什么是可疑进程?怎么辨别啊?
Windows 2000/XP 的任务 管理 器是一个非常有用的工具,它能提供我们很多信息,比如现在系统中运行的程序(进程),但是面对那些文件可执行文件名我们可能有点茫然,不知道它们是做什么的,会不会有可疑进程(病毒,木马等)。本文的目的就是提供一些常用的Windows 2000 中的进程名,并简单说明它们的用处。
在 WINDOWS 2000 中,系统包含以下缺省进程:
Csrss.exe
Explorer.exe
Internat.exe
Lsass.exe
Mstask.exe
Smss.exe
Spoolsv.exe
Svchost.exe
Services.exe
System
System Idle Process
Taskmgr.exe
Winlogon.exe
Winmgmt.exe
下面列出更多的进程和它们的简要说明
进程名 描述
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
svchost.exe Windows 2000/XP 的文件保护系统
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。)
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标)
mstask.exe 允许程序在指定时间运行。
regsvc.exe 允许远程注册表操作。(系统服务)->remoteregister
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe msftpsvc,w3svc,iisadmn
tlntsvr.exe tlnrsvr
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。
termsrv.exe termservice
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。
ups.exe 管理连接到计算机的不间断电源(UPS)。
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。
llssrv.exe 证书记录服务
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。
RsSub.exe 控制用来远程储存数据的媒体。
locator.exe 管理 RPC 名称服务数据库。
lserver.exe 注册客户端许可证。
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统或其它事务保护护资源管理器。
faxsvc.exe 帮助您发送和接收传真。
cisvc.exe 索引服务
dmadmin.exe 磁盘管理请求的系统管理服务。
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。
smlogsvc.exe 配置性能日志和警报。
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功功能。
RsEng.exe 协调用来储存不常用数据的服务和管理工具。
RsFsa.exe 管理远程储存的文件的操作。
grovel.exe 扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间(只对 NTFS 文件系统有用)。
SCardSvr.ex 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱(trap)消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序
UtilMan.exe 从一个窗口中启动和配置辅助工具。
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。
总结: 发现可疑进程的秘诀就是要多看任务管理器中的进程列表,看多了以后,一眼就可以发现可可疑进程,就象找一群熟悉人中的陌生人一样。
这个需要经验的。
这里有一份参考:
系统进程
system process
进程文件: [system process] or [system process]
进程名称: Windows内存处理系统进程
描述: Windows页面内存管理进程,拥有0级优先。
是否为系统进程: 是
alg.exe
进程文件: alg or alg.exe
进程名称: 应用层网关服务
描述: 这是一个应用层网关服务用于网络共享。
是否为系统进程: 是
csrss.exe
进程文件: csrss or csrss.exe
进程名称: Client/Server Runtime Server Subsystem
描述: 客户端服务子系统,用以控制Windows图形相关子系统。
是否为系统进程: 是
ddhelp.exe
进程文件: ddhelp or ddhelp.exe
进程名称: DirectDraw Helper
描述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。
是否为系统进程: 是
dllhost.exe
进程文件: dllhost or dllhost.exe
进程名称: DCOM DLL Host进程
描述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。
是否为系统进程: 是
inetinfo.exe
进程文件: inetinfo or inetinfo.exe
进程名称: IIS Admin Service Helper
描述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用于Debug调试除错。
是否为系统进程: 是
internat.exe
进程文件: internat or internat.exe
进程名称: Input Locales
描述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。
是否为系统进程: 是
kernel32.dll
进程文件: kernel32 or kernel32.dll
进程名称: Windows壳进程
描述: Windows壳进程用于管理多线程、内存和资源。
是否为系统进程: 是
lsass.exe
进程文件: lsass or lsass.exe
进程名称: 本地安全权限服务
描述: 这个本地安全权限服务控制Windows安全机制。
是否为系统进程: 是
mdm.exe
进程文件: mdm or mdm.exe
进程名称: Machine Debug Manager
描述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft Script Editor脚本编辑器。
是否为系统进程: 是
mmtask.tsk
进程文件: mmtask or mmtask.tsk
进程名称: 多媒体支持进程
描述: 这个Windows多媒体后台程序控制多媒体服务,例如MIDI。
是否为系统进程: 是
mprexe.exe
进程文件: mprexe or mprexe.exe
进程名称: Windows路由进程
描述: Windows路由进程包括向适当的网络部分发出网络请求。
是否为系统进程: 是
msgsrv32.exe
进程文件: msgsrv32 or msgsrv32.exe
进程名称: Windows信使服务
描述: Windows信使服务调用Windows驱动和程序管理在启动。
是否为系统进程: 是
mstask.exe
进程文件: mstask or mstask.exe
进程名称: Windows计划任务
描述: Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。
是否为系统进程: 是
regsvc.exe
进程文件: regsvc or regsvc.exe
进程名称: 远程注册表服务
描述: 远程注册表服务用于访问在远程计算机的注册表。
是否为系统进程: 是
rpcss.exe
进程文件: rpcss or rpcss.exe
进程名称: RPC Portmapper
描述: Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。
是否为系统进程: 是
services.exe
进程文件: services or services.exe
进程名称: Windows Service Controller
描述: 管理Windows服务。
是否为系统进程: 是
smss.exe
进程文件: smss or smss.exe
进程名称: Session Manager Subsystem
描述: 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。
是否为系统进程: 是
snmp.exe
进程文件: snmp or snmp.exe
进程名称: Microsoft SNMP Agent
描述: Windows简单的网络协议代理(SNMP)用于监听和发送请求到适当的网络部分。
是否为系统进程: 是
spool32.exe
进程文件: spool32 or spool32.exe
进程名称: Printer Spooler
描述: Windows打印任务控制程序,用以打印机就绪。
是否为系统进程: 是
spoolsv.exe
进程文件: spoolsv or spoolsv.exe
进程名称: Printer Spooler Service
描述: Windows打印任务控制程序,用以打印机就绪。
是否为系统进程: 是
stisvc.exe
进程文件: stisvc or stisvc.exe
进程名称: Still Image Service
描述: Still Image Service用于控制扫描仪和数码相机连接在Windows。
是否为系统进程: 是
svchost.exe
进程文件: svchost or svchost.exe
进程名称: Service Host Process
描述: Service Host Process是一个标准的动态连接库主机处理服务。
是否为系统进程: 是
system
进程文件: system or system
进程名称: Windows System Process
描述: Microsoft Windows系统进程。
是否为系统进程: 是
taskmon.exe
进程文件: taskmon or taskmon.exe
进程名称: Windows Task Optimizer
描述: windows任务优化器监视你使用某个程序的频率,并且通过加载那些经常使用的程序来整理优化硬盘。
是否为系统进程: 是
tcpsvcs.exe
进程文件: tcpsvcs or tcpsvcs.exe
进程名称: TCP/IP Services
描述: TCP/IP Services Application支持透过TCP/IP连接局域网和Internet。
是否为系统进程: 是
winlogon.exe
进程文件: winlogon or winlogon.exe
进程名称: Windows Logon Process
描述: Windows NT用户登陆程序。
是否为系统进程: 是
winmgmt.exe
进程文件: winmgmt or winmgmt.exe
进程名称: Windows Management Service
描述: Windows Management Service透过Windows Management Instrumentation data (WMI)技术处理来自应用客户端的请求。
是否为系统进程: 是
常见程序进程(A--F)
absr.exe
进程文件: absr or absr.exe
进程名称: Backdoor.Autoupder Virus
描述: 这个进程是Backdoor.Autoupder后门病毒程序创建的。
是否为系统进程: 否
acrobat.exe
进程文件: acrobat or acrobat.exe
进程名称: Adobe Acrobat
描述: Acrobat Writer用于创建PDF文档。
是否为系统进程: 否
acrord32.exe
进程文件: acrord32 or acrord32.exe
进程名称: Acrobat Reader
描述: Acrobat Reader是一个用于阅读PDF文档的软件。
是否为系统进程: 否
agentsvr.exe
进程文件: agentsvr or agentsvr.exe
进程名称: OLE automation server
描述: OLE Automation Server是Microsoft Agent的一部分。
是否为系统进程: 否
aim.exe
进程文件: aim or aim.exe
进程名称: AOL Instant Messenger
描述: AOL Instant Messenger是一个在线聊天和即时通讯IM软件客户端。
是否为系统进程: 否
airsvcu.exe
进程文件: airsvcu or airsvcu.exe
进程名称: Microsoft Media Manager
描述: OLE 这是一个用于在硬盘上建立索引文件和文件夹,在Microsoft Media Manager媒体管理启动时运行的进程。它可以在控制面板被禁用。
是否为系统进程: 否
alogserv.exe
进程文件: alogserv or alogserv.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用于扫描你的文档和E-mail中的病毒。
是否为系统进程: 否
avconsol.exe
进程文件: avconsol or avconsol.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用于扫描你的文档和E-mail中的病毒。
是否为系统进程: 否
avsynmgr.exe
进程文件: avsynmgr or avsynmgr.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用于扫描你的文档和E-mail中的病毒。
是否为系统进程: 否
backWeb.exe
进程文件: backWeb or backWeb.exe
进程名称: Backweb Adware
描述: Backweb是一个Adware(广告插件,一般是由于安装某些免费软件而伴随安装上的程序)来自Backweb Technologies。
是否为系统进程: 否
bcb.exe
进程文件: bcb or bcb.exe
进程名称: Borland C++ Builder
描述: Borland C++ Builder
是否为系统进程: 否
calc.exe
进程文件: calc or calc.exe
进程名称: Calculator
描述: Microsoft Windows计算器程序
是否为系统进程: 否
ccapp.exe
进程文件: ccapp or ccapp.exe
进程名称: Symantec Common Client
描述: Symantec公用应用客户端包含在Norton AntiVirus 2003和Norton Personal Firewall 2003。
是否为系统进程: 否
cdplayer.exe
进程文件: cdplayer or cdplayer.exe
进程名称: CD Player
描述: Microsoft Windows包含的CD播放器
是否为系统进程: 否
charmap.exe
进程文件: charmap or charmap.exe
进程名称: Windows Character Map
描述: Windows字符映射表用来帮助你寻找不常见的字符。
是否为系统进程: 否
idaemon.exe
进程文件: cidaemon or cidaemon.exe
进程名称: Microsoft Indexing Service
描述: 在后台运行的Windows索引服务,用于帮助你搜索文件在下次变得更快。
是否为系统进程:
cisvc.exe
进程文件: cisvc or cisvc.exe
进程名称: Microsoft Index Service Helper
描述: Microsoft Index Service Helper监视Microsoft Indexing Service (cidaemon.exe) 的内存占用情况,如果cidaemon.exe内存使用超过了40M,则自动重新启动该进程。
是否为系统进程: 否
cmd.exe
进程文件: cmd or cmd.exe
进程名称: Windows Command Prompt
描述: Windows控制台程序。不像旧的command.com,cmd.exe是一个32位的命令行使用在WinNT/2000/XP。
是否为系统进程: 否
cmesys.exe
进程文件: cmesys or cmesys.exe
进程名称: Gator GAIN Adware
描述: Gator GAIN是一个Adware插件(广告插件,一般是由于安装某些免费软件而伴随安装上的程序)。
是否为系统进程: 否
ctfmon.exe
进程文件: ctfmon or ctfmon.exe
进程名称: Alternative User Input Services
描述: 控制Alternative User Input Text Processor (TIP)和Microsoft Office语言条。Ctfmon.exe提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。
是否为系统进程: 否
ctsvccda.exe
进程文件: ctsvccda or ctsvccda.exe
进程名称: Create CD-ROM Services
描述: 在Win9X创建CD-ROM访问服务。
是否为系统进程: 否
cutftp.exe
进程文件: cutftp or cutftp.exe
进程名称: CuteFTP
描述: CuteFTP是一个流行的FTP客户端用于从FTP服务器上传/下载文件。
是否为系统进程: 否
defwatch.exe
进程文件: defwatch or defwatch.exe
进程名称: Norton AntiVirus
描述: Norton Anti-Virus扫描你的文件和email以检查病毒。
是否为系统进程: 否
devldr32.exe
进程文件: devldr32 or devldr32.exe
进程名称: Create Device Loader
描述: Creative Device Loader属于Create Soundblaster驱动。
是否为系统进程: 否
directcd.exe
进程文件: directcd or directcd.exe
进程名称: Adaptec DirectCD
描述: Adaptec DirectCD是一个用文件管理器式的界面,烧录文件到光盘的软件。
是否为系统进程: 否
dreamweaver.exe
进程文件: dreamweaver or dreamweaver.exe
进程名称: Macromedia DreamWeaver
描述: Macromedia DreamWeaver是一个HTML编辑器用于创建站点和其它类别的HTML文档。
是否为系统进程: 否
进程文件: [system process] or [system process]
进程名称: Windows内存处理系统进程
描 述: Windows页面内存管理进程,拥有0级优先。
介 绍:该进程作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。
(2)[alg.exe]
进程文件: alg or alg.exe
进程名称: 应用层网关服务
描 述: 这是一个应用层网关服务用于网络共享。
介 绍:一个网关通信插件的管理器,为 “Internet连接共享服务”和 “Internet连接防火墙服务”提供第三方协议插件的支持。
(3)[csrss.exe]
进程文件: csrss or csrss.exe
进程名称: Client/Server Runtime Server Subsystem
描 述: 客户端服务子系统,用以控制Windows图形相关子系统。
介 绍: 这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss用于维持Windows的控制,创建或者删除线程和一些16位的虚拟MS-DOS环境。
(4)[ddhelp.exe]
进程文件: ddhelp or ddhelp.exe
进程名称: DirectDraw Helper
描 述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。
简 介:Directx 帮助程序
(5)[dllhost.exe]
进程文件: dllhost or dllhost.exe
进程名称: DCOM DLL Host进程
描 述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。
介 绍:com代理,系统附加的dll组件越多,则dllhost占用的cpu资源和内存资源就越多,而8月的“冲击波杀手”大概让大家对它比较熟悉吧。
(6)[explorer.exe]
进程文件: explorer or explorer.exe
进程名称: 程序管理
描 述: Windows Program Manager或者Windows Explorer用于控制Windows图形Shell,包括开始菜单、任务栏,桌面和文件管理。
介 绍:这是一个用户的shell,在我们看起来就像任务条,桌面等等。或者说它就是资源管理器,不相信你在运行里执行它看看。它对windows系统的稳定性还是比较重要的,而红码也就是找它的麻烦,在c和d根下创建explorer.exe。
(7)[inetinfo.exe]
进程文件: inetinfo or inetinfo.exe
进程名称: IIS Admin Service Helper
描 述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用于Debug调试除错。
介绍:IIS服务进程,蓝码正是利用的inetinfo.exe的缓冲区溢出漏洞。
(8)[internat.exe]
进程文件: internat or internat.exe
进程名称: Input Locales
描 述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加载内容的。internat.exe 加载“EN”图标进入系统的图标区,允许使用者可以很容易的转换不同的输入点。当进程停掉的时候,图标就会消失,但是输入点仍然可以通过控制面板来改变。
介 绍:它主要是用来控制输入法的,当你的任务栏没有“EN”图标,而系统有internat.exe进程,不妨结束掉该进程,在运行里执行internat命令即可。
(9)[kernel32.dll]
进程文件: kernel32 or kernel32.dll
进程名称: Windows壳进程
描 述: Windows壳进程用于管理多线程、内存和资源。
介 绍:更多内容浏览非法操作与Kernel32解读
(10)[lsass.exe]
进程文件: lsass or lsass.exe
进程名称: 本地安全权限服务
描 述: 这个本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。
介 绍:这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个"AND"的请求,并发送给服务器,导致触发堆栈溢出,使Lsass.exe服务崩溃,系统在30秒内重新启动。
(11)[mdm.exe]
进程文件: mdm or mdm.exe
进程名称: Machine Debug Manager
描 述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft Script Editor脚本编辑器。
介 绍:Mdm.exe的主要工作是针对应用软件进行排错(Debug),说到这里,扯点题外话,如果你在系统见到fff开头的0字节文件,它们就是mdm.exe在排错过程中产生一些暂存文件,这些文件在操作系统进行关机时没有自动被清除,所以这些fff开头的怪文件里是一些后缀名为CHK的文件都是没有用的垃圾文件,可匀我馍境��换岫韵低巢��涣加跋臁6?X系统,只要系统中有Mdm.exe存在,就有可能产生以fff开头的怪文件。可以按下面的方法让系统停止运行Mdm.exe来彻底删除以fff开头的怪文件:首先按“Ctrl+Alt+Del”组合键,在弹出的“关闭程序”窗口中选中“Mdm”,按“结束任务”按钮来停止Mdm.exe在后台的运行,接着把Mdm.exe(在C:\Windows\System目录下)改名为Mdm.bak。运行msconfig程序,在启动页中取消对“Machine Debug Manager”的选择。这样可以不让Mdm.exe自启动,然后点击“确定”按钮,结束msconfig程序,并重新启动电脑。另外,如果你使用IE 5.X以上版本浏览器,建议禁用脚本调用(点击“工具→Internet选项→高级→禁用脚本调用”),这样就可以避免以fff开头的怪文件再次产生。
(12)[mmtask.tsk]
进程文件: mmtask or mmtask.tsk
进程名称: 多媒体支持进程
描 述: 这个Windows多媒体后台程序控制多媒体服务,例如MIDI。
介 绍:这是一个任务调度服务,负责用户事先决定在某一时间运行的任务的运行。
13)[mprexe.exe]
进程文件: mprexe or mprexe.exe
进程名称: Windows路由进程
描 述: Windows路由进程包括向适当的网络部分发出网络请求。
介 绍:这是Windows的32位网络界面服务进程文件,网络客户端部件启动的核心。印象中“A-311木马(Trojan.A-311.104)”也会在内存中建立mprexe.exe进程,可以通过资源管理结束进程。
(14)[msgsrv32.exe]
进程文件: msgsrv32 or msgsrv32.exe
进程名称: Windows信使服务
描 述: Windows信使服务调用Windows驱动和程序管理在启动。
介 绍:msgsrv32.exe 一个管理信息窗口的应用程序,win9x下如果声卡或者显卡驱动程序配置不正确,会导致死机或者提示msgsrv32.exe 出错。
(15)[mstask.exe]
进程文件: mstask or mstask.exe
进程名称: Windows计划任务
描 述: Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。
介 绍:计划任务,它通过注册表自启动。因此,通过计划任务程序实现自启动的程序在系统信息中看不到它的文件名,一旦把它从注册表中删除或禁用,那么通过计划任务启动的程序全部不能自动运行。win9X下系统启动就会开启计划任务,可以通过双击计划任务图标-高级-终止计划任务来停止它自启动。另外,攻击者在攻击过程中,也经常用到计划任务,包括上传文件、提升权限、种植后门、清扫脚印等。
(16)[regsvc.exe]
进程文件: regsvc or regsvc.exe
进程名称: 远程注册表服务
描 述: 远程注册表服务用于访问在远程计算机的注册表。
(17)[rpcss.exe]
进程文件: rpcss or rpcss.exe
进程名称: RPC Portmapper
描 述: Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。
介 绍:98它不是在装载解释器时或引导时启动,如果使用中有问题,可以直接在在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices添加"字符串值",定向到"C:\WINDOWS\SYSTEM\RPCSS"即可。
(18)[services.exe]
进程文件: services or services.exe
进程名称: Windows Service Controller
描 述: 管理Windows服务。
介 绍:大多数的系统核心模式进程是作为系统进程在运行。打开管理工具中的服务,可以看到有很多服务都是在调用%systemroot%\system32\service.exe
(19)[smss.exe]
进程文件: smss or smss.exe
进程名称: Session Manager Subsystem
描 述: 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。
简 介:这是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(就是挂起)。
(20)[snmp.exe]
进程文件: snmp or snmp.exe
进程名称: Microsoft SNMP Agent
描 述: Windows简单的网络协议代理(SNMP)用于监听和发送请求到适当的网络部分。
简 介:负责接收SNMP请求报文,根据要求发送响应报文并处理与WinsockAPI的接口。
(21)[spool32.exe]
进程文件: spool32 or spool32.exe
进程名称: Printer Spooler
描 述: Windows打印任务控制程序,用以打印机就绪。
(22)[spoolsv.exe]
进程文件: spoolsv or spoolsv.exe
进程名称: Printer Spooler Service
描 述: Windows打印任务控制程序,用以打印机就绪。
介 绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。
(23)[stisvc.exe]
进程文件: stisvc or stisvc.exe
进程名称: Still Image Service
描 述: Still Image Service用于控制扫描仪和数码相机连接在Windows。
(24)[svchost.exe]
进程文件: svchost or svchost.exe
进程名称: Service Host Process
描 述: Service Host Process是一个标准的动态连接库主机处理服务.
介 绍:Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。windows 2k一般有2个svchost进程,一个是RPCSS(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中,则一般有4个以上的svchost.exe服务进程,windows 2003 server中则更多。
(25)[taskmon.exe]
进程文件: taskmon or taskmon.exe
进程名称: Windows Task Optimizer
描 述: windows任务优化器监视你使用某个程序的频率,并且通过加载那些经常使用的程序来整理优化硬盘。
介 绍:任务管理器,它的功能是监视程序的执行情况并随时报告。能够监测所有在任务栏中以窗口方式运行的程序,可打开和结束程序,还可直接调出关闭系统对话框。
26)[tcpsvcs.exe]
进程文件: tcpsvcs or tcpsvcs.exe
进程名称: TCP/IP Services
描 述: TCP/IP Services Application支持透过TCP/IP连接局域网和Internet。
(27)[winlogon.exe]
进程文件: winlogon or winlogon.exe
进程名称: Windows Logon Process
描 述: Windows NT用户登陆程序。这个进程是管理用户登录和退出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了,显示安全对话框。
(28)[winmgmt.exe]
进程文件: winmgmt or winmgmt.exe
进程名称: Windows Management Service
描 述: Windows Management Service透过Windows Management Instrumentation data WMI)技术处理来自应用客户端的请求。
简 介:winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化。WinMgmt.exe(CIM对象管理器)和知识库(Repository)是WMI两个主要构成部分,其中知识库是对象定义的数据库,它是存储所有可管理静态数据的中心数据库,对象管理器负责处理知识库中对象的收集和操作并从WMI提供程序收集信息。WinMgmt.exe在Windows 2k/NT上作为一个服务运行,而在Windows 95/98上作为一个独立的exe程序运行。Windows 2k系统在某些计算机上出现的WMI错误可以通过安装Windows 2k SP2来修正。
(29)[system]
进程文件: system or system
进程名称: Windows System Process
描 述: Microsoft Windows系统进程。
介 绍:在任务管理器中会看到这项进程,属于正常系统进程。
系统进程就介绍到这里。
在Windows2k/XP中,以下进程是必须加载的:
smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe(可以同时存在多个)、spoolsv.exe、explorer.exe、System Idle Process;
在Windows 9x中,一下进程是必须加载的:
msgsrv32.exe、mprexe.exe、mmtask.tsk、kenrel32.dll。
第二类:
由于内容过多,需要查询,请按CTRL+F组合键,然后输入你要查找的字符串,点击“查找下一个”即可。
A——F
absr.exe
进程文件: absr or absr.exe
进程名称: Backdoor.Autoupder Virus
描述: 这个进程是Backdoor.Autoupder后门病毒程序创建的。
是否为系统进程: 否
acrobat.exe
进程文件: acrobat or acrobat.exe
进程名称: Adobe Acrobat
描述: Acrobat Writer用于创建PDF文档。
是否为系统进程: 否
acrord32.exe
进程文件: acrord32 or acrord32.exe
进程名称: Acrobat Reader
描述: Acrobat Reader是一个用于阅读PDF文档的软件。
是否为系统进程: 否
agentsvr.exe
进程文件: agentsvr or agentsvr.exe
进程名称: OLE automation server
描述: OLE Automation Server是Microsoft Agent的一部分。
是否为系统进程: 否
aim.exe
进程文件: aim or aim.exe
进程名称: AOL Instant Messenger
描述: AOL Instant Messenger是一个在线聊天和即时通讯IM软件客户端。
是否为系统进程: 否
airsvcu.exe
进程文件: airsvcu or airsvcu.exe
进程名称: Microsoft Media Manager
描述: OLE 这是一个用于在硬盘上建立索引文件和文件夹,在Microsoft Media Manager媒体管理启动时运行的进程。它可以在控制面板被禁用。
是否为系统进程: 否
alogserv.exe
进程文件: alogserv or alogserv.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用于扫描你的文档和E-mail中的病毒。
是否为系统进程: 否
avconsol.exe
进程文件: avconsol or avconsol.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用于扫描你的文档和E-mail中的病毒。
是否为系统进程: 否
avsynmgr.exe
进程文件: avsynmgr or avsynmgr.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用于扫描你的文档和E-mail中的病毒。
是否为系统进程: 否
backWeb.exe
进程文件: backWeb or backWeb.exe
进程名称: Backweb Adware
描述: Backweb是一个Adware(广告插件,一般是由于安装某些免费软件而伴随安装上的程序)来自Backweb Technologies。
是否为系统进程: 否
bcb.exe
进程文件: bcb or bcb.exe
进程名称: Borland C++ Builder
描述: Borland C++ Builder
是否为系统进程: 否
calc.exe
进程文件: calc or calc.exe
进程名称: Calculator
描述: Microsoft Windows计算器程序
是否为系统进程: 否
ccapp.exe
进程文件: ccapp or ccapp.exe
进程名称: Symantec Common Client
描述: Symantec公用应用客户端包含在Norton AntiVirus 2003和Norton Personal Firewall 2003。
是否为系统进程: 否
cdplayer.exe
进程文件: cdplayer or cdplayer.exe
进程名称: CD Player
描述: Microsoft Windows包含的CD播放器
是否为系统进程: 否
charmap.exe
进程文件: charmap or charmap.exe
进程名称: Windows Character Map
描述: Windows字符映射表用来帮助你寻找不常见的字符。
是否为系统进程: 否
idaemon.exe
进程文件: cidaemon or cidaemon.exe
进程名称: Microsoft Indexing Service
描述: 在后台运行的Windows索引服务,用于帮助你搜索文件在下次变得更快。
是否为系统进程:
cisvc.exe
进程文件: cisvc or cisvc.exe
进程名称: Microsoft Index Service Helper
描述: Microsoft Index Service Helper监视Microsoft Indexing Service (cidaemon.exe) 的内存占用情况,如果cidaemon.exe内存使用超过了40M,则自动重新启动该进程。
是否为系统进程: 否
cmd.exe
进程文件: cmd or cmd.exe
进程名称: Windows Command Prompt
描述: Windows控制台程序。不像旧的command.com,cmd.exe是一个32位的命令行使用在WinNT/2000/XP。
是否为系统进程: 否
cmesys.exe
进程文件: cmesys or cmesys.exe
进程名称: Gator GAIN Adware
描述: Gator GAIN是一个Adware插件(广告插件,一般是由于安装某些免费软件而伴随安装上的程序)。
是否为系统进程: 否
单纯伪系统木马还管用进程法,没用的,现在木马写入(嵌入)系统文件里,比如EXPLORER.EXE,随它一起启动,你总不能把他也终结了吧。
为什么我的电脑老是显示检测到可疑进程?
隔离可疑进程:如果您确定某个进程是恶意的或可能造成安全风险,您可以尝试隔离该进程。打开任务管理器(Ctrl + Shift + Esc),在"进程"选项卡中找到该进程,右键单击并选择"结束任务"。寻求专业帮助:如果您不确定如何处理可疑进程或怀疑系统已被感染,建议您联系专业的计算机安全团队或技术支持,寻求他们...
什么是可疑进程?怎么辨别啊?
介绍:这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP...
什么是可疑进程?怎样得到可疑进程的名字?
这个进程是不可以从任务管理器中关掉的。 大多数的系统核心模式进程是作为系统进程在运行。 System Idle Process 这个进程是不可以从任务管理器中关掉的。 这个进程是作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。 winlogon.exe 这个进程是管理用户登录和推出的。而且winlogon在用户按...
如何判断可疑程序?
如果发现某个进程不是以上两个用户名的,又和它们名字相同或相似,就是可疑进程了还有一些和你打开的程序没联系的也算是可疑的...一般进程有:(2000 & XP)smss.exe Session Manager csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理IP安全策略以及启动ISAKMP\/Oakl...
到底什么叫可疑进程?
����包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。以上这些进程都是对计算机运行起至关重要的,千万不要随意“杀掉”,否则可能直接影响系统的正常运行 一般的木马都会采取伪装成系统进程。以上面为准则注意区分下大小写就知道哪些是可疑进程。
建行考试监测到可疑进程怎么办
可以通过任务管理器或相关工具来结束进程。2、检查计算机安全:可疑进程可能是恶意软件或病毒的一部分。确保您的计算机上安装了可靠的安全软件,并进行全面的系统扫描以检测和清除任何恶意代码。3、联系技术支持:如果您无法确定可疑进程的性质或如何处理它,建议您联系建行或相关技术支持团队。他们可以提供更...
什么样的进程算是可疑的,我该怎么识别?
系统进程system process进程文件: [system process] or [system process]进程名称: Windows内存处理系统进程描述: Windows页面内存管理进程,拥有0级优先。是否为系统进程: 是 alg.exe进程文件: alg or alg.exe进程名称: 应用层网关服务描述: 这是一个应用层网关服务用于网络共享。是否为系统进程: 是csrss.exe进程...
怎样看进程 怎样分析可疑的进程
1):启动任务管理器,看其中是否有陌生进程,将它们记录下来,暂时别动它们。2):启动注册表编辑器,查看以下几个地方:(点击“开始”-“运行”输入regedit)看看启动表项里是否有可疑的程序:HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command看看是不是有exe文件关联型木马程序,正确的键值应该是:"%1"...
什么样的进程是可疑进程?
是在电脑任务栏进程里出现 不是系统文件的 狂占cpu的进程就是可以进程 比如 三个以上的 ieexpolor.exe
大家看下哪些是可疑的进程。
进程文件: ctfmon or ctfmon.exe 进程名称: Alternative User Input Services 描述: 控制Alternative User Input Text Processor (TIP)和Microsoft Office语言条。Ctfmon.exe提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。常见错误: N\/A 是否为系统进程: 否 CTFMON.EXE是Office自动加载的文字...
陈没晏达利: 一般来说下,在开机启动项不变的情况下,开机后任务管理器中的程序进程数是固定的,所以在平时要多注意观察一下其中的程序进程(最好是在未启动任何应用程序文件的时候),如果数量上突然有增加并且出现不熟悉的程序进程名的话,那就需要注意了,可以记下该进程的程序名,然后上网查询,判断该进程是否有问题(病毒、木马等?).这里推荐一个进程查询的网站给你:
治多县17214355053: 怎样看进程 怎样分析可疑的进程 - ?
陈没晏达利: 1):启动任务管理器,看其中是否有陌生进程,将它们记录下来,暂时别动它们. 2):启动注册表编辑器,查看以下几个地方:(点击“开始”-“运行”输入regedit) 看看启动表项里是否有可疑的程序: HKEY_CLASSES_ROOT\exefile\...
治多县17214355053: 什么样的进程是可疑进程? - ?
陈没晏达利: 不好说,你平时要熟悉一下正常的那些进程,一旦没见过的程序在运行你就可以发觉了. 然后搜索一下那个程序,属性里可以看到是什么公司发布的软件,如是空白的,那多半是非正常程序,很有可能是病毒程序.
治多县17214355053: 什么是可疑进程?例如??
陈没晏达利: 经常打开任务管理器观察,比如运行某个程序的时候,就会运行某个程序,那么就知道进程对应的程序. 但是光看进程是无法辨别该进程是否有问题的,可以输入进程名到网上查一下. 有些进程既是系统文件,也有可能是病毒文件,这些进程可能只相差一个字母,也可能进程名完全相同,即嵌入到了系统文件,或者有些病毒不同的路径下新建了同名文件. 需要借助一些软件,才方便查看. 金山清理专家中有个功能蛮好的,他是在用户选择该进程时,在右边显示出正常情况下该进程应该出现在那个文件夹,比较便于查看.
治多县17214355053: 如何识别运行进程里的可疑程序? - ?
陈没晏达利: 你可以先关掉所有正在运行的程序,打来任务管理器,然后跳到进程这项,找到用户名为“系统管理员”而且内存占用量大的那些就是的可疑程序
治多县17214355053: 如何查找可疑进程? - ?
陈没晏达利: 使用反注册命令就行:regsvr32.exe /u %system32\wbem\tfyea.dll",然后删除这个文件即可. 另外就是在启动项里去除相关的启动值. 一、运行“msconfig”,选择“启动”选项卡,找到相关项目将其禁运行. 二、打开注册表,展开“HKEY...
治多县17214355053: 怎样识别电脑里的可疑进程?一般有那些??
陈没晏达利: 下载360安全卫士-高级-系统全面诊断可以看出进程的路径以及描述 你上面的进程我看到了不该出现的 googlethhlbar.exe rundll32.exe MDM.exe 虽然上面几个都是系统进程,但平时不在进程表列里 除了这几个还有那个refreefolmserver.exe 这个可以去掉! 其他的都是常见的
治多县17214355053: 怎样从进程里查出可疑进程? - ?
陈没晏达利: 手动去识别来源的话,我提供点个人经验(不借助第三方软件,纯手动) 1,开始,执行,输入“CMD”,进入MSDOS窗体 2,运行“tasklist /svc”即可查看所有进程的服务状态(此时,尽量让这个cssrs.exe进程驻留任务管理器中) 3,找到...
治多县17214355053: 电脑的“任务进程”可疑的是怎么看的撒??
陈没晏达利: 开机按F8,在安全模式下进系统.Ctrl+Shift+Esc,调出任务管理器,记下里面的进程(在安全模式下只启动系统进程). 重启正常进系统.Ctrl+Shift+Esc,调出任务管理器,查看里面的进程,再与你记下的对比,多出来的就是开机启动的应用软件的进程,记下这些进程到网上查一下,看看都是啥.(病毒程序的进程一般都会开机自动启动)
治多县17214355053: 怎样判断可疑进程啊??
陈没晏达利: 这个得靠你平时的积累经验啊. 或者把进程的名称放到百度上一查就知道.
