Win2000系统进程简介

转载：http://www.lizhibin.net/news/ReadNews.asp?NewsID=91 author:larroy
  
文档简介：Windows2000操作系统已经成为越来越多用户的选择，然而和其他操作系统
一样，它无法避免病毒，木马等恶意程序的侵扰，Windows2000自带的任务管理器是我
们了解系统运行和状态很有用的窗口，通过它，我们可以了解到有哪些进程在运行，
一些不太高明的病毒或者木马会在这里露出马脚，他们或者附身于正常的进程，或者
以自己独立的进程运行，但是对于一般用户光靠进程名很难正确识别那些进程是正常
的，那些是异常的进程。本文就将任务管理器里常见的进程做一简要介绍，帮助大家
了解忠良，识别奸细。该文档基于Win2000，但是对Win98有一定的借鉴意义。
  
进程分类：任务管理器里的进程可以分为系统进程和非系统进程。系统进程通常是系
统正常运行所必需的进程，通常会出现在任务管理器列表里面，有些进程虽然是系统
进程，但是如果没有安装相应的服务，该进程也不会激活；非系统进程是应用程序运
行或调用的进程，通常只有在程序运行期间才会出现在任务管理器列表里面。下面就
按照系统进程和非系统进程介绍。
  
系统进程：
进程名： system process
进程全名：内存句柄管理进程 （Windows Memory Handler System Process）
扼要介绍：Windows内存句柄管理进程对内存中释放的页进行清零工作，唯一的优先级
为0的进程，它在任务管理器内不可见。该进程是系统进程。
  
进程名：system idle process
进程全名：系统进程 （Windows System Idle Process）
扼要介绍：当没有别的进程在运行，该进程运行，是单线程进程。每个NT系统都会有的。
该进程是系统进程。
  
进程名：system
进程全名：系统进程 （Windows System Process）
扼要介绍：是多线程进程，这些线程只在超级用户模式下执行系统功能。NTOSKRNL和
很多驱动程序都要用到该进程。如果用Process Viewer察看，就知道什么是五花八门了。
该进程是系统进程。
  
进程名：inetinfo
进程全名：IIS 管理服务进程 （IIS Admin Service Helper）
扼要介绍：inetinfo是IIS的一部分并可用来调试，如果安装了Web或者ftp等服务，
它就会出现在任务管理器内。该进程是系统进程。
  
进程名：ddhelp
进程全名：DirectDraw Helper
扼要介绍：DirectDraw Helper是DirectX的一部分，用于和图形相关的服务。
该进程是系统进程。
  
进程名：lsass
进程全名：本地安全验证服务 （Local Security Authority Service）
扼要介绍：该进程执行Windows安全机制，当用户登陆时，winlogon会和lsass交互。
该进程是
系统进程。
  
进程名：mprexe
进程全名：路由进程 （Windows Routing Process）
扼要介绍：该进程将到达的网络请求进行路由。该进程是系统进程。
  
进程名：regsvc
进程全名：远程注册表服务 （Remote Registry Service）
扼要介绍：远程注册表服务允许从远程访问注册表。该进程是系统进程。
  
进程名：smss
进程全名：会话管理子系统（Session Manager Subsystem）
扼要介绍：该进程进行环境变量和DOS设备名初始化，如LPT1，COM1；加载Win32子系统
内核，并启动登录进程（Windows Logon Process）。该进程是系统进程。
  
进程名：spoolsv
进程全名：打印缓冲服务（Printer Spooler Service）
扼要介绍：该进程用于保存打印任务，并在合适的时候将打印任务发送给打印机。
该进程是系统进程。
  
进程名：winlogon
进程全名：登录进程（Windows Logon Process）
扼要介绍：该进程处理用户登录和退出，如果用户登陆成功，它会创建USERINIT.exe，
该进程再启动explorer处理人机交互，此时UNERINIT销毁。该进程是系统进程。
  
进程名：alg
进程全名：（Application Layer Gateway Service）
扼要介绍：该进程用于Internet互连共享。该进程是系统进程。
  
进程名：dllhost
进程全名：DCOM DLL主机进程（DCOM DLL Host Process）
扼要介绍：该进程用于支持基于COM对象的dll，很多windows程序都要调用该进程。
该进程是系统进程。
  
进程名：internat
进程全名：Input Locales
扼要介绍：该进程用于改变地区设置，例如键盘类型，货币符号以及日期格式等。
该进程是系统进程。
  
进程名：mdm
进程全名： （Machine Debug Manager）
扼要介绍：该进程用于调试应用程序，由包含在Office里的Microsoft Script Editor
安装。该进程是系统进程。
  
进程名：msgsrv32
进程全名：Windows Message Server
扼要介绍：该进程在Windows启动时加载Windows驱动和程序管理器。该进程是系统进程。
  
进程名：rpcss
进程全名：RPC Portmapper
扼要介绍：该进程处理RPC（远程过程调用）请求，并将请求映射到合适的服务程序。
该进程是系统进程。
  
进程名：snmp
进程全名：简单网络管理协议代理 （Microsoft SNMP Agent）
扼要介绍：snmp是一个代理，它侦听请求，并将请求转交给相应的网络提供商。
该进程是系统进程。
  
进程名：stisvc
进程全名：静止图像服务（Still Image Service）
扼要介绍：该进程处理与扫描仪和数码相机的连接，如果有扫描仪或者数码相机和
计算机相连，Windows会安装该进程。该进程是系统进程。
  
  
进程名：taskmon
进程全名：任务优化进程（Windows Task Optimizer）
扼要介绍：该进程检测你使用某个程序的频繁程度，并在调用磁盘整理（Defrag）
的时候对常用程序进行优化。该进程是系统进程。
  
进程名：winmgmt
进程全名：Windows管理服务（Windows Management Service）
扼要介绍：该进程处理从客户应用程序发起的管理指令数据请求。该进程是系统进程。
  
进程名：csrss
进程全名：（Client/Server Runtime Server Subsystem）
扼要介绍：该进程负责处理所有子系统的窗口和图形图像功能，俗称Win32子系统。
该进程是系统进程。
  
进程名：explorer
进程全名：程序管理器（Program Manager）
扼要介绍：该进程处理Windows图形Shell，包括开始菜单，任务栏，桌面和文件管理器。
该进程是系统进程。2001年9月出现红极一时的红色蠕虫病毒就是利用此进程作掩护进
行肆虐，如果在系统里发现有下列后门（木马）程序：C:/explorer.exe，
D:/explorer.exe就是被感染了。
  
进程名：kernel32
进程全名：Windows内核进程（Windows Kernel Process）
扼要介绍：该进程为系统进程管理，内存管理和资源管理提供服务。该进程是系统进程。
WantJob病毒就是将自身拷贝到”/WINNT/System32/krnl32.exe”，并注册“Krnl32”
服务，目的就是于此进程混淆。
  
进程名：mmtask
进程全名：多媒体后台任务支持模块（Windows Multimedia Background Task
Support Module）
扼要介绍：该进程提供多媒体服务，如MIDI。该进程是系统进程。
  
进程名：mstask
进程全名：任务计划管理进程（Windows Task Scheduler）
扼要介绍：该进程用于任务计划管理，如在制定时间进行备份或者更新。该进程是
系统进程。
  
进程名：services
进程全名：Windows服务控制器（Windows Service Controller）
扼要介绍：该进程用于Windows服务管理。该进程是系统进程。
  
进程名：spool32
进程全名：打印缓冲池（Printer Spooler）
扼要介绍：该进程同spoolsv，不过是32位。该进程是系统进程。
  
  
进程名：svchost
进程全名：服务主机进程（Service Host Process）
扼要介绍：该进程是通用主机进程，管理从动态连接库（DLL）运行的服务。
该进程是系统进程。继红色代码之后的“蓝色代码”蠕虫病毒就是伪装成svchost作恶的。
  
进程名：tcpsvcs
进程全名：TCP/IP 服务（TCP/IP Services）
扼要介绍：该进程支持使用TCP/IP协议的网络互联和Internet通讯功能。该进程是系
统进程。
  
非系统进程：
进程名：rundll32
进程全名：Windows RUNDLL32 Helper
扼要介绍：该进程非常重要，而且功能强大，很多程序要执行DLL文件内的函数都需要调
用它，也常常被恶意程序利用。该进程是非系统进程。
  
  
进程名：absr
进程全名：Backdoor.Autoupder Virus
扼要介绍：该进程由Backdoor.Autoupder病毒创建，相关资料请查阅病毒和木马。
该进程是非系统进程。
  
进程名：agentsvr
进程全名：OLE automation server
扼要介绍：该进程是Microsoft代理的一部分。该进程是非系统进程。
  
进程名：alogserv
进程全名：McAfee VirusScan
扼要介绍：没什么好说的，McAfee的反病毒程序进程。该进程是非系统进程。
  
进程名：mmc
进程全名：Windows Disk Defragmenter
扼要介绍：该进程用于磁盘整理，提高系统性能。该进程是非系统进程。
  
进程名：msmsgs
进程全名：MSN Messenger Traybar Process
扼要介绍：MSN在线聊天客户端进程。该进程是非系统进程。
  
进程名：mspmspsv
进程全名：WMDM PMSP Service
扼要介绍：WMP7的帮助服务。该进程是非系统进程。
  
进程名：nvsvc32
进程全名：NVIDIA Driver Helper Service
扼要介绍：用于NVIDIA 图形加速卡的驱动。该进程是非系统进程。
  
进程名：spoolss
进程全名：Printer Spooler Subsystem
扼要介绍：该进程将数据从磁盘发送到打印机。该进程是非系统进程。
  
进程名：tapisrv
进程全名：TAPI Service
扼要介绍：该进程支持Windows Telephony服务。该进程是非系统进程。
  
进程名：ctfmon
进程全名：Alternative User Input Services
扼要介绍：该进程提供语音识别，手写识别，键盘，翻译以及其他用户输入技术的文本输
入支持。该进程是非系统进程。
  
进程名：loadqm
进程全名：MSN Queue Manager Loader
扼要介绍：如果你安装了MSN Explorer或者MSN Messenger，就会出现这个进程，有时候它
会占用过多的系统资源。该进程是非系统进程。
  
进程名：hh
进程全名：Windows Help
扼要介绍：该进程用于打开帮助文件。该进程是非系统进程。
  
进程名：mobsync
进程全名：Microsoft Synchronization Manager
扼要介绍：该进程是IE的一部分，在后台运行，支持离线浏览功能。该进程是非系统
进程。
  
进程名：msiexec
进程全名：Windows Installer Component
扼要介绍：当要安装的新程序要使用Windows Installer安装包文件的时候，会启动该
进程。该进程是非系统进程。
  

非系统进程很多，就写到这里了，欢迎补充