windows系统各进程详解
|
|
|
|
下面列出的都是操作系统的进程,而不是程序的进程,记住这些进程并了解他们的工作原理,用途,能让我们对系统进程的理解提升一个级别。
|
|
1、System Idle Process系统进程介绍
[system Idle Process]
进程文件
: [system process] or [system process]
进程名称
: Windows
内存处理系统进程
描 述
: Windows
页面内存管理进程,拥有
0
级优先。
介 绍:该进程作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。它的
cpu
占用率越大表示可供分配的
CPU
资源越多,数字越小则表示
CPU
资源紧张。
System Idle Process
为何物
问:在使用
Windows XP
的过程中,按
“Ctrl+Alt+Del”
键调出任务管理器,在进程中我发现一个名为
“System Idle Process”
的进程,它往往占用了大部分
CPU
资源,经常是
80%
以上,请问为什么它占用了那么多资源?
答:你误解了
“System Idle Process”
进程的意思了,这里的
80%
并不是你所想的占用
CPU
的资源,恰恰相反的是这里的
80%
以上是
CPU
资源空闲了出来的。这里的数字越大表示
CPU
可用资源越多,数字越小则表示
CPU
资源越紧张。该进程是系统必须的,不能禁止哦。
2、alg.exe系统进程介绍
[alg.exe]
进程文件
: alg or alg.exe
进程名称
:
应用层网关服务
描 述
:
这是一个应用层网关服务用于网络共享。
介 绍:一个网关通信插件的管理器,为
“Internet
连接共享服务
”
和
“Internet
连接防火墙服务
”
提供第三方协议插件的支持。
Internet
连接共享
(ICS)/Windows
防火墙服务(
ICF
)的这个子组件对允许网络协议通过防火墙并在
Internet
连接共享后面工作的插件提供支持。应用程序层网关
(ALG)
插件可以打开端口和更改嵌入在数据包内的数据(如端口和
IP
地址)。文件传输协议
(FTP)
是唯一具有
Windows Server 2003
标准版和
Windows Server 2003
企业版附带的一个插件的网络协议。
ALG FTP
插件旨在通过这些组件使用的网络地址转换
(NAT)
引擎来支持活动的
FTP
会话。
ALG FTP
插件通过重定向所有通过
NAT
的流量和发送到通向环回适配器上
3000
到
5000
范围内的专用侦听端口的端口
21
的流量来支持这些会话。
ALG FTP
插件随后监视并更新
FTP
控制通道流量,以便
FTP
插件能够通过
FTP
数据通道的
NAT
转发端口映射。
FTP
插件还更新
FTP
控制通道流中的端口。
系统服务名称:
ALG
应用程序协议 协议
端口
FTP
控制
TCP
21
问:
我是
ADSL
宽带用户,平时常常下载电影,这几星期里我用网际快车下载电影的时候(下载的中段时候),老是出错:
“ALG.EXE
文件挂起
”
。我用的是
XP
系统,具体询问的问题如下:
1.ALG.EXE
是什么文件?为什么老是会挂起?
2.
为什么挂起后就不可以下载了?反映连接不上,但是其它上网都很正常如
QQ
、
MSN
、看网站,是一点问题也没有(就是不可以下载了,连
FTP
也不可以下载)。
3.
重启以后就好了,但是不到五分钟又是
ALG.EXE
文件挂起,又不可以下载电影了。我等着,一笑哥给我想想办法吧。
答:
ALG
嘛,
Application Layer Gateway Service
是也,是
Windows XP
的一个应用层网关服务,通过
“
控制面板
|
管理工具
|
服务
”
,你可以看到其具体解释是
“
为应用程序级协议插件提供支持并启用网络
/
协议连接
”
,在其上点击右键,选择
“
属性
|
依存关系
”
,还可以发现
“Internet Connection Firewall(ICF)/Internet Connection Sharing(ICS)”
需要依赖此服务,而
ICF
和
ICS
也就是我们平时所说的
XP
中自带的防火墙和
Internet
连接共享。由于
ALG
的特殊性,因此很多病毒都将自己伪装成
ALG.EXE
文件,以欺骗系统和使用电脑的朋友,因此经常挂起很可能与你中了病毒有关,建议你使用最新版的杀毒软件进行查杀,看系统是否有问题。而在
ALG.EXE
挂起时,忘记快车不能够下载,是由于你启用了系统
Internet
连接的连接共享或者防火墙功能,
ALG.EXE
挂起导致这些功能失效,因此出现不能下载的情况。你可以关闭
Internet
连接共享以及防火墙功能,看是否有类似问题再次出现。
3、csrss.exe系统进程介绍
[csrss.exe]
进程文件
: csrss or csrss.exe
进程名称
: Client/Server Runtime Server Subsystem
描 述
:
客户端服务子系统,用以控制
Windows
图形相关子系统。
介 绍
:
这个是用户模式
Win32
子系统的一部分。
csrss
代表客户
/
服务器运行子系统而且是一个基本的子系统必须一直运行。
csrss
用于维持
Windows
的控制,创建或者删除线程和一些
16
位的虚拟
MS-DOS
环境。
纯手工查杀***
csrss.exe
注意:
csrss.exe
进程属于系统进程,这里提到的***
csrss.exe
是***伪装成系统进程
前两天突然发现在
C:\Program Files\
下多了一个
rundll32.exe
文件。这个程序记得是关于登录和开关机的,不应该在这里,而且它的图标是
98
下
notepad.exe
的老记事本图标,在我的
2003
系统下面很扎眼。但是当时我没有在意。因为平时没有感到系统不稳定,也没有发现内存和
CPU
大量占用,网络流量也正常。
这两天又发现任务管理器里多了这个
rundll32.exe
和一个
csrss.exe
的进程。它和系统进程不一样的地方是用户为
Administrator
,就是我登录的用户名,而非
system
,另外它们的名字是小写的,而由
SYSTEM
启动的进程都是大写的
RUNDLL32.EXE
和
CSRSS.EXE
,觉得不对劲。
然后按
F3
用资源管理器的搜索功能找
csrss.exe
,果然在
C:\Windows
下,大小
52736
字节,生成时间为
12
月
9
日
12:37
。而真正的
csrss.exe
只有
4k
,生成时间是
2003
年
3
月
27
日
12:00
,位于
C:\Windows\Syetem32
下。
于是用超级无敌的
UltraEdit
打开它,发现里面有
kavscr.exe
,
mailmonitor
一类的字符,这些都是金山毒霸的进程名。在该字符前面几行有
SelfProtect
的字符。自我保护和反病毒软件有关的程序,不是病毒就是***了。灭!
试图用任务管理器结束
csrss.exe
进程失败,称是系统关键进程。先进注册表删除
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
和
v[Runservice]
下相应值,注销重登录,该进程消失,可见它没有象
3721
那样加载为驱动程序。
然后要查找和它有关的文件。仍然用系统搜索功能,查找
12
月
9
日
生成的所有文件,然后看到
12:37
分生成的有
csrss.exe
、
rundll32.exe
和
kavsrc.exe
,但
kavsrc.exe
的图标也是
98
下的记事本图标,它和
rundll32.exe
的大小都是
33792
字节。
此后在
12:38
分生成了一个
tmp.dat
文件,内容是
@echo off
debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
C:\WINDOWS\system32\netstart.exe
好像是用
debug
汇编了一段什么程序,这年头常用
debug
的少见,估计不是什么善茬,因为商业程序员都用
Delphi
、
PB
等大程序写软件。
汇编大约进行了
1
分钟,在
12:39
生成了
netstart.exe
、
WinSocks.dll
、
netserv.exe
和一个
0
字节的
tmp.out
文件。
netstart.exe
大小
117786
字节,另两个大小也是
52736
字节。前两个位于
C:\Windows\System32
下,后两个在当前用户的
Temp
文件夹里。
这样我就知道为什么我的系统没有感染的表现了。
netstart.exe
并没有一直在运行,因为我在任务管理器中没有见过它。把这些文件都删除,我的办法是用
winrar
压缩并选中完成后删除源文件,然后在
rar
文件注释中做说明,放一个文件夹里,留待以后研究。这个监狱里都是我的战利品,不过还很少。
现在***已经清除了。使用搜索引擎查找关于
csrss.exe
的内容,发现结果不少,有
QQ
病毒,传奇盗号***,新浪游戏病毒,但是文件大小和我中的这个都不一样。搜索
netstart.exe
只有一个日文网站结果,也是一个***。
这个病毒是怎么进入我的电脑的呢?搜索时发现在
12
月
9
日
12:36
分生成了一个快捷方式,名为
dos71cd.zip
,它是我那天从某网站下载的
DOS7.11
版启动光盘,但是当时下载失败了。现在看来根本就不是失败,是因为这个网站的链接本来就是一段网页注入程序,点击后直接把病毒下载来了。
4、ddhelp.exe系统进程介绍
[ddhelp.exe]
进程文件
: ddhelp or ddhelp.exe
进程名称
: DirectDraw Helper
描 述
: DirectDraw Helper
是
DirectX
这个用于图形服务的一个组成部分。
简 介:
Directx
帮助程序
错误信息:
Ddhelp.exe
导致模块
Mgaxdd32.dll
中出现无效页错误
症状
当使用
Windows Media Player
播放文件或运行
DxDiag.exe
工具时,您可能会看到以下错误信息:
Ddhelp.exe caused an invalid page fault in module Mgaxdd32.dll at 015F:BAAL521F
(
Ddhelp.exe
在
015F:BAAL521F
处导致
Mgaxdd32.dll
模块中出现无效页错误)
原因
如果您的计算机中装有以下任何项目,就可能会出现此问题:
? Matrox Millennium II
视频适配器
Microsoft DirectX 6.1
不兼容的视频适配器
解决方案
要解决此问题,请与视频适配器的生产厂商联系,以获得更新的视频驱动程序。(重装新版的显卡驱动)
5、dllhost.exe系统进程介绍
[dllhost.exe]
进程文件
: dllhost or dllhost.exe
进程名称
: DCOM DLL Host
进程
描 述
: DCOM DLL Host
进程支持基于
COM
对象支持
DLL
以运行
Windows
程序。
介 绍:
com
代理,系统附加的
dll
组件越多,则
dllhost
占用的
cpu
资源和内存资源就越多,而
8
月的
“
冲击波杀手
”
大概让大家对它比较熟悉吧。
解决
Web
服务器出现的dllhost.exe
错误
我的
Web
服务器出了问题。一个弹出话框显示
“dllhost.exe
出现错误
”
。当我查看应用事件日志时发现有很多
Active Server Pages Event 5
这样的错误。它们在错误信息中显示为
“line 0
内存溢出
”
。这种错误以前每隔几天就发生一次,但现在是每隔几小时就发生一次。重启后也只能维持一阵子。你对此有什么看法吗?
我还没碰到过这种问题,但我在微软的参考信息中看到
Exchange Outlook Web Access
使用过程中描述过这样的错误。(
http://support.microsoft.com/?kbid=224327
)
该链接建议你安装最新的
Exchange
升级版。如果你在使用
Exchange
,不妨尝试一下。如果没有,我就要给你一些建议,它们同那些存在
ASP 3.0
方面问题的人的建议一样:
确保你有所有最新升级版和服务包。
在每个
Web
应用中允许进程隔离。
将应用程序升级到
ASP.NET
。
将
Web
服务器升级到
Windows Server 2003
。
了解真相
dllhost.exe
是病毒吗?
dllhost.exe
解释
dllhost.exe
是什么?
dllhost.exe
是运行
COM+
的组件,即
COM
代理,运行
Windows
中的
Web
和
FTP
服务器必须有这个东西。
什么时候会出现
dllhost.exe
?
运行
COM+
组件程序的时候就会出现。例如江民
KV2004
冲击波杀手又是怎么一回事?
冲击波杀手借用了
dllhost.exe
作为进程名,但是由于
Windows
不允许同一个目录下有同名文件的存在,因此,冲击波杀手把病毒体:
dllhost.exe
放到了
C:\Windows\System32\Wins
目录里面(
Windows 2000
是
C:\WINNT\System32\Wins
,全部假设系统安装在
C
盘),但是真正的
dllhost.exe
应该放
在
C:\Windows\System32
(
Windows 2000
是
C:\WINNT\System32
)
换句话说就是:冲击波(
Worm.WelChia
)为了迷惑用户,避免病毒的执行体被进程管理器终止,采用了
dllhost.e xe
这个和
Windows
组件一样的名字,但是并不是说进程里面出现
dllhost.exe
就等于感染了
worm.welchi a
再看看这里的
FAQ
吧
第一个误区
————
进程出现
Dllhost.exe
就等于中了病毒
Dllhost.exe
是系统文件,但是进程里面出现
Dllhost.exe
进程不等于中了病毒
第二个误区
————
一见
Dllhost.exe
进程就杀死
其实这样做是不好的。很多程序都需要
Dllhost.exe
,例如
KV2004
实时监控运行的时候或
IIS
在解析一些
ASP
文件
的时候,进程中都会出现
Dllhost.exe
之所以大家恐惧
Dllhost.exe
进程,恐怕是由于冲击波(杀手)的问题。
其实冲击波(杀手)只不过采取了一个偷梁换柱的方法。因为任务管理器里面无法看出进程中
exe
文件的路径,所以让大家在分析问题
的时候出现一些偏差。
感染冲击波(杀手)的典型特征不是进程中出现
Dllhost.exe
,而是
RPC
服务出现问题(冲击波)和
System32\w ins
目录里面出现
svchost.exe
和
dllhost.exe
文件(冲击波杀手)。注意路径!!
那么,
Dllhost.exe
是什么呢?
Dllhost.exe
是
COM+
的主进程。正常下应该位于
system32
目录里面和
system32\dllcache
目录里面。而
system32\win s
目录里面是不会有
dllhost.exe
文件的。
6、Explorer.exe系统进程介绍
|
|
转载于:https://blog.51cto.com/797841/160160