在W2K/XP中,同时按下crtl+shift+Esc键,可以打开Windows任务管理器,单击“进程”,可以看到很多正在运行的进程,仔细看看有很多奇怪的EXE文件在运行?下面这些并不是真正的服务,而是在不同情况下运行的程序或进程,很多还是必需的进程。
【Csrss】:这是Windows的核心部份之一,全称为ClientServerProcess。我们不能结束该进程。这个只有4K的进程经常消耗3MB到6MB左右的内存,建议不要修改此进程,让它运行好了。
【Ctfmon】:这是安装了WinXP(尤其是安装oficeXP)后,在桌面右下角显示的“语言栏”,如果不希望它出现,可通过下面的步骤取消:双击“控制面板”,“区域和语言设置”,单击“语言”标签,单击“详细信息”按钮,打开“文字服务和输入语言”对话框,单击下面“首选项”的“语言栏”按钮,打开“语言栏设置”对话框,取消“在桌面上显示语言栏”的勾选即可。不要小看这个细节,它会为你节省1.5MB到4MB的内存。
【explorer】:这可不是InternetExplorer,explorer.exe总是在后台运行,它控制着标准的用户界面、进程、命令和桌面等,如果打开“任务管理器”,就会看到一个explorer.exe在后台运行。根据系统的字体、背景图片、活动桌面等情况的不同,通常会消耗5.8MB到36MB内存不等。
【Ldle】:如果你在“任务管理器”看到它显示99%的占用率,千万不要害怕,实际上这是好事,因为这表示你的计算机目前有99%的性能等待你使用!这是关键进程,不能结束。该进程只有16KB的大小,循环统计CPU的空闲度。
【IEXPLORE】:这才是IE浏览器。当我们用它上网冲浪时,它占有7.3MB甚至更多的内存。当然,这个随着打开的浏览器窗口的增加而增多。但当关闭所有IE窗口时,它并不会从任务管理器消失,IEXPLORE.EXE依然在后台运行着,它的作用是加快我们再一次打开IE的速度。
【GenericHostProcessforWin32Services】:如果你安装了ZoneAlarm以后,在连接Internet时ZonAlarm总是抱怨链接不到Internet,那么你就应该好好看看下面的文字。Svhost.exe就是GenericServiceHost,意思就是说,它是其他服务的主机。如果你的Internet连接不工作了,很有可能是你禁止了一些必须的服务,比如如果你禁止了“DNS搜索”功能,那么当你输入www.cfan.com.cn时就不会连接上网,但如果输入IP地址,尽管还是可以上网,但实际上你已经破坏了上网冲浪的关键进程!
【msmsgs】:这是微软的WindowsMessengr(即时通信软件)着名的MSN进程,在WinXP的家庭版和专业版里面绑定的,如果你还运行着Outlook和MSNExplorer等程序,该进程会在后台运行支持所有这些微软号称的很Cool的,NET功能等新技术。
【Promon】:这是Intel系列显卡安装的程序,在任务栏显示图标控制程序,占据大约656KB到1.1MB的内存。
【Smss】:只有45KB的大小却占据着300KB到2MB的内存空间,这是一个Windows的核心进程之一,是windowsNT内核的会话管理程序。
【Svchost】:这实际上是一个服务(service),有时你会经常在“任务管理器”里看到好几个一样的该进程(分别掌管着system,network,user或者其他),在windowsXP里面,如果你结束了这个进程,那么系统就会在一分钟之内自动关闭,在windows2000中,该进程将显示为关键进程,禁止结束!
【SystemIDLEProcess】:这是一个当没有任何程序或者进程对CPU发出请求的时候调用的普通进程,该进程不能被结束,如果它显示CPU占用率是97%,那就意味着只有3%的CPU进程被真正的程序占用着,如果你发现这个ldleprocesses一直保持很低的数值(比如一直显示3%),那么肯定有一个应用程序一直在运行着,需要检查一下!
【taskmgr】:如果你看到了这个进程在运行,其实就是看这个进程的“任务管理器”本身。它大约占用了3.2MB的内存,当你优化系统时,不要忘了把它也算进去。
【Winlogon】:这个进程处理登录和注销任务,事实上,这个进程是必需的,它的大小和你登录的时间有关系,我曾亲眼看见这个进程占用空间的波动情况,一个是登录一个小时左右,内存在1.7MB到8.5MB之间波动;另一个登录了40多天,内存在1.7MB到17MB之间波动。
【Wowexec】:当你运行一些老的应用程序(比如一些16位的程序)或者DOS控制台下运行DOS命令行程序,你就会在进程里面发现它。
【在WIN2000/XP中,系统包含以下缺省进程】:
Csrss.exe
Explorer.exe
Internat.exe
Lsass.exe
Mstask.exe
Smss.exe
Spoolsv.exe
Svchost.exe
Services.exe
System
SystemIdleProcess
Winlogon.exe
Winmgmt.exe
【下面列出更多的进程和它们的简要说明】
进程名描述
smss.exeSessionManager
csrss.exe子系统服务器进程
winlogon.exe管理用户登录
services.exe包含很多系统服务
lsass.exe管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序
svchost.exeWindows2000/XP的文件保护系统
SPOOLSV.EXE将文件加载到内存中以便迟后打印
explorer.exe资源管理器
mstask.exe允许程序在指定时间运行。
regsvc.exe允许远程注册表操作。(系统服务)->remoteregister
winmgmt.exe提供系统管理信息(系统服务)
inetinfo.exemsftpsvc,w3svc,iisadmn
tlntsvr.exetlnrsvr
termsrv.exetermservice
dns.exe应答对域名系统(DNS)名称的查询和更新请求
tcpsvcs.exe提供在PXE可远程启动客户计算机上远程安装2000Professional的能力
ismserv.exe允许在WindowsAdvancedServer站点间发送和接收消息
ups.exe管理连接到计算机的不间断电源(UPS)
wins.exe为注册和解析NetBIOS型名称的TCP/IP客户提供NetBIOS名称服务
llssrv.exe证书记录服务
ntfrs.exe在多个服务器间维护文件目录内容的文件同步
RsSub.exe控制用来远程储存数据的媒体
locator.exe管理RPC名称服务数据库
lserver.exe注册客户端许可证
dfssvc.exe管理分布于局域网或广域网的逻辑卷
clipsrv.exe支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面
msdtc.exe并列事务,是分布于两个以上的数据库,消息队列,
文件系统或其它事务保护资源管理器。
faxsvc.exe帮助您发送和接收传真。
cisvc.exe索引服务
madmin.exe磁盘管理请求的系统管理服务。
mnmsrvc.exe允许有权限的用户使用NetMeeting远程访问Windows桌面。
netdde.exe提供动态数据交换(DDE)的网络传输和安全特性。
smlogsvc.exe配置性能日志和警报。
rsvp.exe为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功功能。
RsEng.exe协调用来储存不常用数据的服务和管理工具。
RsFsa.exe管理远程储存的文件的操作。
grovel.exe扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间(只对NTFS文件系统有用)
SCardSvr.ex对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。
snmp.exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。
snmptrap.exe接收由本地或远程SNMP代理程序产生的陷阱(trap)消息,然后将消息传递到运行在这台计算机上SNMP管理程序。
UtilMan.exe从一个窗口中启动和配置辅助工具。
msiexec.exe依据.MSI文件中包含的命令来安装、修复以及删除软件。
【总结】:
发现可疑进程的秘诀就是要多看任务管理器中的进程列表,看多了以后,一眼就可以发现可可疑进程,就象找一群熟悉人中的陌生人一样。
本文来源:中关村在线 作者:佚名