任务管理器进程详解

《任务管理器进程详解》由会员分享，可在线阅读，更多相关《任务管理器进程详解（16页珍藏版）》请在装配图网上搜索。

1、Windows 任务管理器进程详解Windows 任务管理器进程详解】Win2000/XP 的任务管理器是一个非常有用的工具，它能提供我们很多信息，比如现在系统中 运行的程序（进程），但是面对那些文件可执行文件名我们可能有点茫然，不知道它们是做什 么的，会不会有可疑进程（病毒，木马等）。本文的目的就是提供一些常用的 Win2000/XP 中 的进程名，并简单说明它们的用处。在 W2K/XP 中，同时按下 crtl+shift+Esc 键，可以打开 Windows 任务管理器，单击“进程”， 可以看到很多正在运行的进程，仔细看看有很多奇怪的 EXE 文件在运行？下面这些并不是真 正的服务，而是在

2、不同情况下运行的程序或进程，很多还是必需的进程。【Csrss】：这是Windows的核心部份之一，全称为Client Server Process。我们不能结束 该进程。这个只有4K的进程经常消耗3MB到6MB左右的内存，建议不要修改此进程，让它运 行好了。【Ctfmon】：这是安装了 WinXP（尤其是安装ofice XP）后，在桌面右下角显示的“语言栏” 如果不希望它出现，可通过下面的步骤取消：双击“控制面板”，“区域和语言设置”，单击“语 言”标签，单击“详细信息”按钮，打开“文字服务和输入语言”对话框，单击下面“首选 项”的“语言栏”按钮，打开“语言栏设置”对话框，取消“在桌面上显示语

3、言栏”的勾选 即可。不要小看这个细节，它会为你节省1.5MB到4MB的内存。【dovldr32】：如果你有一个Creative SBLive系列的声卡，就可能击现这个进程，它占用大 约2.3MB到2.6MB的内存。有些奇怪的是，当我从任务栏禁止了这个进程后，通过DVD实验， 并没有发生任何错误。但如果你将这个文件重新命名了，就会出现 windows 的文件保护警告 窗口，而且Creative Mixer和AudioHQ程序加载出错。当然你希望节省一些内存，那么可以 将它禁止。【explorer】：这可不是Internet Explorer, explorer.exe总是在后台运行，它控制着标准

4、 的用户界面、进程、命令和桌面等，如果打开“任务管理器”，就会看到一个 explorer.exe 在后台运行。根据系统的字体、背景图片、活动桌面等情况的不同，通常会消耗5.8MB到36MB 内存不等。【Ldle】：如果你在“任务管理器”看到它显示99%的占用率，千万不要害怕，实际上这是好 事，因为这表示你的计算机目前有 99%的性能等待你使用！这是关键进程，不能结束。该进 程只有16KB的大小，循环统计CPU的空闲度。【IEXPL0RE】：这才是IE浏览器。当我们用它上网冲浪时，它占有7.3MB甚至更多的内存。 当然，这个随着打开的浏览器窗口的增加而增多。但当关闭所有IE窗口时，它并不会从任务

5、 管理器消失，IEXPLORE.EXE依然在后台运行着，它的作用是加快我们再一次打开IE的速度。Generic Host Process for Win32 Services 】：如果你安装了 ZoneAlarm 以后，在连接 Internet时ZonAlarm总是抱怨链接不到Internet,那么你就应该好好看看下面的文字。 Svhost.exe就是Generic Service Host，意思就是说，它是其他服务的主机。如果你的 Internet连接不工作了，很有可能是你禁止了一些必须的服务，比如如果你禁止了“DNS搜 索”功能，那么当你输入时就不会连接上网，但如果输入IP地址，尽管还 是

6、可以上网，但实际上你已经破坏了上网冲浪的关键进程！【msmsgs】：这是微软的Windows Messengr（即时通信软件）著名的MSN进程，在WinXP的家 庭版和专业版里面绑定的，如果你还运行着Outlook和MSNExplorer等程序，该进程会在后 台运行支持所有这些微软号称的很Cool的，NET功能等新技术。【msn6】：这是微软在WinXP里面绑定的MSN Explorer （MSN浏览器）进程，该进程需要 msmsgs.exe 事先运行。【Navpw32】：这是安装了 NortonAntiVirus2002软件后启动的进程，除非你不需要病毒检测 功能了，否则不要结束这个进程，这

7、个进程同时还承担着自动升级病毒定义库文件的功能和 在系统任务栏显示一个小图标的功能。【Point32】：这是安装了特殊的鼠标软件（Intellimouse等等）后启动的等程序，由于在WinXP 里面内建了很多鼠标新功能，所以，就没有必要在系统后台运行，既浪费1.1MB到1.6MB的 内存，还要在任务栏占个地方！【Promon】：这是Intel系列显卡安装的程序，在任务栏显示图标控制程序，占据大约656KB 到1.1MB的内存。【Smss】：只有45KB的大小却占据着300KB到2MB的内存空间，这是一个Windows的核心进 程之一，是 windowsNT 内核的会话管理程序。【Svchost

8、】：这实际上是一个服务（service）,有时你会经常在“任务管理器”里看到好几个 一样的该进程（分别掌管着system,network,user或者其他），在windowsXP里面，如果你结 束了这个进程，那么系统就会在一分钟之内自动关闭，在windows2000中，该进程将显示为 关键进程，禁止结束！【SystemIDLEProcess】：这是一个当没有任何程序或者进程对CPU发出请求的时候调用的普 通进程，该进程不能被结束，如果它显示CPU占用率是97%,那就意味着只有3%的CPU进程 被真正的程序占用着，如果你发现这个 ldleprocesses 一直保持很低的数值（比如一直显示 3%

9、），那么肯定有一个应用程序一直在运行着，需要检查一下！【taskmgr】：如果你看到了这个进程在运行，其实就是看这个进程的“任务管理器”本身。 它大约占用了 3.2MB的内存，当你优化系统时，不要忘了把它也算进去。【Vptray】：这是NortonAV显示在任务栏的一个图标的进程，占用大约2.9MB左右的内存如 果我们从任务栏将这个图标移走，能够收回一些内存，但是实际上它还在后台运行着。【Winlogon】：这个进程处理登录和注销任务，事实上，这个进程是必需的，它的大小和你登 录的时间有关系，我曾亲眼看见这个进程占用空间的波动情况，一个是登录一个小时左右， 内存在1.7MB到& 5MB之间波动

10、；另一个登录了 40多天，内存在1.7MB到17MB之间波动。【Wowexec】：当你运行一些老的应用程序（比如一些16位的程序）或者DOS控制台下运行DOS 命令行程序，你就会在进程里面发现它。【TaskSwitch】：在XP系统中安装了 powerToys后会出现此进程，按Alt+Tab键显示切换图 标，大约占用1.4MB到2MB的内存空间。【在 WIN2000/XP 中,系统包含以下缺省进程】：Csrss.exeExplorer.exeInternat.exeLsass.exeMstask.exeSmss.exeSpoolsv.exeSvchost.exeServices.exeSyst

11、emSystem Idle ProcessTaskmgr.exeWinlogon.exeWinmgmt.exe下面列出更多的进程和它们的简要说明】进程名 描述smss.execsrss.exe winlogon.exe services.exeSession Manager 子系统服务器进程 管理用户登录 包含很多系统服务lsass.exe管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序svchost.exe Windows 2000/XP 的文件保护系统SPOOLSV.EXE 将文件加载到内存中以便迟后打印 explorer.exe 资源管理器internat.

12、exe 托盘区的拼音图标mstask.exe允许程序在指定时间运行。regsvc.exe允许远程注册表操作。(系统服务)-remoteregisterwinmgmt.exe提供系统管理信息(系统服务) tlntsvr.exe tlnrsvr tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码inetinfo.exemsftpsvc,w3svc,iisadmntermsrv.exe termservicedns.exe应答对域名系统(DNS )名称的查询和更新请求tcpsvcs.exe提供在PXE可远程启动客户计算机上远程安装2000 Professional的

13、能力 ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息 ups.exe 管理连接到计算机的不间断电源(UPS)wins.exe 为注册和解析Net BIOS型名称的TCP/IP客户提供Net BIOS名称服务 llssrv.exe 证书记录服务ntfrs.exe 在多个服务器间维护文件目录内容的文件同步RsSub.exe 控制用来远程储存数据的媒体locator.exe 管理 RPC 名称服务数据库 lserver.exe 注册客户端许可证 dfssvc.exe 管理分布于局域网或广域网的逻辑卷clipsrv.exe 支持“剪贴簿查看器”，以

14、便可以从远程剪贴簿查阅剪贴页面 msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列， 文件系统或其它事务保护资源管理器。faxsvc.exe 帮助您发送和接收传真。 cisvc.exe 索引服务madmin.exe 磁盘管理请求的系统管理服务。mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。 netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。smlogsvc.exe 配置性能日志和警报。rsvp.exe为依赖质量服务(QoS)的程序和控制应用程序提供网络信号 和本地通信控制安装功功能。RsEng.exe

15、协调用来储存不常用数据的服务和管理工具。RsFsa.exe 管理远程储存的文件的操作。grovel.exe扫描零备份存储(SIS )卷上的重复文件，并且将重复文件指向一个数据存储点， 以节省磁盘空间(只对NTFS文件系统有用)SCardSvr.ex 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。snmptrap.exe接收由本地或远程SNMP代理程序产生的陷阱(trap)消息，然后将消息传递到 运行在这台计算机上 SNMP 管理程序。UtilMan.exe 从一个窗口中启动和配置辅助工具。msiexec.

16、exe依据.MSI文件中包含的命令来安装、修复以及删除软件。【总结】： 发现可疑进程的秘诀就是要多看任务管理器中的进程列表，看多了以后，一眼就可以发现可 可疑进程，就象找一群熟悉人中的陌生人一样。windows 任务管理器Windows 任务管理器提供了有关计算机性能的信息，并显示了计算机上所运行的程序和进程 的详细信息，可以显示最常用的度量进程性能的单位；如果连接到网络，那么还可以查看网 络状态并迅速了解网络是如何工作的，今天，我们就来全面了解任务管理器的方方面面。编辑本段从启动任务管理器开始1 Ctrl+Alt+Del最常见的方法启动任务管理器的方法：在 Windows 98 或更高版本中

17、，使用 Ctrl+Alt+Delete 组合键就可以直接调出。不过如 果接连按了两次的话，可能会导致Windows系统重新启动，假如此时还未保存数据的话，恐 怕就欲哭无泪了。在 Windows 2000 中点击 Ctrl+Alt+Delete 组合键后点“任务管理器” 。在 Windows XP 中点击 Ctrl+Alt+Delete 或是 Ctrl+Shift+Esc 组合键后点“任务管理 器”。也可以用鼠标右键点击任务栏选择“任务管理器”。也可以在开始一运行里输入 taskmgr.exe 回车在 WindowsVista 中使用 Ctrl+Shift+Esc 组合键调出， 也可以用鼠标右键

18、点击任务栏 选择“任务管理器”。2 其他好办法 其实，我们可以选择一种更简单的方法，就是右键单击任务栏的空白处，然后单击选择“任务管理器”命令。或者，按下“Ct rl+Shif t+Esc ”组合键也可以打开任务管理器，赶快 试试吧。当然，你也可以为WindowsSystem32taskmgr.exe文件在桌面上建立一个快捷方 式，然后为此快捷方式设置一个热键，以后就可以一键打开任务管理器了。小提示在Windows XP中，如果未使用欢迎屏幕方式登录系统，那么按下“Ctrl+Alt+Del” 组合键，弹出的只是“Windows安全”窗口，必须选择“任务管理器”才能够打开。 编辑本段window

19、s 任务管理器有什么 1任务管理器的用户界面提供了文件、选项、查看、窗口、关机、帮助等六大菜单项，例如“关机”菜单下可以完成待机、休眠、关闭、重新启动、注销、切换等操作，其下还有 应用程序、进程、性能、联网、用户等五个标签页，窗口底部则是状态栏，从这里可以查看 到当前系统的进程数、CPU使用比率、更改的内存容量等数据，默认设置下系统每隔两秒钟 对数据进行1次自动更新，当然你也可以点击“查看f更新速度”菜单重新设置。1. 应用程序这里显示了所有当前正在运行的应用程序，不过它只会显示当前已打开窗口的应用程序， 而 QQ、 MSN Messenger 等最小化至系统托盘区的应用程序则并不会显示出来。

20、你可以在这里点击“结束任务”按钮直接关闭某个应用程序，如果需要同时结束多个任 务，可以按住Ctrl键复选；点击“新任务”按钮，可以直接打开相应的程序、文件夹、文档 或 Internet 资源，如果不知道程序的名称，可以点击“浏览”按钮进行搜索，其实这个“新 任务”的功能看起来有些类似于开始菜单中的运行命令。2. 进程这里显示了所有当前正在运行的进程，包括应用程序、后台服务等，那些隐藏在系统底 层深处运行的病毒程序或木马程序都可以在这里找到，当然前提是你要知道它的名称。找到 需要结束的进程名，然后执行右键菜单中的“结束进程”命令，就可以强行终止，不过这种 方式将丢失未保存的数据，而且如果结束的是

21、系统服务，则系统的某些功能可能无法正常使 用。Windows的任务管理器只能显示系统中当前进行的进程，而Process Explorer可以树状 方式显示出各个进程之间的关系，即某一进程启动了哪些其他的进程，还可以显示某个进程 所调用的文件或文件夹，如果某个进程是Windows服务，则可以查看该进程所注册的所有服 务，需要的朋友可以从 下载。下载软件可能会对您的计算机造成损害,强烈推荐以下批处理!1. 当前进程路径复制以下内容到记事本,另存为path.batecho offwmic process get executablepathpath.txtstart path.txt2. 当前进程调

22、用的服务复制以下内容到记事本,另存为svc.batecho offtasklist/svcset /p。=请输入服务名：sc getdisplayname %c%pause%03. 开始-运行-输入 services.msc自己进去好好看看吧!3. 性能从任务管理器中我们可以看到计算机性能的动态概念，例如CPU和各种内存的使用情况。CPU 使用情况：表明处理器工作时间百分比的图表，该计数器是处理器活动的主要指示 器，查看该图表可以知道当前使用的处理时间是多少。CPU 使用记录：显示处理器的使用程序随时间的变化情况的图表，图表中显示的采样情 况取决于“查看”菜单中所选择的“更新速度”设置值，“高

23、”表示每秒2次，“正常”表示 每两秒 1 次，“低”表示每四秒 1 次，“暂停”表示不自动更新。PF使用情况：PF是页面文件page file的简写。但这个数字常常会让人误解，以为是系 统当时所用页面文件大小。正确含义则是正在使用的内存之和，包括物理内存和虚拟内存。 那么如何得知实际所使用的页面文件大小昵？一般用第三方软件，比如 PageFile Monitor， 也可以通过 windows 控制台来看。本人的页面文件预设了。页面文件使用记录：显示页面文件的量随时间的变化情况的图表，图表中显示的采样情 况取决于“查看”菜单中所选择的“更新速度”设置值。总数：显示计算机上正在运行的句柄、线程、进

24、程的总数。 执行内存：分配给程序和操作系统的内存，由于虚拟内存的存在，“峰值”可以超过最大 物理内存，“总数”值则与“页面文件使用记录”图表中显示的值相同。句柄数：这个东东很专业的。会编程的人知道，我不懂，只知道被称作指针的指针，“线 程数”指程序中能独立运行的部分，“进程数”简单理解就是运行的程序数目。物理内存：计算机上安装的总物理内存，也称RAM, “可用数”物理内存中可被程序使用 的空余量。但实际的空余量要比这个数值略大一点，因为物理内存不会在完全用完后才去转 用虚拟内存的。也就是说这个空余量是指使用虚拟内存(pagefile)前所剩余的物理内存。“系 统缓存”被分配用于系统缓存用的物理

25、内存量。主要来存放程序和数据等。一但系统或者程 序需要，部分内存会被释放出来，也就是说这个值是可变的。认可用量总数：其实就是被操作系统和正运行程序所占用内存总和，包括物理内存和虚 拟内存(page file)。它和上面的PF使用率是相等的。“限制”指系统所能提供的最高内存 量，包括物理内存(RAM)和虚拟(page file)内存。“峰值”指一段时间内系统曾达到的 内存使用最高值。如果这个值接近上面的“限制”的话，意味着要么你增加物理内存，要么 增加pagefile，否则系统会给你颜色看的！内核内存：操作系统内核和设备驱动程序所使用的内存，“分页数”是可以复制到页面文 件中的内存，一旦系统需要

26、这部分物理内存的话，它会被映射到硬盘，由此可以释放物理内 存；“未分页”是保留在物理内存中的内存，这部分不会被映射到硬盘，不会被复制到页面文 件中。4. 联网 这里显示了本地计算机所连接的网络通信量的指示，使用多个网络连接时，我们可以在 这里比较每个连接的通信量，当然只有安装网卡后才会显示该选项。5. 用户这里显示了当前已登录和连接到本机的用户数、标识 (标识该计算机上的会话的数字 ID)、活动状态(正在运行、已断开)、客户端名，可以点击“注销”按钮重新登录，或者通过 “断开”按钮连接与本机的连接，如果是局域网用户，还可以向其他用户发送消息呢。在 Windows SP3 中，如果只有 Admi

27、nistrator 一个用户，则不会显示该选项。 编辑本段windows 任务管理器之特别任务其实，任务管理器除了终止任务、结束进程、查看性能外，它还可以完成很多更高级的 特别任务呢。下面，我们通过几个实例来介绍任务管理器的扩展应用：实例一：同时最小化多个窗口切换到“应用程序”标签页，按住 Ctrl 键同时选择需要同时最小化的应用程序项目，然 后点击这些项目中的任意一个，从右键菜单中选择“最小化”命令即可，这里同时还可以完 成层叠、横向平铺、纵向平铺等操作。实例二：降低 BT 软件的资源占用率运行 BT 软件时，往往会占用大量的系统资源，你会看到硬盘灯不停闪烁并伴随着飞速转 动的噪音，此时无论

28、是浏览网页或是运行其他应用程序，肯定会有系统停滞的感觉。打开“任务管理器一进程”窗口，选择BT软件的进程名，然后从右键菜单中选择“设置 优先级”命令，这里可以选择实时、高、高于标准、标准、低于标准、低等不同级别，请根 据实际情况进行设置，例如设置为“低于标准”可以降低进程的优先级别，从而让 Windows 为其他进程分配更多的资源。实例三：打造增强版本的任务管理器有热心网友从 Longhorn 中将任务管理器剥离出来并提供下载，我们可以借此来打造一个 增强版本的任务管理器。解压缩下载文件，会得到 Taskkill.exe、Tasklist.exe、Taskmgr.exe 等 3 个文件，首先覆

29、盖 WindowsSystem32Dllcahe 下的同名文件，覆盖前请事先备份源文 件，接下来继续覆盖WindowsSystem32下的同名文件，当弹出“Windows文件保护”对话 框时，选择“取消”按钮。更换后的任务管理器不仅程序图标发生了变化，右击进程，可以发现在右键菜单中增加 了打开所在目录、创建转储文件两个命令，而“查看一选择列”中增加了命令行、映像路径 两个项目，前者可以查看所显示的进程是否被伪装，后者则可以查看进程的文件路径。实例四：打开处理器的超线程P4处理器的超线程技术（Hyper-Threading Technology）其实是相当于将一颗处理器分为 两个虚拟的处理器，简

30、单地说，实现超线程需要处理器、主板、操作系统三方面的支持。如 果你使用的是 Windows XP/Server 2003，而且确定自己的主板和处理器支持超线程，那么可 以切换到“性能”标签页，如果这里显示两个 CPU 使用记录图表的话，说明你的处理器确确 实实已经打开超线程。当然，我们也可以在开机信息中查看超线程支持情况，一般会显示CPU1、CPU2两个处理 器名称，或者启动后进入“设备管理器”，这样同样会显示两个处理器的信息。实例五：禁用任务管理器 任务管理器可以完成如此强大的任务，如果你使用的是公用计算机，而又不希望他人私 自操作任务管理器，可以在“开始一运行”框中键入Gpedit.msc

31、命令打开组策略窗口，找到 “本地计算机策略f用户配置f管理模板f系统f Ctrl+Alt+Del选项”项，然后在右侧窗口 中选择“删除任务管理器”项，将其设置为“已启用”以后按下“Ctrl+Alt+Del”组合键时 就无法操作任务管理器了。当然，通过文中提到的其他两个方法还是可以正常操作任务管理器的，一劳永逸的解决 办法是为Taskmgr.exe文件设置用户授权，当然必须使用NTFS文件系统才行，呵呵。也 可 以 修 改 注 册 表 来 禁 用 ： HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciessystem新建 D

32、word 值：DisableTaskMgr=l （禁用）DisableTaskMgr=O （解禁） 小知识 句柄：用来惟一标识资源（例如文件中注册表项）的值，以便程序可以访问它。 线程：在运行程序指令的进程的对象，线程允许在进程中进行并发操作，并使一个进程 能够在不同处理器上同时运行其程序的不同部分。进程：一个可执行程序（例如资源管理器）或者一种服务（例如 MSTask）6. 当任务管理器的界面出现不正常，如性能.进程的切换栏不见了，无法最大化最小化时 等等时，你可以采取以下措施恢复如无管理器的界面。操作如下：在边框上空白处双击即可！Windows 系统的任务管理器是大家经常会用到的一个程序，

33、通常它主要被用来管理计算 机进程或者查看计算机实时的工作状态。实际上它还有不少的妙用。奇招一：在网吧也能“运行” 在网吧“混”的朋友们都知道，网吧的机子通常来说都会将运行对话框屏蔽掉，如果大 家碰上某些情况需要使用运行对话框就只能束手无策了。其实这个时候任务管理器能被临时 用来代替运行对话框的作用。先按住“Ctrl+Alt+Del”组合键尝试一下能否调出任务管理器，能调出就好办了，我 们依次点击任务管理器的菜单“文件一新建任务”，弹出“创建新任务”（图1）窗口，输入 内容试试看，它跟运行对话框效果相同啊！奇招二：快速刷新注册表许多软件在安装后会提示我们需要重新启动才能让软件正常使用，其实大部分

34、时候这些 软件只是在“小题大做”，因为重启仅仅是为了让注册表更新而已，我们可以利用任务管理器 来更快地让软件生效。方法为：在“进程”选项卡中用鼠标选择“explorer.exe”进程，然后点击右下角的“结 束进程”按钮将它结束，这个时候桌面显示消失了。不必惊慌，我们在“创建新任务”窗口 中输入“explorer.exe”。运行即可让桌面恢复显示，同时计算机的注册表也会被更新，现在 软件就能正常使用了。奇招三：优化游戏运行许多朋友都和笔者一样还在使用1GB以下的内存,所以当我们玩3D游戏的时候就会觉得 运行有些卡，这个时候除了使关闭游戏以外的所有程序以外，似乎再没有其他节省内存的办 法了，其实我

35、们可以在运行游戏前先在任务管理器中结束“ explorer.exe ”进程，因为它在 很多情况下可都是内存耗用大户，结束它可为我们的游戏增加几十MB的可用内存，游戏效果 当然会有更多改善。不过此时没了桌面显示，启动游戏的方法也有所改变，我们需要打开“文件一新建任务”, 然后点击“浏览”按钮进入游戏目录载入游戏主程序，点击“确定”即可运行游戏。Windows 任务管理器进程详解阅读： 13259【Windows 任务管理器进程详解】Win2000/XP 的任务管理器是一个非常有用的工具，它能提供我们很多信息，比如现在系统中 运行的程序（进程），但是面对那些文件可执行文件名我们可能有点茫然，不知道

36、它们是做什 么的，会不会有可疑进程（病毒，木马等）。本文的目的就是提供一些常用的 Win2000/XP 中 的进程名，并简单说明它们的用处。在W2K/XP中，同时按下crtl+shift+Esc键，可以打开Windows任务管理器，单击“进程”， 可以看到很多正在运行的进程，仔细看看有很多奇怪的EXE文件在运行？下面这些并不是真 正的服务，而是在不同情况下运行的程序或进程，很多还是必需的进程。【Csrss】：这是Windows的核心部份之一，全称为Client Server Process。我们不能结束 该进程。这个只有4K的进程经常消耗3MB到6MB左右的内存，建议不要修改此进程，让它运 行

37、好了。【Ctfmon】：这是安装了 WinXP（尤其是安装ofice XP）后，在桌面右下角显示的“语言栏”， 如果不希望它出现，可通过下面的步骤取消：双击“控制面板”，“区域和语言设置”，单击“语 言”标签，单击“详细信息”按钮，打开“文字服务和输入语言”对话框，单击下面“首选 项”的“语言栏”按钮，打开“语言栏设置”对话框，取消“在桌面上显示语言栏”的勾选 即可。不要小看这个细节，它会为你节省1.5MB到4MB的内存。【dovldr32】：如果你有一个Creative SBLive系列的声卡，就可能击现这个进程，它占用大 约2.3MB到2.6MB的内存。有些奇怪的是，当我从任务栏禁止了这个

38、进程后，通过DVD实验， 并没有发生任何错误。但如果你将这个文件重新命名了，就会出现windows的文件保护警告 窗口，而且Creative Mixer和AudioHQ程序加载出错。当然你希望节省一些内存，那么可以 将它禁止。【explorer】：这可不是Internet Explorer, explorer.exe总是在后台运行，它控制着标准 的用户界面、进程、命令和桌面等，如果打开“任务管理器”，就会看到一个 explorer.exe 在后台运行。根据系统的字体、背景图片、活动桌面等情况的不同，通常会消耗5.8MB到36MB 内存不等。【Ldle】：如果你在“任务管理器”看到它显示99%的

39、占用率，千万不要害怕，实际上这是好 事，因为这表示你的计算机目前有 99%的性能等待你使用！这是关键进程，不能结束。该进 程只有16KB的大小，循环统计CPU的空闲度。【IEXPLORE】：这才是IE浏览器。当我们用它上网冲浪时，它占有7.3MB甚至更多的内存。 当然，这个随着打开的浏览器窗口的增加而增多。但当关闭所有IE窗口时，它并不会从任务 管理器消失，IEXPLORE.EXE依然在后台运行着，它的作用是加快我们再一次打开IE的速度。Generic Host Process for Win32 Services 】：如果你安装了 ZoneAlarm 以后，在连接 Internet时ZonA

40、larm总是抱怨链接不到Internet,那么你就应该好好看看下面的文字。 Svhost.exe就是Generic Service Host，意思就是说，它是其他服务的主机。如果你的 Internet连接不工作了，很有可能是你禁止了一些必须的服务，比如如果你禁止了“DNS搜 索”功能，那么当你输入时就不会连接上网，但如果输入IP地址，尽管还 是可以上网，但实际上你已经破坏了上网冲浪的关键进程！【msmsgs】：这是微软的Windows Messengr（即时通信软件）著名的MSN进程，在WinXP的家 庭版和专业版里面绑定的，如果你还运行着Outlook和MSNExplorer等程序，该进程会

41、在后 台运行支持所有这些微软号称的很Cool 的, NET功能等新技术。【msn6】：这是微软在WinXP里面绑定的MSN Explorer （MSN浏览器）进程，该进程需要 msmsgs.exe 事先运行。【Navpw32】：这是安装了 NortonAntiVirus2002软件后启动的进程，除非你不需要病毒检测 功能了，否则不要结束这个进程，这个进程同时还承担着自动升级病毒定义库文件的功能和 在系统任务栏显示一个小图标的功能。Point32】：这是安装了特殊的鼠标软件（Intellimouse等等）后启动的等程序，由于在WinXP 里面内建了很多鼠标新功能，所以，就没有必要在系统后台运行，

42、既浪费1.1MB到1.6MB的 内存，还要在任务栏占个地方！【Promon】：这是Intel系列显卡安装的程序，在任务栏显示图标控制程序，占据大约656KB 到1.1MB的内存。【Smss】：只有45KB的大小却占据着300KB到2MB的内存空间，这是一个Windows的核心进 程之一，是 windowsNT 内核的会话管理程序。Svchost】：这实际上是一个服务（service）,有时你会经常在“任务管理器”里看到好几个 一样的该进程（分别掌管着system,network,user或者其他），在windowsXP里面，如果你结 束了这个进程，那么系统就会在一分钟之内自动关闭，在windo

43、ws2000中，该进程将显示为 关键进程，禁止结束！SystemIDLEProcess】：这是一个当没有任何程序或者进程对CPU发出请求的时候调用的普 通进程，该进程不能被结束，如果它显示CPU占用率是97%，那就意味着只有3%的CPU进程 被真正的程序占用着，如果你发现这个 ldleprocesses 一直保持很低的数值（比如一直显示 3%），那么肯定有一个应用程序一直在运行着，需要检查一下！taskmgr】：如果你看到了这个进程在运行，其实就是看这个进程的“任务管理器”本身。 它大约占用了 3.2MB的内存，当你优化系统时，不要忘了把它也算进去。Vptray】：这是NortonAV显示在任

44、务栏的一个图标的进程，占用大约2.9MB左右的内存如 果我们从任务栏将这个图标移走，能够收回一些内存，但是实际上它还在后台运行着。【Winlogon】：这个进程处理登录和注销任务，事实上，这个进程是必需的，它的大小和你登 录的时间有关系，我曾亲眼看见这个进程占用空间的波动情况，一个是登录一个小时左右， 内存在1.7MB到& 5MB之间波动；另一个登录了 40多天，内存在1.7MB到17MB之间波动。【Wowexec】：当你运行一些老的应用程序（比如一些16位的程序）或者DOS控制台下运行DOS 命令行程序，你就会在进程里面发现它。【TaskSwitch】：在XP系统中安装了 powerToys

45、后会出现此进程，按Alt+Tab键显示切换图 标，大约占用1.4MB到2MB的内存空间。【在 WIN2000/XP 中,系统包含以下缺省进程】：Csrss.exeExplorer.exeInternat.exeLsass.exeMstask.exeSmss.exeSpoolsv.exeSvchost.exeServices.exeSystemSystem Idle ProcessTaskmgr.exeWinlogon.exeWinmgmt.exe下面列出更多的进程和它们的简要说明】进程名smss.exe csrss.exe winlogon.exe services.exe描述Session

46、Manager 子系统服务器进程 管理用户登录 包含很多系统服务 lsass.exe 管理IP安全策略以及启动ISAKMP/Oakley（IKE）和IP安全驱动程序 svchost.exe Windows 2000/XP 的文件保护系统SPOOLSV.EXE 将文件加载到内存中以便迟后打印 explorer.exe 资源管理器internat.exe 托盘区的拼音图标 mstask.exe 允许程序在指定时间运行。regsvc.exe允许远程注册表操作。（系统服务）-remoteregisterwinmgmt.exe提供系统管理信息（系统服务） tlntsvr.exe tlnrsvr tftp

47、d.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码 termsrv.exe termservice dns.exe 应答对域名系统（DNS ）名称的查询和更新请求inetinfo.exemsftpsvc,w3svc,iisadmntcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 2000 Professional 的能力 ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息ups.exe管理连接到计算机的不间断电源(UPS)wins.exe为注册和解析Net BIOS型名称的TCP/IP客户提供Ne

48、t BIOS名称服务llssrv.exe 证书记录服务ntfrs.exe 在多个服务器间维护文件目录内容的文件同步RsSub.exe 控制用来远程储存数据的媒体locator.exe 管理 RPC 名称服务数据库lserver.exe 注册客户端许可证dfssvc.exe 管理分布于局域网或广域网的逻辑卷clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列， 文件系统或其它事务保护资源管理器。faxsvc.exe 帮助您发送和接收传真。cisvc.exe 索引服务madmin.exe 磁盘管理请求的系统管

49、理服务。mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。 smlogsvc.exe 配置性能日志和警报。rsvp.exe为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功功能。RsEng.exe 协调用来储存不常用数据的服务和管理工具。RsFsa.exe 管理远程储存的文件的操作。grovel.exe扫描零备份存储(SIS )卷上的重复文件，并且将重复文件指向一个数据存储点， 以节省磁盘空间(只对NTFS文件系统有用)SCardSvr.ex 对

50、插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。snmptrap.exe接收由本地或远程SNMP代理程序产生的陷阱(trap)消息，然后将消息传递到 运行在这台计算机上 SNMP 管理程序。UtilMan.exe 从一个窗口中启动和配置辅助工具。msiexec.exe依据.MSI文件中包含的命令来安装、修复以及删除软件。【总结】： 发现可疑进程的秘诀就是要多看任务管理器中的进程列表，看多了以后，一眼就可以发现可 可疑进程，就象找一群熟悉人中的陌生人一样。在W2K/XP中，同时按下Ctrl+Alt+Del键，可

51、以打开Windows任务管理器，单击“进程”可 以看到很多正在运行的EXE进程：【System Idle Process：这是关键进程，只有16kB,循环统计CPU的空闲度，这个值 越大越好。该进程不能被结束，该进程似乎没低于过2 5%,大多数情况下保持5 0%以上。【system】：system是windows页面内存管理进程，拥有0级优先。(当system后面出 现.exe时是net con troller木马病毒生成的文件，出现在c:windows目录下，建议将其删 除。 )【explorer】： explorer.exe 控制着标准的用户界面、进程、命令和桌面等。 explorer.e

52、xe 总是在后台运行，根据系统的字体、背景图片、活动桌面等情况的不同，通常会消耗 5.8MB 到 36MB 内存不等。(explorer.exe 和 Internet Explorer 可不同)【IEXPLORE】：iexplore.exe 是 Microsoft 对因特网的主要编程器.，这个微软视窗应用 让你畅游网络有了地方。 iexplore.exe 是非常必要的过程,不应终止,除非怀疑造成问题。 它的作用是加快我们再一次打开IE的速度，当关闭所有IE窗口时，它将依然在后台运行。 当我们用它上网冲浪时，占有 7.3MB 甚至更多的内存，内存随着打开浏览器窗口的增加也增 多。【ctfmon】

53、这是安装了 WinXP后，在桌面右下角显示的语言栏。如果不希望它出现，可 通过下面的步骤取消：控制面板区域和语言选项语言详细信息文字服务和输入语言 （首选项）语言栏语言栏设置把在桌面上显示语言栏的勾取消。这样会为你节省 4MB 多的内存。【wowexec】用于支持16位操作系统的关键进程，不能终止。【csrss】：这是Windows的核心部份之一，全称为Client Server Process。这个只有 4K的进程经常消耗3MB到6MB左右的内存，不能终止，建议不要修改此进程。【dovldr32】为了节省内存，可以将禁止，它占用大约2.3MB到2.6MB的内存。 【winlogon】：这个进

54、程处理登录和注销任务，事实上，这个进程是必需的，它的大小和 你登录的时间有关。【services】： services.exe 是微软 windows 操作系统的一部分。用于管理启动和停止 服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是 非常重要的，该进程系统禁止结束。【svchost】 :Svchost.exe 是属于微软 windows 操作系统的系统程序，用于执行 dll 文 件。这个程序对你系统的正常运行是非常重要的。开机出现“Generic Host Process for Win32 Services 遇到问题需要关闭”一般都是说的这个进程找不到

55、dll 文件所致。【msmsgs】 这是微软的Windows Messengr（即时通信软件）著名的MSN进程，在WinXP 的家庭版和专业版里面绑定的，如果你还运行着Out look和MSN Explorer等程序，该进程会 在后台运行支持所有这些微软号称的很Cool的，NET功能等新技术。【msn6】 这是微软在WinXP里面的MSN浏览器进程，当msmsgs.exe运行后才有这个进 程。【Point32】这是安装了特殊的鼠标软件（Intellimouse等等）后启动的等程序，这不是 系统必须的进程，通过用户许可协议安装。由于在WinXP里面内建了很多鼠标新功能，所以， 就没有必要在系统后

56、台运行，既浪费1.1MB到1.6MB的内存，还要在任务栏占个地方！【spoolsv】 :用于将 windows 打印机任务发送给本地打印机， 关闭以后一会又自己开开。 【Promon】这是Intel系列网卡配置和安装的程序，在任务栏显示图标控制程序，占据 大约656KB到1.1MB的内存。【smss】只有45KB的大小却占据着300KB到2MB的内存空间，这是一个Windows的核 心进程之一，是 windowsNT 内核的会话管理程序。【taskmgr】如果你看到了这个进程在运行，其实就是看这个进程的“任务管理器”本 身。它大约占用了 3.2MB的内存，当你优化系统时，不要忘了把它也算进去。

57、【Tastch】 在XP系统中安装了 powerToys后会出现此进程，按Alt+Tab键显示切换图 标，大约占用1.4MB到2MB的内存空间。【lsass】本地安全权限服务。是微软安全机制的系统进程，主要处理一些特殊的安全 机制和登录策略。【atievxx】：这是随ati显卡硬件产品驱动一起安装而来。它不是纯粹的系统程序，但 如果终止它，可能会导致不可知的问题。【alg】：这是微软windows操作系统自带的程序。它用于处理微软windows网络连接共 享和网络连接防火墙，这个程序对你系统的正常运行是非常重要的。非 windows 任务管理器：大多数人会想起 Windows 任务管理器，但是

58、 Windows 的这个任 务管理器实在是太简陋了，因此很多人转而使用第三方软件。目前，在网上的流行的第三方 任务管理器比较多，比如 WinProc、Windows Processes、Windows 进程管理器等。让我们从任务管理器中抓病毒和木马 任何病毒和木马存在于系统中，都无法彻底和进程脱离关系，即使采用了隐藏技术，也 还是能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测病毒木马最直 接的方法。但是系统中同时运行的进程那么多，哪些是正常的系统进程，哪些是木马的进程， 而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢？请看本文。当我们确认系统中存在病毒，但是通过“任

59、务管理器”查看系统中的进程时又找不出异 样的进程，这说明病毒采用了一些隐藏措施，总结出来有三法1. 以假乱真系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe 等, 可能你发现过系 统中 存在这样的 进程： svch0st.exe、 explore.exe、 iexplorer.exe、 winlogin.exe。对比一下，发现区别了么？这是病毒经常使用的伎俩，目的就是迷惑用户的 眼睛。通常它们会将系统中正常进程名的o改为0，l改为i，i改为j,然后成为自己的进 程名，仅仅一字之差，意义却完全不同。又或者多一个字母或少一个字

60、母，例如 explorer.exe 和iexplore.exe本来就容易搞混，再出现个iexplorer.exe就更加混乱了。如果用户不仔细， 一般就忽略了，病毒的进程就逃过了一劫。2. 偷梁换柱如果用户比较心细，那么上面这招就没用了，病毒会被就地正法。于是乎，病毒也学聪 明了，懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系统进程名 分毫不差。那么这个进程是不是就安全了呢？非也，其实它只是利用了“任务管理器”无法 查看进程对应可执行文件这一缺陷。我们知道 svchost.exe 进程对应的可执行文件位于“C:WINDOWSsystem32” 目录下（Windows

61、2000 则是 C:WINNTsystem32 目录），如果病毒 将自身复制到“C:WINDOWS”中，并改名为svchost.exe，运行后，我们在“任务管理器” 中看到的也是svchost.exe，和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程 吗？但在Vista（或更高版本）中的windows任务管理器可以看到进程的路径，病毒的这招就没 用了.3. 借尸还魂 除了上文中的两种方法外，病毒还有一招终极大法借尸还魂。所谓的借尸还魂就是 病毒采用了进程插入技术，将病毒运行所需的 dll 文件插入正常的系统进程中，表面上看无 任何可疑情况，实质上系统进程已经被病毒控制了，除非我们借助专业

62、的进程检测工具，否 则要想发现隐藏在其中的病毒是很困难的。上文中提到了很多系统进程，这些系统进程到底有何作用，其运行原理又是什么？下面 我们将对这些系统进程进行逐一讲解，相信在熟知这些系统进程后，就能成功破解病毒的“以 假乱真”和“偷梁换柱”了。常被病毒冒充的进程名有：svchOst.exe、schvost.exe、scvhost.exe。随着 Windows 系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由 svchost.exe 进程来启动。而系统服务是以动态链接库（DLL）形式实现的，它们把可执行程序指向scvhost, 由cvhost调用相应服务的动态链接库来启动服

63、务。我们可以打开“控制面板”一“管理工具” -服务，双击其中“ ClipBook”服务，在其属性面板中可以发现对应的可执行文件路径为 “C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务，可以发现其可执行文件路 径为“C:WINDOWSsystem32svchost.exe-kLocalService”，而“Server”服务的可执行文 件路径为“C:WINDOWSsystem32svchost.exe-knetsvcs”。正是通过这种调用，可以省下不 少系统资源，因此系统中出现多个svchost.exe,其实只是系统的服务而已。在 Windows2000

64、 系 统 中 一 般 存 在 2 个 svchost.exe 进 程 ， 一 个 是 RPCSS(RemoteProcedureCall)服务进程，另外一个则是由很多服务共享的一个svchost.exe； 而在WindowsXP中，则一般有4个以上的svchos t.exe服务进程。如果svchos t.exe进程的 数量多于 5个，就要小心了，很可能是病毒假冒的，检测方法也很简单，使用一些进程管理 工具，例如 Windows 优化大师的进程管理功能，查看 svchost.exe 的可执行文件路径，如果 在“C:WINDOWSsystem32”目录外，那么就可以判定是病毒了。常被病毒冒充的进程名有：iexplorer. exe、expiorer.exe、explore.exe。 explorer.exe 就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束， 那么包括任务栏、桌面、以及