16、smss.exe系统进程介绍
　　[smss.exe]
　　
　　进程文件: smss or smss.exe
　　
　　进程名称: Session Manager Subsystem
　　
　　描　　述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。
　　
　　简　　介：这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（就是挂起）。



17、snmp.exe系统进程介绍
　　[snmp.exe]
　　
　　进程文件: snmp or snmp.exe
　　
　　进程名称: Microsoft SNMP Agent
　　
　　描　　述: Windows简单的网络协议代理（SNMP）用于监听和发送请求到适当的网络部分。
　　
　　简　　介：负责接收SNMP请求报文，根据要求发送响应报文并处理与WinsockAPI的接口。包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。



18、spool32.exe系统进程介绍
　　[spool32.exe]
　　
　　进程文件: spool32 or spool32.exe
　　
　　进程名称: Printer Spooler
　　
　　描　　述: Windows打印任务控制程序，用以打印机就绪。



19、spoolsv.exe系统进程介绍
　　[spoolsv.exe]
　　
　　进程文件: spoolsv or spoolsv.exe
　　
　　进程名称: Printer Spooler Service
　　
　　描　　述: Windows打印任务控制程序，用以打印机就绪。
　　
　　介　　绍：缓冲（spooler）服务是管理缓冲池中的打印和传真作业。
　　
　　Spoolsv.exe→打印任务控制程序，一般会先加载以供列表机打印前的准备工作
　　
　　Spoolsv.exe，如果常增高，有可能是病毒感染所致
　　
　　目前常见的是:
　　
　　Backdoor/Byshell(又叫隐形大盗、隐形杀手、西门庆病毒)
　　
　　危害程度:中
　　
　　受影响的系统: Windows 2000， Windows XP， Windows Server 2003
　　
　　未受影响的系统: Windows 95， Windows 98， Windows Me， Windows NT， Windows 3.x， Macintosh， Unix， Linux
　　
　　病毒危害:
　　
　　1. 生成病毒文件
　　
　　2. 插入正常系统文件中
　　
　　3. 修改系统注册表
　　
　　4. 可被黑客远程控制
　　
　　5. 躲避反病毒软件的查杀
　　
　　简单的后门木马，发作会删除自身程序，但将自身程序套入可执行程序内(如:exe)，并与计算机的通口(TCP端口138)挂钩，监控计算机的信息、密码，甚至是键盘操作，作为回传的信息，并不时驱动端口，以等候传进的命令，由于该木马不能判别何者是正确的端口，所以负责输出的列表机也是其驱动对象，以致Spoolsv.exe的使用异常频繁......
　　
　　Backdoor.Win32.Plutor
　　
　　破坏方法:感染PE文件的后门程序
　　
　　病毒采用VC编写。
　　
　　病毒运行后有以下行为:
　　
　　1、将病毒文件复制到%WINDIR%目录下，文件名为"；Spoolsv.exe"；，并该病毒文件运行。"；Spoolsv.exe"；文件运行后释放文件名为"；mscheck.exe"；的文件到%SYSDIR%目录下，该文件的主要功能是每次激活时运行"；Spoolsv.exe"；文件。如果所运行的文件是感染了正常文件的病毒文件，病毒将会把该文件恢复并将其运行。
　　
　　2、修改注册表以下键值:
　　
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
　　
　　增加数据项:"；Microsoft Script Checker"； 数据为:"；MSCHECK.EXE /START"；
　　
　　修改该项注册表使"；MSCHECK.EXE"；文件每次系统激活时都将被运行，而"；MSCHECK.EXE"；用于运行"；Spoolsv.exe"；文件，从而达到病毒自激活的目的。
　　
　　3、创建一个线程用于感染C盘下的PE文件，但是文件路径中包含"；winnt"；、"；Windows"；字符串的文件不感染。另外，该病毒还会枚举局域网中的共享目录并试图对这些目录下的文件进行感染。该病毒感染文件方法比较简单，将正常文件的前0x16000个字节替换为病毒文件中的数据，并将原来0x16000个字节的数据插入所感染的文件尾部。
　　
　　4、试图与局域网内名为"；admin"；的邮槽联系，创建名为"；client"；的邮槽用于接收其控制端所发送的命令，为其控制端提供以下远程控制服务:
　　
　　显示或隐藏指定窗口、屏幕截取、控制CDROM、关闭计算器、注销、破坏硬盘数据。

20、stisvc.exe系统进程介绍
　　[stisvc.exe]
　　
　　进程文件: stisvc or stisvc.exe
　　
　　进程名称: Still Image Service
　　
　　描　　述: Still Image Service用于控制扫描仪和数码相机连接在Windows。主要用于控制连接到你电脑上的扫描仪和数码相机。如果停用这个服务，那么大部分扫描仪和数码相机可能无法工作。因为它们的驱动程序往往和这个服务紧密结合。有网友报告HP的扫描仪驱动程序会导致StiSvc进程占用99％的CPU资源，因此，如果你在使用HP扫描仪进行扫描时，系统突然变得非常慢，最好下载、安装其最新的驱动程序。 如果这样还不能解决问题，就得先卸载驱动程序，然后停用这个服务，接着重启电脑，重装驱动程序即可。当然，如果不经常使用扫描仪或数码相机，也可以将其设置为“手动”或“已禁用”。



21、svchost.exe系统进程介绍
　　[svchost.exe]
　　
　　进程文件: svchost or svchost.exe
　　
　　进程名称: Service Host Process
　　
　　描　　述: Service Host Process是一个标准的动态连接库主机处理服务.
　　
　　介　　绍：Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务，以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。windows 2k一般有2个svchost进程，一个是RPCSS（Remote Procedure Call）服务进程，另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中，则一般有4个以上的svchost.exe服务进程，windows 2003 server中则更多。
　　
　　剖析进程中SVCHOST的作用和原理
　　
　　全面了解系统中 svchost.exe 文件
　　
　　Windows系统安全 Svchost进程揭秘
　　
　　深入揭开Svchost.exe进程之谜
　　
　　创建SvcHost.exe调用的服务原理与实践
　　
　　系统进程中Svchost.exe的作用

22、taskmon.exe系统进程介绍
　　[taskmon.exe]
　　
　　进程文件: taskmon or taskmon.exe
　　
　　进程名称: Windows Task Optimizer
　　
　　描　　述: windows任务优化器监视你使用某个程序的频率，并且通过加载那些经常使用的程序来整理优化硬盘。
　　
　　介　　绍：任务管理器，它的功能是监视程序的执行情况并随时报告。能够监测所有在任务栏中以窗口方式运行的程序，可打开和结束程序，还可直接调出关闭系统对话框。
　　
　　伪装成taskmon.exe进程的诺维格（Worm.Novarg）病毒手工清除方法
　　
　　1、终止恶意程序:
　　
　　打开Windows任务管理器.
　　
　　在Windows95/98/ME系统中， 按CTRL+ALT+DELETE
　　
　　在Windows NT/2000/XP 系统中，按CTRL+SHIFT+ESC，然后点击进程选项卡。
　　
　　在运行程序列表中，找到进程: taskmon.exe
　　
　　选择恶意程序进程，然后点击结束任务或结束进程按钮（取决于Windows的版本)。
　　
　　为了检查恶意程序是否被终止，关掉任务管理器，然后再打开。
　　
　　关掉任务管理器。
　　
　　*注意: 在运行Windows95/98/ME的系统中，任务管理器可能不会显示某一进程。可以使用其他进程查看器来终止恶意程序进程。否则，继续处理下面的步骤，注意附加说明。
　　
　　2、删除注册表中的自启动项目:
　　
　　从注册表中删除自动运行项目来阻止恶意程序在启动时执行。
　　
　　打开注册表编辑器: 点击开始>运行，输入REGEDIT，按Enter
　　
　　在左边的面板中，双击:
　　
　　HKEY_CURRENT_USER>Software>Microsft>Windows>CurrentVersion>Run
　　HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
　　
　　在右边的面板中，找到并删除如下项目:
　　
　　TaskMon = %System%\taskmon.exe
　　
　　*注意: %System%是Windows的系统文件夹，在Windows 95，98，和ME系统中通常是 C:\Windows\System，在WindowsNT和2000系统中是:WINNT\System32，在Windows XP系统中是C:\Windows\System32。
　　
　　*注意: 如果不能按照上述步骤终止在内存中运行的恶意进程，请重启系统。
　　
　　3、删除注册表中的其他恶意项目
　　
　　如下是删除注册表中其他恶意项目的说明。
　　
　　仍旧在注册表编辑器中，在菜单条中点击编辑>查找，在文本领域中输入"ComDlg32"，点击查找下一个。
　　
　　当像如下键值出现时，删除键值和数据:
　　
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer
　　\ComDlg32\Version
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
　　\ComDlg32\Version
　　
　　关闭注册表编辑器。

23、tcpsvcs.exe系统进程介绍
　　[tcpsvcs.exe]
　　
　　进程文件: tcpsvcs or tcpsvcs.exe
　　
　　进程名称: TCP/IP Services
　　
　　描　　述: TCP/IP Services Application支持透过TCP/IP连接局域网和Internet。提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional的能力。



24、winlogon.exe系统进程介绍
　　[winlogon.exe]
　　
　　进程文件: winlogon or winlogon.exe
　　
　　进程名称: Windows Logon Process
　　
　　描　　述: Windows NT用户登陆程序。这个进程是管理用户登录和退出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了，显示安全对话框。这个进程处理登录和注销任务，事实上，这个进程是必需的，它的大小和你登录的时间有关系，我曾亲眼看见这个进程占用空间的波动情况，一个是登录一个小时左右，内存在1.2MB到8.5MB之间波动；另一个是登录了40多天，内存在1.7MB到17MB之间波动。wowexec.exe当你运行一些老的应用程序（比如一些16位的程序）或者DOS控制台下运行DOS命令行程序，你就会在进程里面发现它。



25、winmgmt.exe系统进程介绍
　　[winmgmt.exe]
　　
　　进程文件: winmgmt or winmgmt.exe
　　
　　进程名称: Windows Management Service
　　
　　描　　述: Windows Management Service透过Windows Management Instrumentation data WMI)技术处理来自应用客户端的请求。
　　
　　简　　介：winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化。WinMgmt.exe（CIM对象管理器）和知识库（Repository）是WMI两个主要构成部分，其中知识库是对象定义的数据库，它是存儲所有可管理静态数据的中心数据库，对象管理器负责处理知识库中对象的收集和操作并从WMI提供程序收集信息。WinMgmt.exe在Windows 2k/NT上作为一个服务运行，而在Windows 95/98上作为一个独立的exe程序运行。Windows 2k系统在某些计算机上出现的WMI错误可以通过安装Windows 2k SP2來修正。



26、system系统进程介绍
　　[system]
　　
　　进程文件: system or system
　　
　　进程名称: Windows System Process
　　
　　描　　述: Microsoft Windows系统进程。
　　
　　介　　绍：在任务管理器中会看到这项进程，属于正常系统进程。

没人看完？？

附件: 系统各进程详解1.rar (2008-8-11 16:01:59, 24.25 K)
该附件被下载次数 162