| 枫林在线论坛>>信息安全 [普通模式] [上一主题] [下一主题] |
| [179085] 主题: Win2000的基本进程说明 |
| 作者: wwill. |
标题:  Win2000的基本进程说明[转载] |
|
| 昵称: wwill. |
来自: 202.194.*.* 
|
|
| 经验值: 0 | 发贴时间: 2004年03月26日 07:41:53 | |
| 等级: 新手上路 | 长度: 8657字 | |
|
发信人:wwill.bbs@bbs.sdu.edu.cn (5feng),信区:cn.bbs.comp.security 标 题:Win2000的基本进程说明 发信站:泉韵心声 转信站:LeafOK!netnews.sdu.edu.cn!SDU svchost.exe svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。 svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候,svchos t. exe 检查注册表中的位置来构建需要加载的服务列表。这就会使多个svchost.exe在同一时间 运 行每个svchost.exe 的回话期间都包含一组服务,以至于单独的服务必须依靠svchost.exe怎样和在那里启动 。 这样就更加容易控制 和查找错误。svchost.exe 组是用下面的注册表值来识别。 hkey_local_machine\software\microsoft\windows nt\currentversion\svchost 每个在这个键下的值代表一个独立的svchost组,并且当你正在看活动的进程时,它显示 作 为一个单独的例子。 每个键值都是reg_multi_sz类型的值而且包括运行在svchost组内的服务。 每个svchost组都包含一个或多个从注册表值中选取的服务名,这个服务的参数值包含了 一 个servicedll值。 hkey_local_machine\system\currentcontrolset\services\service 更多的信息为了能看到正在运行在svchost列表中的服务。 开始-运行-敲入cmd 然后在敲入 tlist -s (tlist 应该是win2k工具箱里的冬冬) tlist 显示一个活动进程的列表。开关 -s 显示在每个进程中的活动服务列表。如果想 知 道更多的关于进程的 信息,可以敲 tlist pid。 tlist 显示svchost.exe运行的两个例子。 0 system process 8 system 132 smss.exe 160 csrss.exe title: 180 winlogon.exe title: netdde agent 208 services.exe svcs: appmgmt,browser,dhcp,dmserver,dnscache,eventlog,lanmanserver,lanmanwor ks tation,lmhosts,messenger ,plugplay,protectedstorage,seclogon,trkwks,w32time,wmi 220 lsass.exe svcs: netlogon,policyagent,samss 404 svchost.exe svcs: rpcss 452 spoolsv.exe svcs: spooler 544 cisvc.exe svcs: cisvc 556 svchost.exe svcs: eventsystem,netman,ntmssvc,rasman,sens,tapisrv 580 regsvc.exe svcs: remoteregistry 596 mstask.exe svcs: schedule 660 snmp.exe svcs: snmp 728 winmgmt.exe svcs: winmgmt 852 cidaemon.exe title: olemainthreadwndname 812 explorer.exe title: program manager 1032 osa.exe title: reminder 1300 cmd.exe title: d:\winnt5\system32\cmd.exe - tlist -s 1080 mapisp32.exe title: wms idle 1264 rundll32.exe title: 1000 mmc.exe title: device manager 1144 tlist.exe 在这个例子中注册表设置了两个组。 hkey_local_machine\software\microsoft\windows nt\currentversion\svchost: netsvcs: reg_multi_sz: eventsystem ias iprip irmon netman nwsapagent rasauto rasman remoteaccess sens sharedaccess tapisrv ntmssvc rpcss :reg_multi_sz: rpcss smss.exe csrss.exe 这个是用户模式win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基 本 的子系统必须一直运行。 csrss 负责控制windows,创建或者删除线程和一些16位的虚拟ms-dos环境。 explorer.exe 这是一个用户的shell(我实在是不知道怎么翻译shell),在我们看起来就像任务条, 桌 面等等。这个进程并不是 像你想象的那样是作为一个重要的进程运行在windows中,你可以从任务管理器中停掉它 , 或者重新启动。通常不会 对系统产生什么负面影响。 internat.exe 这个进程是可以从任务管理器中关掉的。 internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从 注 册表的这个位置 hkey_users\.default\keyboard layout\preload 加载内容的。internat.exe 加载&qu ot;en"图 标进入系统的图标区, 允许使用者可以很容易的转换不同的输入点。当进程停掉的时候,图标就会消失,但是 输 入点仍然可以通过控制面板 来改变。 lsass.exe 这个进程是不可以从任务管理器中关掉的。 这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程 。 这个进程是通过使用授权 的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入 令 牌,令牌别使用启动初始 的shell。其他的由用户初始化的进程会继承这个令牌的。 mstask.exe 这个进程是不可以从任务管理器中关掉的。 这是一个任务调度服务,负责用户事先决定在某一时间运行的任务的运行。 smss.exe 这个进程是不可以从任务管理器中关掉的。 这是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且 对 许多活动的,包括已经正 在运行的winlogon,win32(csrss.exe)线程和设定的系统变量作出反应。在它启动这 些 进程后,它等待winlogon 或者csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事 情 ,smss.exe就会让系统 停止响应(就是挂起)。 spoolsv.exe 这个进程是不可以从任务管理器中关掉的。 缓冲(spooler)服务是管理缓冲池中的打印和传真作业。 service.exe 这个进程是不可以从任务管理器中关掉的。 大多数的系统核心模式进程是作为系统进程在运行。 system idle process 这个进程是不可以从任务管理器中关掉的。 这个进程是作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理 器 的时间。 taskmagr.exe 这个进程是可以在任务管理器中关掉的。 这个进程就是任务管理器。 winlogon.exe 这个进程是管理用户登录和推出的。而且winlogon在用户按下ctrl+alt+del时就激活了 , 显示安全对话框。 winmgmt.exe winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他 本 身的服务时这个进程初始化。 补充一份简单介绍清单: smss.exe session manager csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 ip 安全策略以及启动 isakmp/oakley (ike) 和 ip 安全驱动程序。( 系 统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) svchost.exe 包含很多系统服务 svchost.exe spoolsv.exe 将文件加载到内存中以便迟后打印。(系统服务) explorer.exe 资源管理器 internat.exe 托盘区的拼音图标 附加的系统进程(这些进程不是必要的,你可以根据需要通过服务管理器来增加或减少 ) : mstask.exe 允许程序在指定时间运行。(系统服务) regsvc.exe 允许远程注册表操作。(系统服务) winmgmt.exe 提供系统管理信息(系统服务)。 inetinfo.exe 通过 internet 信息服务的管理单元提供 ftp 连接和管理。(系统服务) tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务) 允许通过 internet 信息服务的管理单元管理 web 和 ftp 服务。(系统服务) tftpd.exe 实现 tftp internet 标准。该标准不要求用户名和密码。远程安装服务的一 部 分。(系统服务) termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 windows 2000 professional 桌 面会话以及运行在服务器上的基 于 windows 的程序。(系统服务) dns.exe 应答对域名系统(dns)名称的查询和更新请求。(系统服务) 以下服务很少会用到,上面的服务都对安全有害,如果不是必要的应该关掉 tcpsvcs.exe 提供在 pxe 可远程启动客户计算机上远程安装 windows 2000 professio na l 的能力。(系统服务) 支持以下 tcp/ip 服务:character generator, daytime, discard, echo, 以及 quot e of the day。(系统服务) ismserv.exe 允许在 windows advanced server 站点间发送和接收消息。(系统服务) ups.exe 管理连接到计算机的不间断电源(ups)。(系统服务) wins.exe 为注册和解析 netbios 型名称的 tcp/ip 客户提供 netbios 名称服务。(系 统 服务) llssrv.exe license logging service(system service) ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务) rssub.exe 控制用来远程储存数据的媒体。(系统服务) locator.exe 管理 rpc 名称服务数据库。(系统服务) lserver.exe 注册客户端许可证。(系统服务) dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务) clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。(系统服务 ) msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务 保 护资源管理器。(系统服务) faxsvc.exe 帮助您发送和接收传真。(系统服务) cisvc.exe indexing service(system service) dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务) mnmsrvc.exe 允许有权限的用户使用 netmeeting 远程访问 windows 桌面。(系统服务 ) netdde.exe 提供动态数据交换 (dde) 的网络传输和安全特性。(系统服务) smlogsvc.exe 配置性能日志和警报。(系统服务) rsvp.exe 为依赖质量服务(qos)的程序和控制应用程序提供网络信号和本地通信控制安 装 功能。(系统服务) rseng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务) rsfsa.exe 管理远程储存的文件的操作。(系统服务) grovel.exe 扫描零备份存储(sis)卷上的重复文件,并且将重复文件指向一个数据存储 点 ,以节省磁盘空间。(系统服务) scardsvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服 务 ) snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统 服 务) snmptrap.exe 接收由本地或远程 snmp 代理程序产生的陷阱消息,然后将消息传递到运 行 在这台计算机上 snmp 管理程序 。(系统服务) utilman.exe 从一个窗口中启动和配置辅助工具。(系统服务) msiexec.exe 依据 .msi 文件中包含的命令来安装、 -- 山大奇迹:0.97d版,经验600倍(50转),来电就开服务器 服务器地址:211.87.212.215,端口:44405 注册及客户端下载页面:211.87.212.245,测试期结束,无需QQ激活 联系QQ:120106880,希望能长期开放下去,期望大家的支持! ※ 来源:.泉韵心声 http://bbs.sdu.edu.cn [FROM: 211.87.212.215] |
||
|
========== * * * * * ==========
|
| 作者: leonid. |
标题: Re: Win2000的基本进程说明
|
|
| 昵称: leonid. |
来自: 202.194.*.*
|
|
| 经验值: 0 | 发贴时间: 2004年03月26日 12:07:22 | |
| 等级: 新手上路 | 长度: 1486字 | |
|
发信人:leonid.bbs@bbs.sdu.edu.cn (紫色幽灵),信区:cn.bbs.comp.security 标 题:Re: Win2000的基本进程说明 发信站:泉韵心声 转信站:LeafOK!netnews.sdu.edu.cn!SDU 好文~ 【 在 xback 的大作中提到: 】 : svchost.exe : svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。 : svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候,svch .. : exe : 检查注册表中的位置来构建需要加载的服务列表。这就会使多个svchost.exe在同一 |
||
|
========== * * * * * ==========
|
 Top
|
||