權限的用戶使用 NetMeeting 遠程訪問 Windows 桌面。(系統(tǒng)服務)
netdde.exe 提供動態(tài)數(shù)據交換 (DDE) 的網絡傳輸和安全特性。(系統(tǒng)服務)
smlogsvc.exe 配置性能日志和警報。(系統(tǒng)服務)
rsvp.exe 為依賴質量服務(QoS)的程序和控制應用程序提供網絡信號和本地通信控制安裝功能。(系統(tǒng)服務)
RsEng.exe 協(xié)調用來儲存不常用數(shù)據的服務和管理工具。(系統(tǒng)服務)
RsFsa.exe 管理遠程儲存的文件的操作。(系統(tǒng)服務)
grovel.exe 掃描零備份存儲(SIS)卷上的重復文件，并且將重復文件指向一個數(shù)據存儲點，以節(jié)省磁盤空間。(系統(tǒng)服務)
SCardSvr.exe 對插入在計算機智能卡閱讀器中的智能卡進行管理和訪問控制。(系統(tǒng)服務)
snmp.exe 包含代理程序可以監(jiān)視網絡設備的活動并且向網絡控制臺工作站匯報。(系統(tǒng)服務)
snmptrap.exe 接收由本地或遠程 SNMP 代理程序產生的陷阱消息，然后將消息傳遞到運行在這臺計算機上 SNMP 管理程序。(系統(tǒng)服務)
UtilMan.exe 從一個窗口中啟動和配置輔助工具。(系統(tǒng)服務)
msiexec.exe 依據 .MSI 文件中包含的命令來安裝、修復以及刪除軟件。(系統(tǒng)服務)


詳細說明：


win2k運行進程
Svchost.exe
Svchost.exe文件對那些從動態(tài)連接庫中運行的服務來說是一個普通的主機進程名。Svhost.exe文件定位在系統(tǒng)的%systemroot%\system32文件夾下。在啟動的時候，Svchost.exe檢查注冊表中的位置來構建需要加載的服務列表。這就會使多個Svchost.exe在同一時間運行。每個Svchost.exe的回話期間都包含一組服務， 以至于單獨的服務必須依靠Svchost.exe怎樣和在那里啟動。這樣就更加容易控制和查找錯誤。
Svchost.exe 組是用下面的注冊表值來識別。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每個在這個鍵下的值代表一個獨立的Svchost組，并且當你正在看活動的進程時，它顯示作為一個單獨的例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括運行在Svchost組內的服務。每個Svchost組都包含一個或多個從注冊表值中選取的服務名，這個服務的參數(shù)值包含了一個ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service 更多的信息
為了能看到正在運行在Svchost列表中的服務。
開始－運行－敲入cmd
然后在敲入 tlist -s （tlist 應該是win2k工具箱里的冬冬）
Tlist 顯示一個活動進程的列表。開關 -s 顯示在每個進程中的活動服務列表。如果想知道更多的關于進程的信息，可以敲 tlist pid。

Tlist 顯示Svchost.exe運行的兩個例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs:

AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkstation,LmHost

s,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在這個例子中注冊表設置了兩個組。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman

Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs

smss.exe

csrss.exe

這個是用戶模式Win32子系統(tǒng)的一部分。csrss代表客戶/服務器運行子系統(tǒng)而且是一個基本的子系統(tǒng)必須一直運行。csrss 負責控制windows，創(chuàng)建或者刪除線程和一些16位的虛擬MS-DOS環(huán)境。

explorer.exe
這是一個用戶的shell（我實在是不知道怎么翻譯shell），在我們看起來就像任務條，桌面等等。這個進程并不是像你想象的那樣是作為一個重要的進程運行在windows中，你可以從任務管理器中停掉它，或者重新啟動。 通常不會對系統(tǒng)產生什么負面影響。

internat.exe

這個進程是可以從任務管理器中關掉的。
internat.exe在啟動的時候開始運行。它加載由用戶指定的不同的輸入點。輸入點是從注冊表的

這個位置
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加載內容的。
internat.exe 加載“EN”圖標進入系統(tǒng)的圖標區(qū)，允許使用者可以很容易的轉換不同的輸入點。
當進程停掉的時候，圖標就會消失，但是輸入點仍然可以通過控制面板來改變。

lsass.exe
這個進程是不可以從任務管理器中關掉的。
這是一個本地的安全授權服務，并且它會為使用winlogon服務的授權用戶生成一個進程。這個進程是
通過使用授權的包，例如默認的msgina.dll來執(zhí)行的。如果授權是成功的，lsass就會產生用戶的進入
令牌，令牌別使用啟動初始的shell。其他的由用戶初始化的進程會繼承這個令牌的。

mstask.exe
這個進程是不可以從任務管理器中關掉的。
這是一個任務調度服務，負責用戶事先決定在某一時間運行的任務的運行。

smss.exe
這個進程是不可以從任務管理器中關掉的。
這是一個會話管理子系統(tǒng)，負責啟動用戶會話。這個進程是通過系統(tǒng)進程初始化的并且對許多活

動的，
包括已經正在運行的Winlogon，Win32（Csrss.exe）線程和設定的系統(tǒng)變量作出反映。在它啟動

這些
進程后，它等待Winlogon或者Csrss結束。如果這些過程時正常的，系統(tǒng)就關掉了。如果發(fā)生了什

么
不可預料的事情，smss.exe就會讓系統(tǒng)停止響應（就是掛起）。

spoolsv.exe
這個進程是不可以從任務管理器中關掉的。
緩沖（spooler）服務是管理緩沖池中的打印和傳真作業(yè)。

service.exe
這個進程是不可以從任務管理器中關掉的。
大多數(shù)的系統(tǒng)核心模式進程是作為系統(tǒng)進程在運行。

System Idle Process
這個進程是不可以從任務管理器中關掉的。
這個進程是作為單線程運行在每個處理器上，并在系統(tǒng)不處理其他線程的時候分派處理器的時間

。

taskmagr.exe
這個進程是可以在任務管理器中關掉的。
這個進程就是任務管理器。

winlogon.exe
這個進程是管理用戶登錄和推出的。而且winlogon在用戶按下CTRL+ALT+DEL時就激活了，顯示安

全對話框。

winmgmt.exe
winmgmt是win2000客戶端管理的核心組件。當客戶端應用程序連接或當管理程序需要他本身的服務時這個進程初始化