windows系统各进程详解
 
系统各进程详解
 
 
 
     下面列出的都是操作系统的进程,而不是程序的进程,记住这些进程并了解他们的工作原理,用途,能让我们对系统进程的理解提升一个级别。
 
 
 

1System Idle Process系统进程介绍

   [system Idle Process]
  
  进程文件 : [system process] or [system process]
   
  进程名称 : Windows 内存处理系统进程
  
  描  述 : Windows 页面内存管理进程,拥有 0 级优先。
  
  介  绍:该进程作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。它的 cpu 占用率越大表示可供分配的 CPU 资源越多,数字越小则表示 CPU 资源紧张。
  
   System Idle Process 为何物
  
  问:在使用 Windows XP 的过程中,按 “Ctrl+Alt+Del” 键调出任务管理器,在进程中我发现一个名为 “System Idle Process” 的进程,它往往占用了大部分 CPU 资源,经常是 80% 以上,请问为什么它占用了那么多资源?
  
  答:你误解了 “System Idle Process” 进程的意思了,这里的 80% 并不是你所想的占用 CPU 的资源,恰恰相反的是这里的 80% 以上是 CPU 资源空闲了出来的。这里的数字越大表示 CPU 可用资源越多,数字越小则表示 CPU 资源越紧张。该进程是系统必须的,不能禁止哦。
 

2alg.exe系统进程介绍

   [alg.exe]
  
  进程文件 : alg or alg.exe
   
  进程名称 : 应用层网关服务
  
  描  述 : 这是一个应用层网关服务用于网络共享。
  
  介  绍:一个网关通信插件的管理器,为 “Internet 连接共享服务 “Internet 连接防火墙服务 提供第三方协议插件的支持。
  
   Internet 连接共享 (ICS)/Windows 防火墙服务( ICF )的这个子组件对允许网络协议通过防火墙并在 Internet 连接共享后面工作的插件提供支持。应用程序层网关 (ALG) 插件可以打开端口和更改嵌入在数据包内的数据(如端口和 IP 地址)。文件传输协议 (FTP) 是唯一具有 Windows Server 2003 标准版和 Windows Server 2003 企业版附带的一个插件的网络协议。 ALG FTP 插件旨在通过这些组件使用的网络地址转换 (NAT) 引擎来支持活动的 FTP 会话。 ALG FTP 插件通过重定向所有通过 NAT 的流量和发送到通向环回适配器上 3000 5000 范围内的专用侦听端口的端口 21 的流量来支持这些会话。 ALG FTP 插件随后监视并更新 FTP 控制通道流量,以便 FTP 插件能够通过 FTP 数据通道的 NAT 转发端口映射。 FTP 插件还更新 FTP 控制通道流中的端口。
  
  系统服务名称: ALG 应用程序协议 协议 端口
            FTP 控制   TCP   21
            
  问:
  我是 ADSL 宽带用户,平时常常下载电影,这几星期里我用网际快车下载电影的时候(下载的中段时候),老是出错: “ALG.EXE 文件挂起 。我用的是 XP 系统,具体询问的问题如下: 1.ALG.EXE 是什么文件?为什么老是会挂起? 2. 为什么挂起后就不可以下载了?反映连接不上,但是其它上网都很正常如 QQ MSN 、看网站,是一点问题也没有(就是不可以下载了,连 FTP 也不可以下载)。 3. 重启以后就好了,但是不到五分钟又是 ALG.EXE 文件挂起,又不可以下载电影了。我等着,一笑哥给我想想办法吧。
  答:
   ALG 嘛, Application Layer Gateway Service 是也,是 Windows XP 的一个应用层网关服务,通过 控制面板 | 管理工具 | 服务 ,你可以看到其具体解释是 为应用程序级协议插件提供支持并启用网络 / 协议连接 ,在其上点击右键,选择 属性 | 依存关系 ,还可以发现 “Internet Connection Firewall(ICF)/Internet Connection Sharing(ICS)” 需要依赖此服务,而 ICF ICS 也就是我们平时所说的 XP 中自带的防火墙和 Internet 连接共享。由于 ALG 的特殊性,因此很多病毒都将自己伪装成 ALG.EXE 文件,以欺骗系统和使用电脑的朋友,因此经常挂起很可能与你中了病毒有关,建议你使用最新版的杀毒软件进行查杀,看系统是否有问题。而在 ALG.EXE 挂起时,忘记快车不能够下载,是由于你启用了系统 Internet 连接的连接共享或者防火墙功能, ALG.EXE 挂起导致这些功能失效,因此出现不能下载的情况。你可以关闭 Internet 连接共享以及防火墙功能,看是否有类似问题再次出现。
 

3csrss.exe系统进程介绍

[csrss.exe]
  
  进程文件 : csrss or csrss.exe
   
  进程名称 : Client/Server Runtime Server Subsystem
   
  描  述 : 客户端服务子系统,用以控制 Windows 图形相关子系统。
  
  介  绍 : 这个是用户模式 Win32 子系统的一部分。 csrss 代表客户 / 服务器运行子系统而且是一个基本的子系统必须一直运行。 csrss 用于维持 Windows 的控制,创建或者删除线程和一些 16 位的虚拟 MS-DOS 环境。
  
  纯手工查杀*** csrss.exe
  
  注意: csrss.exe 进程属于系统进程,这里提到的*** csrss.exe 是***伪装成系统进程
  
  前两天突然发现在 C:\Program Files\ 下多了一个 rundll32.exe 文件。这个程序记得是关于登录和开关机的,不应该在这里,而且它的图标是 98 notepad.exe 的老记事本图标,在我的 2003 系统下面很扎眼。但是当时我没有在意。因为平时没有感到系统不稳定,也没有发现内存和 CPU 大量占用,网络流量也正常。
  
  这两天又发现任务管理器里多了这个 rundll32.exe 和一个 csrss.exe 的进程。它和系统进程不一样的地方是用户为 Administrator ,就是我登录的用户名,而非 system ,另外它们的名字是小写的,而由 SYSTEM 启动的进程都是大写的 RUNDLL32.EXE CSRSS.EXE ,觉得不对劲。
  
  然后按 F3 用资源管理器的搜索功能找 csrss.exe ,果然在 C:\Windows 下,大小 52736 字节,生成时间为 12 9 12:37 。而真正的 csrss.exe 只有 4k ,生成时间是 2003 3 27 12:00 ,位于 C:\Windows\Syetem32 下。
  
  于是用超级无敌的 UltraEdit 打开它,发现里面有 kavscr.exe mailmonitor 一类的字符,这些都是金山毒霸的进程名。在该字符前面几行有 SelfProtect 的字符。自我保护和反病毒软件有关的程序,不是病毒就是***了。灭!
  
  试图用任务管理器结束 csrss.exe 进程失败,称是系统关键进程。先进注册表删除 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] v[Runservice] 下相应值,注销重登录,该进程消失,可见它没有象 3721 那样加载为驱动程序。
  
  然后要查找和它有关的文件。仍然用系统搜索功能,查找 12 9 生成的所有文件,然后看到 12:37 分生成的有 csrss.exe rundll32.exe kavsrc.exe ,但 kavsrc.exe 的图标也是 98 下的记事本图标,它和 rundll32.exe 的大小都是 33792 字节。
  
  此后在 12:38 分生成了一个 tmp.dat 文件,内容是
  
   @echo off
    debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
    copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
    del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
    del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
    C:\WINDOWS\system32\netstart.exe
   
  好像是用 debug 汇编了一段什么程序,这年头常用 debug 的少见,估计不是什么善茬,因为商业程序员都用 Delphi PB 等大程序写软件。
  
  汇编大约进行了 1 分钟,在 12:39 生成了 netstart.exe WinSocks.dll netserv.exe 和一个 0 字节的 tmp.out 文件。 netstart.exe 大小 117786 字节,另两个大小也是 52736 字节。前两个位于 C:\Windows\System32 下,后两个在当前用户的 Temp 文件夹里。
  
  这样我就知道为什么我的系统没有感染的表现了。 netstart.exe 并没有一直在运行,因为我在任务管理器中没有见过它。把这些文件都删除,我的办法是用 winrar 压缩并选中完成后删除源文件,然后在 rar 文件注释中做说明,放一个文件夹里,留待以后研究。这个监狱里都是我的战利品,不过还很少。
  
  现在***已经清除了。使用搜索引擎查找关于 csrss.exe 的内容,发现结果不少,有 QQ 病毒,传奇盗号***,新浪游戏病毒,但是文件大小和我中的这个都不一样。搜索 netstart.exe 只有一个日文网站结果,也是一个***。
  
  这个病毒是怎么进入我的电脑的呢?搜索时发现在 12 9 12:36 分生成了一个快捷方式,名为 dos71cd.zip ,它是我那天从某网站下载的 DOS7.11 版启动光盘,但是当时下载失败了。现在看来根本就不是失败,是因为这个网站的链接本来就是一段网页注入程序,点击后直接把病毒下载来了。
 

4ddhelp.exe系统进程介绍

   [ddhelp.exe]
  
  进程文件 : ddhelp or ddhelp.exe
   
  进程名称 : DirectDraw Helper
   
  描  述 : DirectDraw Helper DirectX 这个用于图形服务的一个组成部分。
  
  简  介: Directx 帮助程序
  
  错误信息: Ddhelp.exe 导致模块 Mgaxdd32.dll 中出现无效页错误
  
  症状
  
  当使用 Windows Media Player 播放文件或运行 DxDiag.exe 工具时,您可能会看到以下错误信息:
   Ddhelp.exe caused an invalid page fault in module Mgaxdd32.dll at 015F:BAAL521F Ddhelp.exe 015F:BAAL521F 处导致 Mgaxdd32.dll 模块中出现无效页错误)
  
  原因
  
  如果您的计算机中装有以下任何项目,就可能会出现此问题: ? Matrox Millennium II 视频适配器
  
   Microsoft DirectX 6.1
   
  不兼容的视频适配器
  
  解决方案
  
  要解决此问题,请与视频适配器的生产厂商联系,以获得更新的视频驱动程序。(重装新版的显卡驱动)
 

5dllhost.exe系统进程介绍

   [dllhost.exe]
   
  进程文件 : dllhost or dllhost.exe
   
  进程名称 : DCOM DLL Host 进程
  
  描  述 : DCOM DLL Host 进程支持基于 COM 对象支持 DLL 以运行 Windows 程序。
  
  介  绍: com 代理,系统附加的 dll 组件越多,则 dllhost 占用的 cpu 资源和内存资源就越多,而 8 月的 冲击波杀手 大概让大家对它比较熟悉吧。
  
  解决 Web 服务器出现的dllhost.exe 错误
  
  我的 Web 服务器出了问题。一个弹出话框显示 “dllhost.exe 出现错误 。当我查看应用事件日志时发现有很多 Active Server Pages Event 5 这样的错误。它们在错误信息中显示为 “line 0 内存溢出 。这种错误以前每隔几天就发生一次,但现在是每隔几小时就发生一次。重启后也只能维持一阵子。你对此有什么看法吗?
  
  我还没碰到过这种问题,但我在微软的参考信息中看到 Exchange Outlook Web Access 使用过程中描述过这样的错误。( http://support.microsoft.com/?kbid=224327
  
  该链接建议你安装最新的 Exchange 升级版。如果你在使用 Exchange ,不妨尝试一下。如果没有,我就要给你一些建议,它们同那些存在 ASP 3.0 方面问题的人的建议一样:
  
  确保你有所有最新升级版和服务包。
  
  在每个 Web 应用中允许进程隔离。
  
  将应用程序升级到 ASP.NET
  
  将 Web 服务器升级到 Windows Server 2003
  
  了解真相 dllhost.exe 是病毒吗?
  
   dllhost.exe 解释
  
   dllhost.exe 是什么?
  
   dllhost.exe 是运行 COM+ 的组件,即 COM 代理,运行 Windows 中的 Web FTP 服务器必须有这个东西。
  
  什么时候会出现 dllhost.exe
  
  运行 COM+ 组件程序的时候就会出现。例如江民 KV2004
   
  冲击波杀手又是怎么一回事?
  
  冲击波杀手借用了 dllhost.exe 作为进程名,但是由于 Windows 不允许同一个目录下有同名文件的存在,因此,冲击波杀手把病毒体: dllhost.exe 放到了 C:\Windows\System32\Wins 目录里面( Windows 2000 C:\WINNT\System32\Wins ,全部假设系统安装在 C 盘),但是真正的 dllhost.exe 应该放 C:\Windows\System32 Windows 2000 C:\WINNT\System32
  
  换句话说就是:冲击波( Worm.WelChia )为了迷惑用户,避免病毒的执行体被进程管理器终止,采用了 dllhost.e xe 这个和 Windows 组件一样的名字,但是并不是说进程里面出现 dllhost.exe 就等于感染了 worm.welchi a
   
  再看看这里的 FAQ
  
  第一个误区 ———— 进程出现 Dllhost.exe 就等于中了病毒
   Dllhost.exe 是系统文件,但是进程里面出现 Dllhost.exe 进程不等于中了病毒
  
  第二个误区 ———— 一见 Dllhost.exe 进程就杀死
  其实这样做是不好的。很多程序都需要 Dllhost.exe ,例如 KV2004 实时监控运行的时候或 IIS 在解析一些 ASP 文件 的时候,进程中都会出现 Dllhost.exe
   
  之所以大家恐惧 Dllhost.exe 进程,恐怕是由于冲击波(杀手)的问题。
  其实冲击波(杀手)只不过采取了一个偷梁换柱的方法。因为任务管理器里面无法看出进程中 exe 文件的路径,所以让大家在分析问题 的时候出现一些偏差。
  
  感染冲击波(杀手)的典型特征不是进程中出现 Dllhost.exe ,而是 RPC 服务出现问题(冲击波)和 System32\w ins 目录里面出现 svchost.exe dllhost.exe 文件(冲击波杀手)。注意路径!!
  
  那么, Dllhost.exe 是什么呢? Dllhost.exe COM+ 的主进程。正常下应该位于 system32 目录里面和 system32\dllcache 目录里面。而 system32\win s 目录里面是不会有 dllhost.exe 文件的。
 

6Explorer.exe系统进程介绍

   [explorer.exe]
  
  进程文件 : explorer or explorer.exe
   
  进程名称 : 程序管理
  
  描  述 : Windows Program Manager 或者 Windows Explorer 用于控制 Windows 图形 Shell ,包括开始菜单、任务栏,桌面和文件管理。
  
  介  绍:这是一个用户的 shell ,在我们看起来就像任务条,桌面等等。或者说它就是资源管理器,不相信你在运行里执行它看看。它对 windows 系统的稳定性还是比较重要的,而红码也就是找它的麻烦,在 c d 根下创建 explorer.exe
  
   Explorer.exe程序在系统中的作用
  
   教您手工清除“诺维格”及其变种!一个伪装成Explorer.exe系统进程的病毒
  
  如何解决 Explorer.exe 意外退出的问题?
  
  我的系统经常出现这个问题,先提示 “Explorer.exe has encountered a problem and needs to close.We are sorry for the inconvenience.” 然后 Explorer.exe 就自动退出,请问是什么原因呢?我用的是 Windows XP 系统。谢谢。
  
  你可能是因为 Windows XP SP2 的问题,因为不清楚你的具体情况,所以并不能用最合适的方式解决这个问题,但是你可以在微软的相关文章找到和你的系统一致的状况,并找到最好的解决方案。以下是相关链接 http://support.microsoft.com/default.aspx?scid=kb;zh-cn;883791
  
   试图启动 Windows 时出现“Error Loading Explorer.exe”(加载 Explorer.exe 时出错)错误信息
  
   错误信息:Error Loading Explorer.exe You Must Reinstall Windows(加载 Explorer.exe 时出现错误,必须重新安装 Windows