explorer进程.doc

explorer进程 Windows Program Manager或者Windows Explorer用于控制Windows图形Shell，包括开始菜单、任务栏， 桌面和文件管理(桌面程序加载项)。 wscntfy进程 wscntfy.exe是Windows安全相关策略的一部分。这个程序对你系统的正常运行是非常重要的(自动更新加 载项)。 cifmon进程 ctfmon.exe是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序，和微软Office XP语 言条（输入法进加载项）。 realsched进程 Real自动加载的realsched.exe进程项。 VTTimer进程 VTTimer.exe是VIA芯片显卡相关程序，用于显卡诊断和功能设置。 VTTrayp进程 VTtrayp.exe是S3公司显示卡相关程序，用于硬件设备配置。 taskmgr进程 这个就是进程调用程序的加载项。 wdfmgr进程 wdfmgr.exe是微软Microsoft Windows media player 10播放器的一部分。该进程用于减少兼容性问题。 svchost进程 svchost.exe是nt核心系统的非常重要的进程，对于2000、xp来说，不可或缺 alg进程 alg.exe是微软windows操作系统自带的程序。它用于处理微软windows网络连接共享和网络连接防火墙。 这个程序对你系统的正常运行是非常重要的。 smss进程 smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个 程序对你系统的正常运行是非常重要的。 csrss进程 csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的 正常运行是非常重要的。 lsass进程 lsass.exe是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。这个进 程是通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进 入令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目 录远程堆栈溢出漏洞，正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查，构建超过 1000个"AND"的请求，并发送给服务器，导致触发堆栈溢出，使Lsass.exe服务崩溃，系统在30秒内重新启 动。 services进程 Windows Service Controller，管理Windows服务。大多数的系统核心模式进程是作为系统进程在运行。 打开管理工具中的服务，可以看到有很多服务都是在调用service.exe。正常的services.exe应位于% System%文件夹中，如果在%Windir%\Connection Wizard\Status中发现services.exe和csrss.exe、 smss.exe的话，则是中了Worm_Sober.N蠕虫病毒。 spoolsv进程 spoolsv是Windows打印任务控制程序，用以打印机就绪。（如果目前你没有自己的打印机而且不想用这台 计算机打印资料，可以在“我的电脑”右键“管理”里的“服务”项目中找到“Print Spooler（将文件 加载到内存中以便迟后打印。）”找到，停止并且禁用就可以了。） 因为每台电脑的硬软件不同，这里其它程序就不多说了。 这些进程也不一定是系统的，只能说是系统运行要用的进程，因为在这里所提及的很多进程的安全等级 以(0-5)的等级划分，多数是为0的，所以很有可能存在被病毒或是木马所利用该进程做隐蔽，其中比较明 显的症状是lsass、csrss等system账户的进程，却是被自己命名的系统用户名或administrator调用，比 较常的有冲击波病毒、Win32.Ladex.a木马，此类病毒常以一个大约48KB的应用程序来感染系统的，常以 网络、数据传输工具（MP3，U盘等）或是聊天工具的传播，只要一点击这个应用程序电脑就中招了。 　 【Csrss】：这是Windows的核心部份之一，全称为Client Server Process。我们不能结束该进程。这个只有4K的进程经常消耗3MB到6MB左右的内存，建议不要修改此进程，让它运行好了。 【Ctfmon】：这是安装了WinXP(尤其是安装ofice XP)后，在桌面右下角显示的“语言栏”，如果不希望它出现，可通过下面的步骤取消：双击“控制面板”，“区域和语言设置”，单击“语言”标签，单击“详细信息”按钮，打开“文字服务和输入语言”对话框，单击下面“首选项”的“语言栏”按钮，打开“语言栏设置”对话框，取消“在桌面上显示语言栏”的勾选即可。不要小看这个细节，它会为你节省1.5MB到4MB的内存。 【dovldr32】：如果你有一个Creative SBLive系列的声卡，就可能击现这个进程，它占用大约2.3MB到2.6MB的内存。有些奇怪的是，当我从任务栏禁止了这个进程后，通过DVD实验，并没有发生任何错误。但如果你将这个文件重新命名了，就会出现windows的文件保护警告窗口，而且Creative Mixer和AudioHQ程序加载出错。当然你希望节省一些内存，那么可以将它禁止。 【explorer】：这可不是Internet Explorer，explorer.exe总是在后台运行，它控制着标准的用户界面、进程、命令和桌面等，如果打开“任务管理器”，就会看到一个explorer.exe在后台运行。根据系统的字体、背景图片、活动桌面等情况的不同，通常会消耗5.8MB到36MB内存不等。 【Ldle】：如果你在“任务管理器”看到它显示99%的占用率，千万不要害怕，实际上这是好事，因为这表示你的计算机目前有99%的性能等待你使用！这是关键进程，不能结束。该进程只有16KB的大小，循环统计CPU的空闲度。 【IEXPLORE】：这才是IE浏览器。当我们用它上网冲浪时，它占有7.3MB甚至更多的内存。当然，这个随着打开的浏览器窗口的增加而增多。但当关闭所有IE窗口时，它并不会从任务管理器消失，IEXPLORE.EXE依然在后台运行着，它的作用是加快我们再一次打开IE的速度。 【Generic Host Process for Win32 Services】：如果你安装了ZoneAlarm以后，在连接Internet时ZonAlarm总是抱怨链接不到Internet，那么你就应该好好看看下面的文字。Svhost.exe就是Generic Service Host，意思就是说，它是其他服务的主机。如果你的Internet连接不工作了，很有可能是你禁止了一些必须的服务，比如如果你禁止了“DNS搜索”功能，那么当你输入时就不会连接上网，但如果输入IP地址，尽管还是可以上网，但实际上你已经破坏了上网冲浪的关键进程！ 【msmsgs】：这是微软的Windows Messengr(即时通信软件)著名的MSN进程，在WinXP的家庭版和专业版里面绑定的，如果你还运行着Outlook和MSN Explorer等程序，该进程会在后台运行支持所有这些微软号称的很Cool的，NET功能等新技术。 【msn6】：这是微软在WinXP里面绑定的MSN Explorer (MSN浏览器)进程，该进程需要msmsgs.exe事先运行。 【Navpw32】：这是安装了Norton AntiVirus2002 软件后启动的进程，除非你不需要病毒检测功能了，否则不要结束这个进程，这个进程同时还承担着自动升级病毒定义库文件的功能和在系统任务栏显示一个小图标的功能。 【Point32】：这是安装了特殊的鼠标软件(Intellimouse等等)后启动的等程序，由于在WinXP里面内建了很多鼠标新功能，所以，就没有必要在系统后台运行，既浪费1.1MB到1.6MB的内存，还要在任务栏占个地方！ 【Promon】：这是Intel系列显卡安装的程序，在任务栏显示图标控制程序，占据大约656KB到1.1MB的内存。 【Smss】：只有45KB的大小却占据着300KB到2MB的内存空间，这是一个Windows的核心进程之一，是windows NT内核的会话管理程序。 【Svchost】：这实际上是一个服务(service)，有时你会经常在“任务管理器”里看到好几个一样的该进程(分别掌管着system ,network,user或者其他)，在windows XP里面，如果你结束了这个进程，那么系统就会在一分钟之内自动关闭，在windows 2000中，该进程将显示为关键进程，禁止结束！ 【System IDLE Process】：这是一个当没有任何程序或者进程对CPU发出请求的时候调用的普通进程，该进程不能被结束，如果它显示CPU占用率是97%，那就意味着只有3%的CPU进程被真正的程序占用着，如果你发现这个ldle processes一直保持很低的数值(比如一直显示3%)，那么肯定有一个应用程序一直在运行着，需要检查一下！ 【taskmgr】：如果你看到了这个进程在运行，其实就是看这个进程的“任务管理器”本身。它大约占用了3.2MB的内存，当你优化系统时，不要忘了把它也算进去。 【Vptray】：这是Norton AV显示在任务栏的一个图标的进程，占用大约2.9MB左右的内存如果我们从任务栏将这个图标移走，能够收回一些内存，但是实际上它还在后台运行着。 【Winlogon】：这个进程处理登录和注销任务，事实上，这个进程是必需的，它的大小和你登录的时间有关系，我曾亲眼看见这个进程占用空间的波动情况，一个是登录一个小时左右，内存在1.7MB到8.5MB之间波动；另一个登录了40多天，内存在1.7MB到17MB之间波动。 【Wowexec】：当你运行一些老的应用程序(比如一些16位的程序)或者DOS控制台下运行DOS命令行程序，你就会在进程里面发现它。 【TaskSwitch】：在XP系统中安装了powerToys后会出现此进程，按Alt+Tab键显示切换图标，大约占用1.4MB到2MB的内存空间。 【在 WIN2000/XP 中,系统包含以下缺省进程】： Csrss.exe Explorer.exe Internat.exe Lsass.exe Mstask.exe Smss.exe Spoolsv.exe Svchost.exe Services.exe System System Idle Process Taskmgr.exe Winlogon.exe Winmgmt.exe 【下面列出更多的进程和它们的简要说明】 进程名描述 smss.exeSessionManager csrss.exe 子系统服务器进程 winlogon.exe管理用户登录 services.exe包含很多系统服务 lsass.exe 管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序 svchost.exe Windows 2000/XP 的文件保护系统 SPOOLSV.EXE 将文件加载到内存中以便迟后打印 explorer.exe资源管理器 internat.exe托盘区的拼音图标 mstask.exe允许程序在指定时间运行。 regsvc.exe允许远程注册表操作。(系统服务)->remoteregister winmgmt.exe 提供系统管理信息(系统服务) inetinfo.exemsftpsvc,w3svc,iisadmn tlntsvr.exe tlnrsvr tftpd.exe  实现 TFTP Internet 标准。该标准不要求用户名和密码 termsrv.exe termservice dns.exe  应答对域名系统(DNS)名称的查询和更新请求 tcpsvcs.exe 提供在PXE可远程启动客户计算机上远程安装2000 Professional的能力 ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息 ups.exe  管理连接到计算机的不间断电源(UPS) wins.exe 为注册和解析 NetBIOS 型名称的TCP/IP客户提供NetBIOS名称服务 llssrv.exe 证书记录服务 ntfrs.exe  在多个服务器间维护文件目录内容的文件同步 RsSub.exe  控制用来远程储存数据的媒体 locator.exe 管理 RPC 名称服务数据库 lserver.exe 注册客户端许可证 dfssvc.exe 管理分布于局域网或广域网的逻辑卷 clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面 msdtc.exe  并列事务，是分布于两个以上的数据库，消息队列， 文件系统或其它事务保护资源管理器。 faxsvc.exe 帮助您发送和接收传真。 cisvc.exe  索引服务 madmin.exe 磁盘管理请求的系统管理服务。 mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。 netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。 smlogsvc.exe 配置性能日志和警报。 rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号 和本地通信控制安装功功能。 RsEng.exe  协调用来储存不常用数据的服务和管理工具。 RsFsa.exe  管理远程储存的文件的操作。 grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点， 以节省磁盘空间(只对NTFS文件系统有用) SCardSvr.ex 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。 snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。 snmptrap.exe 接收由本地或远程SNMP代理程序产生的陷阱(trap)消息，然后将消息传递到 运行在这台计算机上 SNMP 管理程序。 UtilMan.exe 从一个窗口中启动和配置辅助工具。