- 論壇徽章:
- 0
|
win2k運行進程詳解
=================
Svchost.exe
Svchost.exe文件對那些從動態(tài)連接庫中運行的服務(wù)來說是一個普通的主機進程名��。Svhost.exe文件定位
在系統(tǒng)的%systemroot%\\system32文件夾下。在啟動的時候����,Svchost.exe檢查注冊表中的位置來構(gòu)建需要
加載的服務(wù)列表。這就會使多個Svchost.exe在同一時間運行���。每個Svchost.exe的回話期間都包含一組服務(wù)����,
以至于單獨的服務(wù)必須依靠Svchost.exe怎樣和在那里啟動����。這樣就更加容易控制和查找錯誤。
Svchost.exe 組是用下面的注冊表值來識別����。
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Svchost
每個在這個鍵下的值代表一個獨立的Svchost組,并且當你正在看活動的進程時���,它顯示作為一個單獨的
例子�����。每個鍵值都是REG_MULTI_SZ類型的值而且包括運行在Svchost組內(nèi)的服務(wù)���。每個Svchost組都包含一個
或多個從注冊表值中選取的服務(wù)名�����,這個服務(wù)的參數(shù)值包含了一個ServiceDLL值��。
HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\Service
更多的信息
為了能看到正在運行在Svchost列表中的服務(wù)�。
開始-運行-敲入cmd
然后在敲入 tlist -s (tlist 應(yīng)該是win2k工具箱里的冬冬)
Tlist 顯示一個活動進程的列表���。開關(guān) -s 顯示在每個進程中的活動服務(wù)列表����。如果想知道更多的關(guān)于
進程的信息�,可以敲 tlist pid��。
Tlist 顯示Svchost.exe運行的兩個例子����。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt, Browser, Dhcp, dmserver, Dnscache, Eventlog, lanmanserver, LanmanWorkstation, LmHosts, Messenger, PlugPlay, ProtectedStorage, seclogon, TrkWks, W32Time, Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:\\WINNT5\\System32\\cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在這個例子中注冊表設(shè)置了兩個組。
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs
smss.exe
csrss.exe
這個是用戶模式Win32子系統(tǒng)的一部分���。csrss代表客戶/服務(wù)器運行子系統(tǒng)而且是一個基本的子系統(tǒng)
必須一直運行��。csrss 負責(zé)控制windows����,創(chuàng)建或者刪除線程和一些16位的虛擬MS-DOS環(huán)境。
explorer.exe
這是一個用戶的shell(我實在是不知道怎么翻譯shell)��,在我們看起來就像任務(wù)條�����,桌面等等�。這個
進程并不是像你想象的那樣是作為一個重要的進程運行在windows中,你可以從任務(wù)管理器中停掉它�����,或者重新啟動�。
通常不會對系統(tǒng)產(chǎn)生什么負面影響。
internat.exe
這個進程是可以從任務(wù)管理器中關(guān)掉的�����。
internat.exe在啟動的時候開始運行����。它加載由用戶指定的不同的輸入點���。輸入點是從注冊表的這個位置
HKEY_USERS\\.DEFAULT\\Keyboard Layout\\Preload 加載內(nèi)容的。
internat.exe 加載“EN”圖標進入系統(tǒng)的圖標區(qū)�,允許使用者可以很容易的轉(zhuǎn)換不同的輸入點。
當進程停掉的時候�,圖標就會消失,但是輸入點仍然可以通過控制面板來改變�����。
lsass.exe
這個進程是不可以從任務(wù)管理器中關(guān)掉的���。
這是一個本地的安全授權(quán)服務(wù)���,并且它會為使用winlogon服務(wù)的授權(quán)用戶生成一個進程。這個進程是
通過使用授權(quán)的包�����,例如默認的msgina.dll來執(zhí)行的���。如果授權(quán)是成功的,lsass就會產(chǎn)生用戶的進入
令牌�,令牌別使用啟動初始的shell���。其他的由用戶初始化的進程會繼承這個令牌的。
mstask.exe
這個進程是不可以從任務(wù)管理器中關(guān)掉的����。
這是一個任務(wù)調(diào)度服務(wù),負責(zé)用戶事先決定在某一時間運行的任務(wù)的運行���。
smss.exe
這個進程是不可以從任務(wù)管理器中關(guān)掉的�。
這是一個會話管理子系統(tǒng)�,負責(zé)啟動用戶會話。這個進程是通過系統(tǒng)進程初始化的并且對許多活動的�,
包括已經(jīng)正在運行的Winlogon,Win32(Csrss.exe)線程和設(shè)定的系統(tǒng)變量作出反映���。在它啟動這些
進程后����,它等待Winlogon或者Csrss結(jié)束����。如果這些過程時正常的,系統(tǒng)就關(guān)掉了。如果發(fā)生了什么
不可預(yù)料的事情�����,smss.exe就會讓系統(tǒng)停止響應(yīng)(就是掛起)����。
spoolsv.exe
這個進程是不可以從任務(wù)管理器中關(guān)掉的。
緩沖(spooler)服務(wù)是管理緩沖池中的打印和傳真作業(yè)���。
service.exe
這個進程是不可以從任務(wù)管理器中關(guān)掉的���。
大多數(shù)的系統(tǒng)核心模式進程是作為系統(tǒng)進程在運行。
System Idle Process
這個進程是不可以從任務(wù)管理器中關(guān)掉的�����。
這個進程是作為單線程運行在每個處理器上��,并在系統(tǒng)不處理其他線程的時候分派處理器的時間���。
taskmagr.exe
這個進程是可以在任務(wù)管理器中關(guān)掉的。
這個進程就是任務(wù)管理器��。
winlogon.exe
這個進程是管理用戶登錄和推出的。而且winlogon在用戶按下CTRL+ALT+DEL時就激活了���,顯示安全對話框���。
winmgmt.exe
winmgmt是win2000客戶端管理的核心組件。當客戶端應(yīng)用程序連接或當管理程序需要他本身的服務(wù)時這個進程初始化�。 |
|
免費注冊
發(fā)表于 2002-06-07 12:54
