科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>网络频道>ZD评测>Windows操作系统进程详细介绍

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

windows操作系统进程详细介绍。

来源:enet 2008年03月08日

关键字:Windows WindowsXP Windows Server 进程

   (10)[lsass.exe]

  进程文件: lsass or lsass.exe

  进程名称: 本地安全权限服务

  描 述: 这个本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。

  介绍:这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的 msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个"AND"的请求,并发送给服务器,导致触发堆栈溢出,使Lsass.exe服务崩溃,系统在30秒内重新启动。

  (11)[mdm.exe]

  进程文件: mdm or mdm.exe

  进程名称: Machine Debug Manager

  描 述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft Script Editor脚本编辑器。

  介绍:Mdm.exe的主要工作是针对应用软件进行排错(Debug),说到这里,扯点题外话,如果你在系统见到fff开头的0字节文件,它们就是 mdm.exe在排错过程中产生一些暂存文件,这些文件在操作系统进行关机时没有自动被清除,所以这些fff开头的怪文件里是一些后缀名为CHK的文件都是没有用的垃圾文件,可匀我馍境换岫韵低巢涣加跋臁6?X系统,只要系统中有Mdm.exe存在,就有可能产生以fff开头的怪文件。可以按下面的方法让系统停止运行Mdm.exe来彻底删除以fff开头的怪文件:首先按“Ctrl+Alt+Del”组合键,在弹出的“关闭程序”窗口中选中 “Mdm”,按“结束任务”按钮来停止Mdm.exe在后台的运行,接着把Mdm.exe(在C:WindowsSystem目录下)改名为 Mdm.bak。运行msconfig程序,在启动页中取消对“Machine Debug Manager”的选择。这样可以不让Mdm.exe自启动,然后点击“确定”按钮,结束msconfig程序,并重新启动电脑。另外,如果你使用IE 5.X以上版本浏览器,建议禁用脚本调用(点击“工具→Internet选项→高级→禁用脚本调用”),这样就可以避免以fff开头的怪文件再次产生。

  (12)[mmtask.tsk]

  进程文件: mmtask or mmtask.tsk

  进程名称: 多媒体支持进程

  描 述: 这个Windows多媒体后台程序控制多媒体服务,例如MIDI。

  介 绍:这是一个任务调度服务,负责用户事先决定在某一时间运行的任务的运行。

  (13)[mprexe.exe]

  进程文件: mprexe or mprexe.exe

  进程名称: Windows路由进程

  描 述: Windows路由进程包括向适当的网络部分发出网络请求。

  介 绍:这是Windows的32位网络界面服务进程文件,网络客户端部件启动的核心。印象中“A-311木马(Trojan.A-311.104)”也会在内存中建立mprexe.exe进程,可以通过资源管理结束进程。

  (14)[msgsrv32.exe]

  进程文件: msgsrv32 or msgsrv32.exe

  进程名称: Windows信使服务

  描 述: Windows信使服务调用Windows驱动和程序管理在启动。

  介 绍:msgsrv32.exe 一个管理信息窗口的应用程序,win9x下如果声卡或者显卡驱动程序配置不正确,会导致死机或者提示msgsrv32.exe 出错。

  (15)[mstask.exe]

  进程文件: mstask or mstask.exe

  进程名称: Windows计划任务

  描 述: Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。

  介绍:计划任务,它通过注册表自启动。因此,通过计划任务程序实现自启动的程序在系统信息中看不到它的文件名,一旦把它从注册表中删除或禁用,那么通过计划任务启动的程序全部不能自动运行。win9X下系统启动就会开启计划任务,可以通过双击计划任务图标-高级-终止计划任务来停止它自启动。另外,攻击者在攻击过程中,也经常用到计划任务,包括上传文件、提升权限、种植后门、清扫脚印等。

  (16)[regsvc.exe]

  进程文件: regsvc or regsvc.exe

  进程名称: 远程注册表服务

  描 述: 远程注册表服务用于访问在远程计算机的注册表。

  (17)[rpcss.exe]

  进程文件: rpcss or rpcss.exe

  进程名称: RPC Portmapper

  描 述: Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。

  介 绍:98它不是在装载解释器时或引导时启动,如果使用中有问题,可以直接在在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices添加"字符串值",定向到"C:WINDOWSSYSTEMRPCSS"即可。

  (18)[services.exe]

  进程文件: services or services.exe

  进程名称: Windows Service Controller

  描 述: 管理Windows服务。

  介 绍:大多数的系统核心模式进程是作为系统进程在运行。打开管理工具中的服务,可以看到有很多服务都是在调用%systemroot%system32service.exe
1)[system Idle Process]

  进程文件: [system process] or [system process]

  进程名称: Windows内存处理系统进程

  描 述: Windows页面内存管理进程,拥有0级优先。

  介 绍:该进程作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。

  (2)[alg.exe]

  进程文件: alg or alg.exe

  进程名称: 应用层网关服务

  描 述: 这是一个应用层网关服务用于网络共享。

  介 绍:一个网关通信插件的管理器,为 “Internet连接共享服务”和 “Internet连接防火墙服务”提供第三方协议插件的支持。

  (3)[csrss.exe]

  进程文件: csrss or csrss.exe

  进程名称: Client/Server Runtime Server Subsystem

  描 述: 客户端服务子系统,用以控制Windows图形相关子系统。

  介 绍: 这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss用于维持Windows的控制,创建或者删除线程和一些16位的虚拟MS-DOS环境。

  (4)[ddhelp.exe]

  进程文件: ddhelp or ddhelp.exe

  进程名称: DirectDraw Helper

  描 述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。

  简 介:Directx 帮助程序

  (5)[dllhost.exe]

  进程文件: dllhost or dllhost.exe

  进程名称: DCOM DLL Host进程

  描 述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。

  介 绍:com代理,系统附加的dll组件越多,则dllhost占用的cpu资源和内存资源就越多,而8月的“冲击波杀手”大概让大家对它比较熟悉吧。

  (6)[explorer.exe]

  进程文件: explorer or explorer.exe

  进程名称: 程序管理

  描 述: Windows Program Manager或者Windows Explorer用于控制Windows图形Shell,包括开始菜单、任务栏,桌面和文件管理。

  介 绍:这是一个用户的shell,在我们看起来就像任务条,桌面等等。或者说它就是资源管理器,不相信你在运行里执行它看看。它对windows系统的稳定性还是比较重要的,而红码也就是找它的麻烦,在c和d根下创建explorer.exe。

  (7)[inetinfo.exe]

  进程文件: inetinfo or inetinfo.exe

  进程名称: IIS Admin Service Helper

  描 述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用于Debug调试除错。

  介绍:IIS服务进程,蓝码正是利用的inetinfo.exe的缓冲区溢出漏洞。

  (8)[internat.exe]

  进程文件: internat or internat.exe

  进程名称: Input Locales

  描 述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置HKEY_USERS.DEFAULTKeyboard LayoutPreload 加载内容的。internat.exe 加载“EN”图标进入系统的图标区,允许使用者可以很容易的转换不同的输入点。当进程停掉的时候,图标就会消失,但是输入点仍然可以通过控制面板来改变。

  介 绍:它主要是用来控制输入法的,当你的任务栏没有“EN”图标,而系统有internat.exe进程,不妨结束掉该进程,在运行里执行internat命令即可。

  (9)[kernel32.dll]

  进程文件: kernel32 or kernel32.dll

  进程名称: Windows壳进程

  描 述: Windows壳进程用于管理多线程、内存和资源。

  介 绍:更多内容浏览非法操作与Kernel32解读
推广二维码
邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题