系统进程通通透透
一、了解系统进程及常见进程
进程可以理解为处于活动状态的计算机程序,它在操作系统中执行特定的任务。系统进程一般包括:基本的系统进程和附加的系统进程。
以下以Windows XP系统为例介绍
1.最基本的系统进程
此类系统进程是系统运行的必备条件,只有这些进程处于活动状态,系统才能正常运行。因此,它们是不能被结束任务的。
winlogon.exe:管理用户登录。
csrss.exe:这是子系统服务器进程,负责控制Windows创建或删除线程以及16位的虚拟DOS环境。
System Idle Process:这个进程是作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。
smss.exe:这是一个会话管理子系统,负责启动用户会话。
services.exe:这是系统服务管理工具,包含很多系统服务。
lsass.exe:这是一个本地的安全授权服务,管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
explorer.exe:资源管理器。
SPOOLSV.EXE:管理缓冲区中的打印和传真作业,将文件加载到内存中以便迟后打印。
svchost.exe:系统启动的时候,Svchost.exe将检查注册表中的位置来创建需要加载的服务列表。多个Svchost.exe如果同时运行,则表明当前有多组服务处于活动状态,多个DLL文件在调用它。
2.附加的系统进程
附加的系统进程不是必需要运行的,可以根据服务管理的需要来结束相关进程。
mstask.exe:允许程序在指定时间运行。
regsvc.exe:允许远程注册表操作。
winmgmt.exe:提供系统管理信息。
inetinfo.exe:通过 Internet 信息服务的管理单元提供 FTP 连接和管理。
tlntsvr.exe:允许远程用户登录到系统并且使用命令行运行控制台程序。
tftpd.exe:实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。
termsrv.exe:提供多会话环境允许客户端设备访问虚拟的Windows 2000 Professional桌面会话以及运行在服务器上的基于Windows 的程序。
dns.exe:应答对域名系统(DNS)名称的查询和更新请求。
以上提及的系统进程若处于运行状态,则多少会威胁到系统安全,只在需要时开启相应服务即可。而其余的系统服务则很少会用到,就不再多述了。
二、查看系统进程
常规方法:
如果使用的是Windows NT/2000/XP/2003操作系统,调出“Windows任务管理器”后,切换到“进程”标签页,在此即可看到当前已运行的进程名称及其相对应的用户名、CPU占用与内存使用情况。
[1] [2] [3] [4]
此主题相关图片如下:
screen.width-333)this.width=screen.width-333" border=0 dypop="按此在新窗口浏览图片">
如果是Windows 9X/ME操作系统,则只能查看前台活动的系统进程,而对于后台运行的进程则无法查看,这时就需要安装并运行第三方的“Windows任务管理器”程序。
Windows任务管理器 3.1 For WIn9X/Me
软件介绍:
Windows任务管理器在NT平台上是最为常见的系统监视工具,但在Win9X/Me平台上却没有类似的工具,本软件则填补了这一空缺。任务管理器提供正在您的计算上运行的程序和进程的相关信息。也显示最常用的度量进程性能的单位。使用任务管理器可以监视计算机性能的关键指示器。可以查看正在运行的程序的状态,并终止已停止响应的程序。也可以使用多达 20 个参数评估正在运行的进程的活动,查看反映CPU 和内存使用情况的图形和数据。3.0版本还捆绑了一个全新软件局域网连接探测器。
点击下载
它的界面设计与功能几乎与Windows系统自带的工具没什么差别,同样可查看到已运行的系统进程。
此主题相关图片如下:
screen.width-333)this.width=screen.width-333" border=0 dypop="按此在新窗口浏览图片">
高级手段:
我们上面的提及的那些一般方法是无法查看到隐藏进程及其更为详细信息的,所以就需要使用专业的第三方软件——柳叶擦眼来实现这一目的。
柳叶擦眼 V4.00 Beta 1
软件介绍:
这个小软件可以列出系统所有的进程(包括隐藏的),并可以杀死进程。新增了“程序限止”功能,以及“限止日志”。功能更强大,同时具有IE保护功能。
点击下载
启动“柳叶擦眼”后,在主界面中我们可看到包括隐藏进程在内的所有运行进程。
此主题相关图片如下:
screen.width-333)this.width=screen.width-333" border=0 dypop="按此在新窗口浏览图片">
而我们查看隐藏进程的主要目的就是为了辨识出木马,在“柳叶擦眼”程序自动标识出了系统文件,大家只需着重检测那些“未知”进程即可。
三、招招式式杀进程
目的1:节省系统资源,封杀不必要的进程
实现方法:我们文章伊始介绍了最基本的系统进程,在启动Windows XP系统后,如果发现除此之外的其它进程,可酌情结束其运行。在“Windows任务管理器”中,我们选择指定进程后,在右键弹出出菜单中可执行“结束进程”或“结束进程树”。也许大家对“结束进程树”的功能还不甚了解,所谓进程树是指当一个应用程序运行后,还可能调用其它的进程来执行操作,这一组进程就形成了一个进程树(进程树可能是多级的,并非只有一个层次的子进程)。该应用程序称之为父进程,其所调用的对象称之为子进程。当我们结束一个进程树后,即表示同时结束了其所属的所有子进程。
目的2:比较进程,封杀木马
实现方法:比如,当我们启动一个网友传输的文件时,若不能确定它是否捆绑有木马,则可通过比较运行前、后的进程,来检测是否新增了木马进程。这时就需要用到超然进程管理器 v1.5。
超然进程管理器 1.5.02
软件介绍:
该软件用于对系统进程、模块、窗口资料的查看以及对他们的操作,如对进程进行关闭,设置优先级,对窗口进行隐藏、让按钮可用,改名,获得文本框内容(包括部分密码框),注册表启动项进行管理,看不同对象的类名,等功能。
[1] [2] [3] [4]
点击下载
在“超然进程管理器”主界面中查看右侧功能列表的“进程管理”,在启动指定文件或程序前,点击“记录列表”按钮,在运行后再点击“比较进程列表”按钮。而后,再切换到“其它”标签页,在此即可直观地看到增加或减少的进程名称。当前我们运行了一个文件,如果出现的是两个进程,则另一个就极有可能是木马,将其封杀即可。
此主题相关图片如下:
screen.width-333)this.width=screen.width-333" border=0 dypop="按此在新窗口浏览图片">
目的3:封杀系统进程
实现方法:对于在Windows任务管理器中无法封杀的进程,可利用“超然进程管理器”强行封杀。选择列表中的指定进程后,点击“关闭系统进程”按钮即可。但大家也要考虑到封杀后可能带的后果,需慎重对待。
目的4:批量封杀进程
实现方法:如果我们需要一次性结束多个进程,则在“超然进程管理器”程序中点击“进程管理”→“批量关闭进程”,在弹出对话框中选择多个预结束的进程后,点击“批量关闭”按钮即可。
四、系统进程常见问题解答
问:为何会显示多个Svchost.exe进程?
答:Windows 2000一般有两个svchost进程,一个是RPCss(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个svchost.exe。Windows XP则一般有四个以上的svchost.exe服务进程,Windows 2003 server中则更多。Windows之所以把更多的系统内置服务以共享进程方式由svchost启动,主要是为了在一定程度上减少系统资源的消耗。但由此也存在着一定的安全隐患,例如有些进程插入后门为了防止被查杀,就常将后门插入在svchost进程中。
那么,如何才能知晓哪些服务正在使用Svchost.exe呢?以Windows XP系统为例,运行“命令提示符”后,在其中输入“Tasklist /SVC”,回车确认操作后即可查看进程信息。
此主题相关图片如下:
screen.width-333)this.width=screen.width-333" border=0>
再者,正常的svchost文件存储于“c:\windows\system32”目录中,我们可利用第三方软件查看该文件的存储路径,如果出现在其它目录下就要小心了。
问:为什么QQ 2004启动后就会出现TIMPlatform.exe这个进程?以前使用QQ2003是没这个进程的。
答:该进程的作用是和TM接换的桥梁,若要结束其运行,则关闭QQ后进入到QQ程序的安装文件夹,在其中找到“TIMPlatform.exe”文件将它删除即可。
问:在Windows XP系统中,进程列表里的“system Idle Process”是什么?为何CPU占用率总是在90%以上?怎么才能去掉它?
答:“System Idle Process”进程的90%并不是占用CPU的资源,恰恰相反的是这里的90%以上是CPU资源空闲了出来的。这里的数字越大表示CPU可用资源越多,数字越小则表示CPU资源越紧张。该进程是系统必须的,不能禁止。
此主题相关图片如下:
screen.width-333)this.width=screen.width-333" border=0>
[1] [2] [3] [4]
此主题相关图片如下:
screen.width-333)this.width=screen.width-333" border=0>
行了就这些吧我想大家也明白了,《系统进程通通透透》里面的软件并没有给出链接,搜索一下都可以查的到,推荐个看进程和禁止进程的工具:Process Viewer
一个系统进程的查看和“KILL”工具,尽管类似的工具也有不少,但这个软件还是非常有自己的特色。非常轻松地更改进程的优先级;非常轻松地将一个进程注册或取消注册为“服务”;非常有特色的脚本功能;大多数时候,你只用加载 PV2KTray.exe 文件或安装外壳扩展功能在 *.psv 类型文件上右键单击即可完成需要的工作,而且对系统资源的消耗非常低。完全绿色软件,免安装,如果不需要此软件,只需在选项中点击“卸载 Process Viewer”即可清除所有相关注册表项目。
很小很实用,绿色软件不需要安装,启动后在系统盘位置,退出时点右键退出。
(出处:http://www.sheup.com)
此主题相关图片如下:
screen.width-333)this.width=screen.width-333" border=0>
行了就这些吧我想大家也明白了,《系统进程通通透透》里面的软件并没有给出链接,搜索一下都可以查的到,推荐个看进程和禁止进程的工具:Process Viewer
一个系统进程的查看和“KILL”工具,尽管类似的工具也有不少,但这个软件还是非常有自己的特色。非常轻松地更改进程的优先级;非常轻松地将一个进程注册或取消注册为“服务”;非常有特色的脚本功能;大多数时候,你只用加载 PV2KTray.exe 文件或安装外壳扩展功能在 *.psv 类型文件上右键单击即可完成需要的工作,而且对系统资源的消耗非常低。完全绿色软件,免安装,如果不需要此软件,只需在选项中点击“卸载 Process Viewer”即可清除所有相关注册表项目。
很小很实用,绿色软件不需要安装,启动后在系统盘位置,退出时点右键退出。
(出处:http://www.sheup.com)