Windows任务管理器进程详解详解

《Windows任务管理器进程详解详解》由会员分享，可在线阅读，更多相关《Windows任务管理器进程详解详解（17页珍藏版）》请在装配图网上搜索。

1、Windows任务管理器进程详解Win2000/XP的任务管理器是一个非常有用的工具，它能提供我们很多信息，比如现在系统中运行的程序(进程)，但是面对那些文件可执行文件名我们可能有点茫然，不知道它们是做什么的，会不会有可疑进程(病毒，木马等)。本文的目的就是提供一些常用的Win2000/XP中的进程名，并简单说明它们的用处。在W2K/XP中，同时按下crtl+shift+Esc键，可以打开Windows任务管理器，单击“进程”，可以看到很多正在运行的进程，仔细看看有很多奇怪的EXE文件在运行？下面这些并不是真正的服务，而是在不同情况下运行的程序或进程，很多还是必需的进程。【Csrss】：这是W

2、indows的核心部份之一，全称为ClientServerProcess。我们不能结束该进程。这个只有4K的进程经常消耗3MB到6MB左右的内存，建议不要修改此进程，让它运行好了。【Ctfmon】：这是安装了WinXP(尤其是安装oficeXP)后，在桌面右下角显示的“语言栏”，如果不希望它出现，可通过下面的步骤取消：双击“控制面板”，“区域和语言设置”，单击“语言”标签，单击“详细信息”按钮，打开“文字服务和输入语言”对话框，单击下面“首选项”的“语言栏”按钮，打开“语言栏设置”对话框，取消“在桌面上显示语言栏”的勾选即可。不要小看这个细节，它会为你节省1.5MB到4MB的内存。【dovld

3、r32】：如果你有一个CreativeSBLive系列的声卡，就可能击现这个进程，它占用大约2.3MB到2.6MB的内存。有些奇怪的是，当我从任务栏禁止了这个进程后，通过DVD实验，并没有发生任何错误。但如果你将这个文件重新命名了，就会出现windows的文件保护警告窗口，而且CreativeMixer和AudioHQ程序加载出错。当然你希望节省一些内存，那么可以将它禁止。explorer】：这可不是InternetExplorer，explorer.exe总是在后台运行，它控制着标准的用户界面、进程、命令和桌面等，如果打开“任务管理器”，就会看到一个explorer.exe在后台运行。根据系

4、统的字体、背景图片、活动桌面等情况的不同，通常会消耗5.8MB到36MB内存不等。【Ldle】：如果你在“任务管理器”看到它显示99%的占用率，千万不要害怕，实际上这是好事，因为这表示你的计算机目前有99%的性能等待你使用！这是关键进程，不能结束。该进程只有16KB的大小，循环统计CPU的空闲度。【IEXPLORE】：这才是IE浏览器。当我们用它上网冲浪时，它占有7.3MB甚至更多的内存。当然，这个随着打开的浏览器窗口的增加而增多。但当关闭所有IE窗口时，它并不会从任务管理器消失，IEXPLORE.EXE依然在后台运行着，它的作用是加快我们再一次打开IE的速度。【GenericHostProc

5、essforWin32Services】：如果你安装了ZoneAlarm以后，在连接Internet时ZonAlarm总是抱怨链接不到Internet，那么你就应该好好看看下面的文字。Svhost.exe就是GenericServiceHost，意思就是说，它是其他服务的主机。如果你的Internet连接不工作了，很有可能是你禁止了一些必须的服务，比如如果你禁止了“DNS搜索”功能，那么当你输入时就不会连接上网，但如果输入IP地址，尽管还是可以上网，但实际上你已经破坏了上网冲浪的关键进程！msmsgs】：这是微软的WindowsMessengr(即时通信软件)著名的MSN进程，在WinXP的家

6、庭版和专业版里面绑定的，如果你还运行着Outlook和MSNExplorer等程序，该进程会在后台运行支持所有这些微软号称的很Cool的，NET功能等新技术。【msn6】：这是微软在WinXP里面绑定的MSNExplorer(MSN浏览器)进程，该进程需要msmsgs.exe事先运行。Navpw32】：这是安装了NortonAntiVirus2002软件后启动的进程，除非你不需要病毒检测功能了，否则不要结束这个进程，这个进程同时还承担着自动升级病毒定义库文件的功能和在系统任务栏显示一个小图标的功能。【Point32】：这是安装了特殊的鼠标软件(Intellimouse等等)后启动的等程序，由于

7、在WinXP里面内建了很多鼠标新功能，所以，就没有必要在系统后台运行，既浪费1.1MB到1.6MB的内存，还要在任务栏占个地方！【Promon】：这是Intel系列显卡安装的程序，在任务栏显示图标控制程序，占据大约656KB到1.1MB的内存。【Smss】：只有45KB的大小却占据着300KB到2MB的内存空间，这是一个Windows的核心进程之一，是windowsNT内核的会话管理程序。Svchost】：这实际上是一个服务(service)，有时你会经常在“任务管理器”里看到好几个一样的该进程(分别掌管着system,network,user或者其他)，在windowsXP里面，如果你结束了

8、这个进程，那么系统就会在一分钟之内自动关闭，在windows2000中，该进程将显示为关键进程，禁止结束！【SystemIDLEProcess】：这是一个当没有任何程序或者进程对CPU发出请求的时候调用的普通进程，该进程不能被结束，如果它显示CPU占用率是97%，那就意味着只有3%的CPU进程被真正的程序占用着，如果你发现这个ldleprocesses一直保持很低的数值(比如一直显示3%)，那么肯定有一个应用程序一直在运行着，需要检查一下！【 taskmgr】：如果你看到了这个进程在运行，其实就是看这个进程的“任务管理器”本身。它大约占用了3.2MB的内存，当你优化系统时，不要忘了把它也算进去

9、。【Vptray】：这是NortonAV显示在任务栏的一个图标的进程，占用大约2.9MB左右的内存如果我们从任务栏将这个图标移走，能够收回一些内存，但是实际上它还在后台运行着。Winlogon】：这个进程处理登录和注销任务，事实上，这个进程是必需的，它的大小和你登录的时间有关系，我曾亲眼看见这个进程占用空间的波动情况，一个是登录一个小时左右，内存在1.7MB到8.5MB之间波动；另一个登录了40多天，内存在1.7MB到17MB之间波动。【Wowexec】：当你运行一些老的应用程序(比如一些16位的程序)或者DOS控制台下运行DOS命令行程序，你就会在进程里面发现它。【TaskSwitch】：在

10、XP系统中安装了powerToys后会出现此进程，按Alt+Tab键显示切换图标，大约占用1.4MB到2MB的内存空间。【在WIN2000/XP中,系统包含以下缺省进程】：Csrss.exeExplorer.exeInternat.exeLsass.exeMstask.exeSmss.exeSpoolsv.exeSvchost.exeServices.exeSystemSystemIdleProcessTaskmgr.exeWinlogon.exeWinmgmt.exe【下面列出更多的进程和它们的简要说明】进程名描述smss.exeSessionManagercsrss.exe子系统服务器进程

11、winlogon.exe管理用户登录services.exe包含很多系统服务lsass.exe管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序svchost.exeWindows2000/XP的文件保护系统SPOOLSV.EXE将文件加载到内存中以便迟后打印explorer.exe资源管理器internat.exe托盘区的拼音图标mstask.exe允许程序在指定时间运行。regsvc.exe允许远程注册表操作。(系统服务)-remoteregisterwinmgmt.exe提供系统管理信息(系统服务)inetinfo.exemsftpsvc,w3svc,iisa

12、dmntlntsvr.exetlnrsvrtftpd.exe实现TFTPInternet标准。该标准不要求用户名和密码termsrv.exetermservicedns.exe应答对域名系统(DNS)名称的查询和更新请求tcpsvcs.exe提供在PXE可远程启动客户计算机上远程安装2000Professional的能力ismserv.exe允许在WindowsAdvancedServer站点间发送和接收消息ups.exe管理连接到计算机的不间断电源(UPS)wins.exe为注册和解析NetBIOS型名称的TCP/IP客户提供NetBIOS名称服务llssrv.exe证书记录服务ntfrs.

13、exe在多个服务器间维护文件目录内容的文件同步RsSub.exe控制用来远程储存数据的媒体locator.exe管理RPC名称服务数据库lserver.exe注册客户端许可证dfssvc.exe管理分布于局域网或广域网的逻辑卷clipsrv.exe支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面msdtc.exe并列事务，是分布于两个以上的数据库，消息队列，文件系统或其它事务保护资源管理器。faxsvc.exe帮助您发送和接收传真。cisvc.exe索引服务madmin.exe磁盘管理请求的系统管理服务。mnmsrvc.exe允许有权限的用户使用NetMeeting远程访问Windows

14、桌面。netdde.exe提供动态数据交换(DDE)的网络传输和安全特性。smlogsvc.exe配置性能日志和警报。rsvp.exe为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功功能。RsEng.exe协调用来储存不常用数据的服务和管理工具。RsFsa.exe管理远程储存的文件的操作。grovel.exe扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间(只对NTFS文件系统有用)SCardSvr.ex对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。snmp.exe包含代理程序可以监视网络设备的活动并且向网络控制台工

15、作站汇报。snmptrap.exe接收由本地或远程SNMP代理程序产生的陷阱(trap)消息，然后将消息传递到运行在这台计算机上SNMP管理程序。UtilMan.exe从一个窗口中启动和配置辅助工具。msiexec.exe依据.MSI文件中包含的命令来安装、修复以及删除软件。【总结】：发现可疑进程的秘诀就是要多看任务管理器中的进程列表，看多了以后，一眼就可以发现可可疑进程，就象找一群熟悉人中的陌生人一样。windows任务管理器Windows任务管理器提供了有关计算机性能的信息，并显示了计算机上所运行的程序和进程的详细信息，可以显示最常用的度量进程性能的单位；如果连接到网络，那么还可以查看网络

16、状态并迅速了解网络是如何工作的，今天，我们就来全面了解任务管理器的方方面面。编辑本段从启动任务管理器开始1Ctrl+Alt+Del最常见的方法启动任务管理器的方法：在Windows98或更高版本中，使用Ctrl+Alt+Delete组合键就可以直接调出。不过如果接连按了两次的话，可能会导致Windows系统重新启动，假如此时还未保存数据的话，恐怕就欲哭无泪了。在Windows2000中点击Ctrl+Alt+Delete组合键后点“任务管理器”。在WindowsXP中点击Ctrl+Alt+Delete或是Ctrl+Shift+Esc组合键后点“任务管理器”。也可以用鼠标右键点击任务栏选择“任务管

17、理器”。也可以在开始运行里输入taskmgr.exe回车在WindowsVista中使用Ctrl+Shift+Esc组合键调出，也可以用鼠标右键点击任务栏选择“任务管理器”。其他好办法其实，我们可以选择一种更简单的方法，就是右键单击任务栏的空白处，然后单击选择“任务管理器”命令。或者，按下“Ctrl+Shift+Esc”组合键也可以打开任务管理器，赶快试试吧。当然，你也可以为WindowsSystem32taskmgr.exe文件在桌面上建立一个快捷方式，然后为此快捷方式设置一个热键，以后就可以一键打开任务管理器了。小提示在WindowsXP中，如果未使用欢迎屏幕方式登录系统，那么按下“Ctr

18、l+Alt+Del”组合键，弹出的只是“Windows安全”窗口，必须选择“任务管理器”才能够打开。编辑本段windows任务管理器有什么任务管理器的用户界面提供了文件、选项、查看、窗口、关机、帮助等六大菜单项，例如“关机”菜单下可以完成待机、休眠、关闭、重新启动、注销、切换等操作，其下还有应用程序、进程、性能、联网、用户等五个标签页，窗口底部则是状态栏，从这里可以查看到当前系统的进程数、CPU使用比率、更改的内存path.txtstartpath.txt2.当前进程调用的服务复制以下内容到记事本,另存为svc.batechoofftasklist/svcset/pc=请输入服务名:scget

19、displayname%c%pause%03.开始-运行-输入services.msc自己进去好好看看吧3.性能!从任务管理器中我们可以看到计算机性能的动态概念，例如CPU和各种内存的使用情况。CPU使用情况：表明处理器工作时间百分比的图表，该计数器是处理器活动的主要指示器，查看该图表可以知道当前使用的处理时间是多少。CPU使用记录：显示处理器的使用程序随时间的变化情况的图表，图表中显示的采样情况取决于“查看”菜单中所选择的“更新速度”设置值，“高”表示每秒2次，“正常”表示每两秒1次，“低”表示每四秒1次，“暂停”表示不自动更新。PF使用情况：PF是页面文件pagefile的简写。但这个数字

20、常常会让人误解，以为是系统当时所用页面文件大小。正确含义则是正在使用的内存之和，包括物理内存和虚拟内存。那么如何得知实际所使用的页面文件大小昵？一般用第三方软件，比如PageFileMonitor，也可以通过windows控制台来看。本人的页面文件预设了。页面文件使用记录：显示页面文件的量随时间的变化情况的图表，图表中显示的采样情况取决于“查看”菜单中所选择的“更新速度”设置值。总数：显示计算机上正在运行的句柄、线程、进程的总数。执行内存：分配给程序和操作系统的内存，由于虚拟内存的存在，“峰值”可以超过最大物理内存，“总数”值则与“页面文件使用记录”图表中显示的值相同。句柄数：这个东东很专业的

21、。会编程的人知道，我不懂，只知道被称作指针的指针，“线程数”指程序中能独立运行的部分，“进程数”简单理解就是运行的程序数目。物理内存：计算机上安装的总物理内存，也称RAM，“可用数”物理内存中可被程序使用的空余量。但实际的空余量要比这个数值略大一点，因为物理内存不会在完全用完后才去转用虚拟内存的。也就是说这个空余量是指使用虚拟内存(pagefile)前所剩余的物理内存。“系统缓存”被分配用于系统缓存用的物理内存量。主要来存放程序和数据等。一但系统或者程序需要，部分内存会被释放出来，也就是说这个值是可变的。认可用量总数：其实就是被操作系统和正运行程序所占用内存总和，包括物理内存和虚拟内存（pag

22、efile）。它和上面的PF使用率是相等的。“限制”指系统所能提供的最高内存量，包括物理内存（RAM)和虚拟（pagefile）内存。“峰值”指一段时间内系统曾达到的内存使用最高值。如果这个值接近上面的“限制”的话，意味着要么你增加物理内存，要么增加pagefile，否则系统会给你颜色看的！内核内存：操作系统内核和设备驱动程序所使用的内存，“分页数”是可以复制到页面文件中的内存，一旦系统需要这部分物理内存的话，它会被映射到硬盘，由此可以释放物理内存；“未分页”是保留在物理内存中的内存，这部分不会被映射到硬盘，不会被复制到页面文件中。联网这里显示了本地计算机所连接的网络通信量的指示，使用多个网络

23、连接时，我们可以在这里比较每个连接的通信量，当然只有安装网卡后才会显示该选项。用户这里显示了当前已登录和连接到本机的用户数、标识(标识该计算机上的会话的数字ID)、活动状态(正在运行、已断开)、客户端名，可以点击“注销”按钮重新登录，或者通过“断开”按钮连接与本机的连接，如果是局域网用户，还可以向其他用户发送消息呢。在WindowsSP3中，如果只有Administrator一个用户，则不会显示该选项。编辑本段windows任务管理器之特别任务其实，任务管理器除了终止任务、结束进程、查看性能外，它还可以完成很多更高级的特别任务呢。下面，我们通过几个实例来介绍任务管理器的扩展应用：实例一：同时最

24、小化多个窗口切换到“应用程序”标签页，按住Ctrl键同时选择需要同时最小化的应用程序项目，然后点击这些项目中的任意一个，从右键菜单中选择“最小化”命令即可，这里同时还可以完成层叠、横向平铺、纵向平铺等操作。实例二：降低BT软件的资源占用率运行BT软件时，往往会占用大量的系统资源，你会看到硬盘灯不停闪烁并伴随着飞速转动的噪音，此时无论是浏览网页或是运行其他应用程序，肯定会有系统停滞的感觉。打开“任务管理器进程”窗口，选择BT软件的进程名，然后从右键菜单中选择“设置优先级”命令，这里可以选择实时、高、高于标准、标准、低于标准、低等不同级别，请根据实际情况进行设置，例如设置为“低于标准”可以降低进程

25、的优先级别，从而让Windows为其他进程分配更多的资源。实例三：打造增强版本的任务管理器有热心网友从Longhorn中将任务管理器剥离出来并提供下载，我们可以借此来打造一个增强版本的任务管理器。解压缩下载文件，会得到Taskkill.exe、Tasklist.exe、Taskmgr.exe等3个文件，首先覆盖下的同名文件，覆盖前请事先备份源文件，接下来继续覆盖下的同名文件，当弹出“Windows文件保护”对话框时，选择“取消”按钮。更换后的任务管理器不仅程序图标发生了变化，右击进程，可以发现在右键菜单中增加了打开所在目录、创建转储文件两个命令，而“查看选择列”中增加了命令行、映像路径两个项目

26、，前者可以查看所显示的进程是否被伪装，后者则可以查看进程的文件路径。实例四：打开处理器的超线程P4处理器的超线程技术(Hyper-ThreadingTechnology)其实是相当于将一颗处理器分为两个虚拟的处理器，简单地说，实现超线程需要处理器、主板、操作系统三方面的支持。如果你使用的是WindowsXP/Server2003，而且确定自己的主板和处理器支持超线程，那么可以切换到“性能”标签页，如果这里显示两个CPU使用记录图表的话，说明你的处理器确确实实已经打开超线程。当然，我们也可以在开机信息中查看超线程支持情况，一般会显示CPU1、CPU2两个处理器名称，或者启动后进入“设备管理器”，

27、这样同样会显示两个处理器的信息。实例五：禁用任务管理器任务管理器可以完成如此强大的任务，如果你使用的是公用计算机，而又不希望他人私自操作任务管理器，可以在“开始运行”框中键入Gpedit.msc命令打开组策略窗口，找到“本地计算机策略用户配置管理模板系统Ctrl+Alt+Del选项”项，然后在右侧窗口中选择“删除任务管理器”项，将其设置为“已启用”，以后按下“Ctrl+Alt+Del”组合键时就无法操作任务管理器了。当然，通过文中提到的其他两个方法还是可以正常操作任务管理器的，一劳永逸的解决办法是为Taskmgr.exe文件设置用户授权，当然必须使用NTFS文件系统才行，呵呵。也可以修改注册表

28、来禁用：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciessystem新建Dword值：DisableTaskMgr=1（禁用）DisableTaskMgr=0（解禁）小知识句柄：用来惟一标识资源(例如文件中注册表项)的值，以便程序可以访问它。线程：在运行程序指令的进程的对象，线程允许在进程中进行并发操作，并使一个进程能够在不同处理器上同时运行其程序的不同部分。进程：一个可执行程序(例如资源管理器)或者一种服务(例如MSTask)6.当任务管理器的界面出现不正常，如性能.进程的切换栏不见了，无法最大化最小化时等等时，你

29、可以采取以下措施恢复如无管理器的界面。操作如下：在边框上空白处双击即可！Windows系统的任务管理器是大家经常会用到的一个程序，通常它主要被用来管理计算机进程或者查看计算机实时的工作状态。实际上它还有不少的妙用。奇招一：在网吧也能“运行”在网吧“混”的朋友们都知道，网吧的机子通常来说都会将运行对话框屏蔽掉，如果大家碰上某些情况需要使用运行对话框就只能束手无策了。其实这个时候任务管理器能被临时用来代替运行对话框的作用。先按住“CtrlAltDel”组合键尝试一下能否调出任务管理器，能调出就好办了，我们依次点击任务管理器的菜单“文件新建任务”，弹出“创建新任务”（图1）窗口，输入内容试试看，它跟

30、运行对话框效果相同啊！奇招二：快速刷新注册表许多软件在安装后会提示我们需要重新启动才能让软件正常使用，其实大部分时候这些软件只是在“小题大做”，因为重启仅仅是为了让注册表更新而已，我们可以利用任务管理器来更快地让软件生效。方法为：在“进程”选项卡中用鼠标选择“explorer.exe”进程，然后点击右下角的“结束进程”按钮将它结束，这个时候桌面显示消失了。不必惊慌，我们在“创建新任务”窗口中输入“explorer.exe”。运行即可让桌面恢复显示，同时计算机的注册表也会被更新，现在软件就能正常使用了。奇招三：优化游戏运行许多朋友都和笔者一样还在使用1GB以下的内存，所以当我们玩3D游戏的时候就

31、会觉得运行有些卡，这个时候除了使关闭游戏以外的所有程序以外，似乎再没有其他节省内存的办法了，其实我们可以在运行游戏前先在任务管理器中结束“explorer.exe”进程，因为它在很多情况下可都是内存耗用大户，结束它可为我们的游戏增加几十MB的可用内存，游戏效果当然会有更多改善。不过此时没了桌面显示，启动游戏的方法也有所改变，我们需要打开“文件新建任务”，然后点击“浏览”按钮进入游戏目录载入游戏主程序，点击“确定”即可运行游戏。Windows任务管理器进程详解阅读：13259【Windows任务管理器进程详解】Win2000/XP的任务管理器是一个非常有用的工具，它能提供我们很多信息，比如现在系

32、统中运行的程序(进程)，但是面对那些文件可执行文件名我们可能有点茫然，不知道它们是做什么的，会不会有可疑进程(病毒，木马等)。本文的目的就是提供一些常用的Win2000/XP中的进程名，并简单说明它们的用处。在W2K/XP中，同时按下crtl+shift+Esc键，可以打开Windows任务管理器，单击“进程”，可以看到很多正在运行的进程，仔细看看有很多奇怪的EXE文件在运行？下面这些并不是真正的服务，而是在不同情况下运行的程序或进程，很多还是必需的进程。【Csrss】：这是Windows的核心部份之一，全称为ClientServerProcess。我们不能结束该进程。这个只有4K的进程经常消

33、耗3MB到6MB左右的内存，建议不要修改此进程，让它运行好了。【Ctfmon】：这是安装了WinXP(尤其是安装oficeXP)后，在桌面右下角显示的“语言栏”，如果不希望它出现，可通过下面的步骤取消：双击“控制面板”，“区域和语言设置”，单击“语言”标签，单击“详细信息”按钮，打开“文字服务和输入语言”对话框，单击下面“首选项”的“语言栏”按钮，打开“语言栏设置”对话框，取消“在桌面上显示语言栏”的勾选即可。不要小看这个细节，它会为你节省1.5MB到4MB的内存。【dovldr32】：如果你有一个CreativeSBLive系列的声卡，就可能击现这个进程，它占用大约2.3MB到2.6MB的内

34、存。有些奇怪的是，当我从任务栏禁止了这个进程后，通过DVD实验，并没有发生任何错误。但如果你将这个文件重新命名了，就会出现windows的文件保护警告窗口，而且CreativeMixer和AudioHQ程序加载出错。当然你希望节省一些内存，那么可以将它禁止。explorer】：这可不是InternetExplorer，explorer.exe总是在后台运行，它控制着标准的用户界面、进程、命令和桌面等，如果打开“任务管理器”，就会看到一个explorer.exe在后台运行。根据系统的字体、背景图片、活动桌面等情况的不同，通常会消耗5.8MB到36MB内存不等。【Ldle】：如果你在“任务管理器”

35、看到它显示99%的占用率，千万不要害怕，实际上这是好事，因为这表示你的计算机目前有99%的性能等待你使用！这是关键进程，不能结束。该进程只有16KB的大小，循环统计CPU的空闲度。【IEXPLORE】：这才是IE浏览器。当我们用它上网冲浪时，它占有7.3MB甚至更多的内存。当然，这个随着打开的浏览器窗口的增加而增多。但当关闭所有IE窗口时，它并不会从任务管理器消失，IEXPLORE.EXE依然在后台运行着，它的作用是加快我们再一次打开IE的速度。【GenericHostProcessforWin32Services】：如果你安装了ZoneAlarm以后，在连接Internet时ZonAlarm

36、总是抱怨链接不到Internet，那么你就应该好好看看下面的文字。Svhost.exe就是GenericServiceHost，意思就是说，它是其他服务的主机。如果你的Internet连接不工作了，很有可能是你禁止了一些必须的服务，比如如果你禁止了“DNS搜索”功能，那么当你输入时就不会连接上网，但如果输入IP地址，尽管还是可以上网，但实际上你已经破坏了上网冲浪的关键进程！msmsgs】：这是微软的WindowsMessengr(即时通信软件)著名的MSN进程，在WinXP的家庭版和专业版里面绑定的，如果你还运行着Outlook和MSNExplorer等程序，该进程会在后台运行支持所有这些微软

37、号称的很Cool的，NET功能等新技术。msn6】：这是微软在WinXP里面绑定的MSNExplorer(MSN浏览器)进程，该进程需要msmsgs.exe事先运行。【 Navpw32】：这是安装了NortonAntiVirus2002软件后启动的进程，除非你不需要病毒检测功能了，否则不要结束这个进程，这个进程同时还承担着自动升级病毒定义库文件的功能和在系统任务栏显示一个小图标的功能。【Point32】：这是安装了特殊的鼠标软件(Intellimouse等等)后启动的等程序，由于在WinXP里面内建了很多鼠标新功能，所以，就没有必要在系统后台运行，既浪费1.1MB到1.6MB的内存，还要在任务

38、栏占个地方！【Promon】：这是Intel系列显卡安装的程序，在任务栏显示图标控制程序，占据大约656KB到1.1MB的内存。【Smss】：只有45KB的大小却占据着300KB到2MB的内存空间，这是一个Windows的核心进程之一，是windowsNT内核的会话管理程序。Svchost】：这实际上是一个服务(service)，有时你会经常在“任务管理器”里看到好几个一样的该进程(分别掌管着system,network,user或者其他)，在windowsXP里面，如果你结束了这个进程，那么系统就会在一分钟之内自动关闭，在windows2000中，该进程将显示为关键进程，禁止结束！【Syst

39、emIDLEProcess】：这是一个当没有任何程序或者进程对CPU发出请求的时候调用的普通进程，该进程不能被结束，如果它显示CPU占用率是97%，那就意味着只有3%的CPU进程被真正的程序占用着，如果你发现这个ldleprocesses一直保持很低的数值(比如一直显示3%)，那么肯定有一个应用程序一直在运行着，需要检查一下！【 taskmgr】：如果你看到了这个进程在运行，其实就是看这个进程的“任务管理器”本身。它大约占用了3.2MB的内存，当你优化系统时，不要忘了把它也算进去。【Vptray】：这是NortonAV显示在任务栏的一个图标的进程，占用大约2.9MB左右的内存如果我们从任务栏将

40、这个图标移走，能够收回一些内存，但是实际上它还在后台运行着。Winlogon】：这个进程处理登录和注销任务，事实上，这个进程是必需的，它的大小和你登录的时间有关系，我曾亲眼看见这个进程占用空间的波动情况，一个是登录一个小时左右，内存在1.7MB到8.5MB之间波动；另一个登录了40多天，内存在1.7MB到17MB之间波动。【Wowexec】：当你运行一些老的应用程序(比如一些16位的程序)或者DOS控制台下运行DOS命令行程序，你就会在进程里面发现它。【TaskSwitch】：在XP系统中安装了powerToys后会出现此进程，按Alt+Tab键显示切换图标，大约占用1.4MB到2MB的内存空

41、间。【在WIN2000/XP中,系统包含以下缺省进程】：Csrss.exeExplorer.exeInternat.exeLsass.exeMstask.exeSmss.exeSpoolsv.exeSvchost.exeServices.exeSystemSystemIdleProcessTaskmgr.exeWinlogon.exeWinmgmt.exe【下面列出更多的进程和它们的简要说明】进程名描述smss.exeSessionManagercsrss.exe子系统服务器进程winlogon.exe管理用户登录services.exe包含很多系统服务lsass.exe管理IP安全策略以及启

42、动ISAKMP/Oakley(IKE)和IP安全驱动程序svchost.exeWindows2000/XP的文件保护系统SPOOLSV.EXE将文件加载到内存中以便迟后打印explorer.exe资源管理器internat.exe托盘区的拼音图标mstask.exe允许程序在指定时间运行。regsvc.exe允许远程注册表操作。(系统服务)-remoteregisterwinmgmt.exe提供系统管理信息(系统服务)inetinfo.exemsftpsvc,w3svc,iisadmntlntsvr.exetlnrsvrtftpd.exe实现TFTPInternet标准。该标准不要求用户名和密

43、码termsrv.exetermservicedns.exe应答对域名系统(DNS)名称的查询和更新请求tcpsvcs.exe提供在PXE可远程启动客户计算机上远程安装2000Professional的能力ismserv.exe允许在WindowsAdvancedServer站点间发送和接收消息ups.exe管理连接到计算机的不间断电源(UPS)wins.exe为注册和解析NetBIOS型名称的TCP/IP客户提供NetBIOS名称服务llssrv.exe证书记录服务ntfrs.exe在多个服务器间维护文件目录内容的文件同步RsSub.exe控制用来远程储存数据的媒体locator.exe管理

44、RPC名称服务数据库lserver.exe注册客户端许可证dfssvc.exe管理分布于局域网或广域网的逻辑卷clipsrv.exe支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面msdtc.exe并列事务，是分布于两个以上的数据库，消息队列，文件系统或其它事务保护资源管理器。faxsvc.exe帮助您发送和接收传真。cisvc.exe索引服务madmin.exe磁盘管理请求的系统管理服务。mnmsrvc.exe允许有权限的用户使用NetMeeting远程访问Windows桌面。netdde.exe提供动态数据交换(DDE)的网络传输和安全特性。smlogsvc.exe配置性能日志和警报

45、。rsvp.exe为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功功能。RsEng.exe协调用来储存不常用数据的服务和管理工具。RsFsa.exe管理远程储存的文件的操作。grovel.exe扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间(只对NTFS文件系统有用)SCardSvr.ex对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。snmp.exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。snmptrap.exe接收由本地或远程SNMP代理程序产生的陷阱(trap)消息，然后将消息传递到运行在

46、这台计算机上SNMP管理程序。UtilMan.exe从一个窗口中启动和配置辅助工具。msiexec.exe依据.MSI文件中包含的命令来安装、修复以及删除软件。【总结】：发现可疑进程的秘诀就是要多看任务管理器中的进程列表，看多了以后，一眼就可以发现可可疑进程，就象找一群熟悉人中的陌生人一样。在W2K/XP中，同时按下Ctrl+Alt+Del键，可以打开Windows任务管理器，单击“进程”，可以看到很多正在运行的进程：【SystemIdleProcess】：这是关键进程，只有16kB,循环统计CPU的空闲度，这个值越大越好。该进程不能被结束，该进程似乎没低于过，大多数情况下保持以上。syste

47、m】:system是windows页面内存管理进程，拥有0级优先。(当system后面出现.exe时是netcontroller木马病毒生成的文件，出现在c:windows目录下，建议将其删除。)【explorer】：explorer.exe控制着标准的用户界面、进程、命令和桌面等。explorer.exe总是在后台运行，根据系统的字体、背景图片、活动桌面等情况的不同，通常会消耗5.8MB到36MB内存不等。（explorer.exe和InternetExplorer可不同）IEXPLORE】：iexplore.exe是Microsoft对因特网的主要编程器.，这个微软视窗应用让你畅游网络有了

48、地方。iexplore.exe是非常必要的过程,不应终止,除非怀疑造成问题。它的作用是加快我们再一次打开IE的速度，当关闭所有IE窗口时，它将依然在后台运行。我们用它上网冲浪时，占有7.3MB甚至更多的内存，内存随着打开浏览器窗口的增加也增多。当ctfmon】：这是安装了WinXP后，在桌面右下角显示的语言栏。如果不希望它出现，可通过下面的步骤取消：控制面板区域和语言选项语言详细信息文字服务和输入语言（首选项）语言栏语言栏设置把在桌面上显示语言栏的勾取消。这样会为你节省4MB多的内存。【wowexec】：用于支持16位操作系统的关键进程,不能终止。【csrss】：这是Windows的核心部份之

49、一，全称为ClientServerProcess。这个只有4K的进程经常消耗3MB到6MB左右的内存，不能终止,建议不要修改此进程。【dovldr32】：为了节省内存，可以将禁止，它占用大约2.3MB到2.6MB的内存。【 winlogon】：这个进程处理登录和注销任务，事实上，这个进程是必需的，它的大小和你登录的时间有关。【 services】：services.exe是微软windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的,该进程系统禁止结束。【svchost】:Svchost.exe是属于微软win

50、dows操作系统的系统程序，用于执行dll文件。这个程序对你系统的正常运行是非常重要的。开机出现“GenericHostProcessforWin32Services遇到问题需要关闭”一般都是说的这个进程找不到dll文件所致。【msmsgs】：这是微软的WindowsMessengr(即时通信软件)著名的MSN进程，在WinXP的家庭版和专业版里面绑定的，如果你还运行着Outlook和MSNExplorer等程序，该进程会在后台运行支持所有这些微软号称的很Cool的，NET功能等新技术。【 msn6】：这是微软在WinXP里面的MSN浏览器进程，当msmsgs.exe运行后才有这个进程。Poi

51、nt32】：这是安装了特殊的鼠标软件(Intellimouse等等)后启动的等程序，这不是系统必须的进程，通过用户许可协议安装。由于在WinXP里面内建了很多鼠标新功能，所以，就没有必要在系统后台运行，既浪费1.1MB到1.6MB的内存，还要在任务栏占个地方！【 spoolsv】:用于将windows打印机任务发送给本地打印机,关闭以后一会又自己开开。Promon】：这是Intel系列网卡配置和安装的程序，在任务栏显示图标控制程序，占据大约656KB到1.1MB的内存。【smss】：只有45KB的大小却占据着300KB到2MB的内存空间，这是一个Windows的核心进程之一，是windowsN

52、T内核的会话管理程序。【 taskmgr】：如果你看到了这个进程在运行，其实就是看这个进程的“任务管理器”本身。它大约占用了3.2MB的内存，当你优化系统时，不要忘了把它也算进去。【Tastch】：在XP系统中安装了powerToys后会出现此进程，按Alt+Tab键显示切换图标，大约占用1.4MB到2MB的内存空间。【lsass】：本地安全权限服务。是微软安全机制的系统进程，主要处理一些特殊的安全机制和登录策略。【 atievxx】：这是随ati显卡硬件产品驱动一起安装而来。它不是纯粹的系统程序，但如果终止它，可能会导致不可知的问题。alg】：这是微软windows操作系统自带的程序。它用于

53、处理微软windows网络连接共享和网络连接防火墙,这个程序对你系统的正常运行是非常重要的。非windows任务管理器：大多数人会想起Windows任务管理器，但是Windows的这个任务管理器实在是太简陋了，因此很多人转而使用第三方软件。目前，在网上的流行的第三方任务管理器比较多，比如WinProc、WindowsProcesses、Windows进程管理器等。让我们从任务管理器中抓病毒和木马任何病毒和木马存在于系统中，都无法彻底和进程脱离关系，即使采用了隐藏技术，也还是能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多，哪些

54、是正常的系统进程，哪些是木马的进程，而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢？请看本文。当我们确认系统中存在病毒，但是通过“任务管理器”查看系统中的进程时又找不出异样的进程，这说明病毒采用了一些隐藏措施，总结出来有三法1.以假乱真系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发现过系统中存在这样的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下，发现区别了么？这是病毒经常使用的伎俩，目的就是迷惑用户的眼睛。通常它们会将系统中正常

55、进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却完全不同。又或者多一个字母或少一个字母，例如explorer.exe和iexplore.exe本来就容易搞混，再出现个iexplorer.exe就更加混乱了。如果用户不仔细，一般就忽略了，病毒的进程就逃过了一劫。2.偷梁换柱如果用户比较心细，那么上面这招就没用了，病毒会被就地正法。于是乎，病毒也学聪明了，懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe，和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢？非也，其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svcho

56、st.exe进程对应的可执行文件位于“C:WINDOWSsystem32”目录下（Windows2000则是C:WINNTsystem32目录），如果病毒将自身复制到“”中，并改名为svchost.exe，运行后，我们在“任务管理器”中看到的也是svchost.exe，和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗？但在Vista(或更高版本)中的windows任务管理器可以看到进程的路径,病毒的这招就没用了.3.借尸还魂除了上文中的两种方法外，病毒还有一招终极大法借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术，将病毒运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情

57、况，实质上系统进程已经被病毒控制了，除非我们借助专业的进程检测工具，否则要想发现隐藏在其中的病毒是很困难的。上文中提到了很多系统进程，这些系统进程到底有何作用，其运行原理又是什么？下面我们将对这些系统进程进行逐一讲解，相信在熟知这些系统进程后，就能成功破解病毒的“以假乱真”和“偷梁换柱”了。常被病毒冒充的进程名有：svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的，它们把可执行程序指向scvhost，由cvho

58、st调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”“管理工具”服务，双击其中“ClipBook”服务，在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务，可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe-kLocalService”，而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe-knetsvcs”。正是通过这种调用，可以省下不少系统资源，因此系统中出现多个svchost.exe，其实只是系统的服务而已。在Windows2000系统中一般存在2个svchost.exe进程，一个是RPCSS(RemoteProcedureCall)服务进程，另外一个则是由很多服务共享的一个svchost.exe；而在WindowsXP中，则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个，就要小心了，很可能是病毒假冒的，检测方法也很简单，使用一些进程管理工具，例如Windows优化大师的进程管理功能，查看svchost.exe的可