2000和XP的系统进程
操作系统 Windows 2000XP操作系统
实验一 Windows 2000/XP操作系统专业班级:学号:姓名:教师评分:实验项目名称:Windows 2000/XP操作系统一、实验目的和要求目的:对Windows 2000/XP操作系统中中断处理的机制与过程进行验证。
要求:在学习操作系统中断处理原理的基础上,了解Windows 2000/XP系统中各中断请求的分级与屏蔽,了解Windows 2000/XP系统的硬件中断处理过程,了解Windows 2000/XP 系统中系统服务调度的过程。
二、实验环境1、PC兼容机2、Windows2000/XP系统三、实验预习1、实验原理Windows 2000/XP采用基于对象的技术来设计系统,提出了客户/服务器系统结构,该结构在纯内核结构的基础上做了一些扩展,它融合了层次式结构和纯微内核结构的特点。
对操作系统影响很大的组件放在内核下运行,而其他一些功能则在内核外实现。
2、实验准备(实验内容;实验问题设计或源代码编写)①、了解所用系统的常规属性,计算机名及所在工作组。
②、使用Windows 2000/XP任务管理器,对应用程序、进程、性能、联网等方面进行查看和管理。
③、使用Windows 2000/XP系统性能监视器,跟踪内存、硬盘、CPU、缓存、文件系统、网络等方面的性能。
四、实验操作过程及实验结果记录1、查看系统的常规属性①、选择我的电脑单击鼠标右键,选择“属性”打开“系统属性”对话框;、②、选择“常规”选项卡,查看系统常规属性;③、选择“计算机名”选项卡查看计算机名及所在工作组。
2、使用Windows 2000/XP任务管理器,对应用程序、进程、性能、联网等方面进行查看和管理。
①、用“Ctrl”+“A1t”+“Delete”(或“Ctrl”+“Shift”+“Esc”)组合键打开任务管理器。
观察任务管理器下方的状态栏,察看当前运行的进程总数、CPU的占有率以及提交更改的信息。
②、选择“应用程序”选项卡,观察当前正在运行的应用程序以及它们的状态。
电脑启动过程详解
电脑从按完开关加电开始直到进入到系统桌面的整个过程详解本文以Windows2000/xp和Windows Vista/7两个内核做讲解电脑从加电到进桌面可以分为两大部分:无论是Windows2000/XP还是Windows Vista/7,在硬件自检方面都是想同的,不同的是在系统加截。
硬件部分:在讲解前,我们先来了解几个概念:BIOS:即“Basic Input/Output System”(基本输入输出系统),它是一组被“固化”在计算机主板上的一块 ROM 中直接关联硬件的程序,保存着计算机最重要的基本输入输出的程序、系统设置信息、开机后自检程序和系统自启动程序,其主要功能是为计算机提供最底层的、最直接的硬件设置和控制,它包括系统 BIOS(主板 BIOS).其它设备 BIOS(例如 IDE 控制器 BIOS、显卡 BIOS 等)其中系统 BIOS 占据了主导地位.计算机启动过程中各个 BIOS 的启动都是在它的控制下进行的。
CMOS:即“Complementary Metal-Oxide-Semiconductor”(互补金属氧化物半导体),它本是计算机系统内一种重要的芯片,保存了系统引导最基本的资料。
内存地址:我们知道,内存空间的最基本单位是位,8 位视为一个字节,即我们常用的单位 B,内存中的每一个字节都占有一个地址(地址是为了让 CPU 识别这些空间,是按照 16 进制表示的),而最早的 8086 处理器只能识别 1MB(2 的 20 次方 B)的空间,这 1MB 内存中低端(即最后面)的 640KB 就被称为基本内存,而剩下的内存(所有的)则是扩展内存。
这 640KB 的空间分别由显存和各 BIOS 所得。
我们来看一下硬件部分的流程图:我们从上图可以看到,在按下电源到启动操作系统前的过程是这样的:1、当电源开关按下时,电源开始向主板和其他设备供电,此时电压并不稳定,于是,当主板认为电压并没有达到 CMOS 中记录的 CPU 的主频所要求的电压时,就会向 CPU 发出 RESET 信号(即复位,不让 CPU 进一步运行),不过仅一瞬间不稳定的电压就能达到符合要求的稳定值,此时复位信号撤销,CPU 马上从基本内存的 BIOS 段读取一条跳转指令,跳转到 BIOS 的真正启动代码处,如此,系统 BIOS 启动,此后的过程都由系统 BIOS 控制。
winds任务管理器常见进程
看是不是病毒要综合的看,cpu的占用是否合理,像svchost,xp就有4个以上,而想explorer就只能有一个,多了就有问题了.有时候病毒制造者会把英文的”o”和数字的”0”上做文章,相似的字母和数字也要注意,如果是数字和字母对换那就100%有鬼。
12.taskmgr.exe 任务管理器进程。
10.csrss.exe 子系统服务器进程
11.winlogon.exe 管理用户登录
12.services.exe 包含很多系统服务
13.lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务)
14.SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)
zhudongfangyu.exe,是主动防御的拼写,360进程。
360rp/360rps是360杀毒进程。
360tray,360进程。
safeboxtray.exe,360保险箱进程。
nvsvc32,显卡驱动进程。
以上进程不建议关闭。
taskmgr.exe,任务管理器进程,可以结束进程。
此外还有:symlcsvc,SNDSrvc,ccsetmgr,npfmntor。
22.ishare_user 这个进程是什么?用校园网的同学都有这个进程,它是 宽带登录客户端的进程。
23.TIMPlatform.exe 用QQ的用户一定有它,不用担心它是QQ的一个进程TIMPlatform.exe是QQ和Tencent Messenger共同使用的外部应用开发接口管理程序。
17.winlogon winlogon.exe 这个进程是管理用户登录和退出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了,显示安全对话框,当然你也可以从这个进程中获得当前用户的登入密码。
Windows(2000/XP)下隐藏进程的检测机制
E R C S 结 构 含 有 2 个 重 要 的 成 员变 量 Pb 和 P O ES c
A t e rc s ik。P b是 K R C S ci Poes ns c v L P O E S类型 的结构 ,这个结
侵技 术出现较 晚 ,针对其 的反隐藏技术仍处于探索阶段 。目
前的防护工具 很难 发现这些 入侵程序 ,严重地影响了系统的
文章编号:l1 48 06 o枷 9一 l Io 2( 0) . 5一2 文 H —3 2 2 献标识 码:A
中 圈分类号: P1 T 36
Wid ws 0 0XP 下 n o ( 0 / ) 隐藏 进程 的检 测机 制 2
王辟峰 ,董亮卫
( 电子科技大学计算机学院 ,成都 6 0 5 ) 10 4
LI ST
手段之一 ,如 比较著名的 f okt ur ti o ,它是一种最新流行的后 门工具,入侵者利 用它来隐藏 自身 的运行实例 。由于这种 入
B T mae i N me1】 表进 程名 ,进 程名 最多 只能 有 1 Y E I gFl a [6;,代 e 6
个 字节 ,
】 P OCE S P P O S , P E R CE S ER S , E R CE S P P O S ;
[ b tat A src|W i h e e p n f o ue c n lg ,aeysmemaiiu o euetela f id ws 0 0X ) enl eint ie t ted vl me t mp treh oo y ltl o l o s d s ko n o ( 0 / P kre d s hd h o oc t c c h e W 2 g o
me h n s o a t n l r e s s t c i n a d d s ac e . c a im ft di o a o s e e t n ip th r r i pc de o
常用Windows任务管理器进程详细讲解
【Ldle】:如果你在“任务管理器”看到它显示99%的占用率,千万不要害怕,实际上这是好事,因为这表示你的计算机目前有99%的性能等待你使用!这是关键进程,不能结束。该进程只有16KB的大小,循环统计CPU的空闲度。
【IEXPLORE】:这才是IE浏览器。当我们用它上网冲浪时,它占有7.3MB甚至更多的内存。当然,这个随着打开的浏览器窗口的增加而增多。但当关闭所有IE窗口时,它并不会从任务管理器消失,IEXPLORE.EXE依然在后台运行着,它的作用是加快我们再一次打开IE的速度。
【taskmgr】:如果你看到了这个进程在运行,其实就是内存,当你优化系统时,不要忘了把它也算进去。
【Winlogon】:这个进程处理登录和注销任务,事实上,这个进程是必需的,它的大小和你登录的时间有关系,我曾亲眼看见这个进程占用空间的波动情况,一个是登录一个小时左右,内存在1.7MB到8.5MB之间波动;另一个登录了40多天,内存在1.7MB到17MB之间波动。
【explorer】:这可不是Internet Explorer,explorer.exe总是在后台运行,它控制着标准的用户界面、进程、命令和桌面等,如果打开“任务管理器”,就会看到一个explorer.exe在后台运行。根据系统的字体、背景图片、活动桌面等情况的不同,通常会消耗5.8MB到36MB内存不等。
【msmsgs】:这是微软的Windows Messengr(即时通信软件)着名的MSN进程,在WinXP的家庭版和专业版里面绑定的,如果你还运行着Outlook和MSN Explorer等程序,该进程会在后台运行支持所有这些微软号称的很Cool的,NET功能等新技术。
【Promon】:这是Intel系列显卡安装的程序,在任务栏显示图标控制程序,占据大约656KB到1.1MB的内存。
全国自考操作系统(Windows操作系统)模拟试卷1(题后含答案及解析)
全国自考操作系统(Windows操作系统)模拟试卷1(题后含答案及解析)题型有:1. 单项选择题 3. 填空题 4. 简答题 6. 判断题单项选择题1.下列操作系统中,能作为服务器的操作系统是_______。
A.Ms-DOSB.Windows 3.XC.Windows NTD.Windows 98正确答案:C 涉及知识点:Windows操作系统2.在Windows 2000中,只有_______状态的线程才能被切换成运行状态,占用处理器执行。
A.备用B.就绪C.等待D.转换正确答案:A 涉及知识点:Windows操作系统3.Windows 2000/XP线程调度采用的是_______调度算法。
A.先来先服务B.静态优先级C.可抢占的时间片轮转D.可抢占的动态优先级正确答案:D 涉及知识点:Windows操作系统填空题4.Windows NT系统的设计包括一个运行于_______模式下的执行模块,由执行模块提供进入系统的唯一入口。
正确答案:特权处理器涉及知识点:Windows操作系统5.Windows 2000/XP的内存管理器的V AD按照_______方式组织信息以提高查找效率。
正确答案:自平衡二叉树涉及知识点:Windows操作系统6.在Windows NT客户机/服务器模型中,作为服务器的文件管理进程在_______模式下运行。
正确答案:用户涉及知识点:Windows操作系统7.Windows 2000/XP的设计充分融合了_______、_______和_______操作系统的特点。
正确答案:分层操作系统、客户/服务器、微内核涉及知识点:Windows操作系统8.Windows 2000/XP的内存管理器采用_______页面调度算法。
正确答案:请求式涉及知识点:Windows操作系统9.Windows 7提供以_______为中心的服务。
正确答案:用户涉及知识点:Windows操作系统10.Windows I/O系统的数据结构包括_______、_______、_______和_______。
开机时Windows XP系统 常见进程列表
开机时Windows XP系统常见进程列表我们在开机之前经常会发现一些Windows XP系统常见进程列表问题,而这些问题一个怎么解决?下面我们将一一为你解答!(1) notepad.exe是windows自带的记事本程序。
是windows默认用来打开和编辑文本文件的程序。
(2)realplay.exe是Real Networks公司相关程序,Real Player用于播放视频文件,例如MPEG和AVI。
(3)services.exe是微软windows操作系统的一部分。
用于管理启动和停止服务。
该进程也会处理在计算机启动和关机时运行的服务。
这个程序对你系统的正常运行是非常重要的。
注意:services也可能是w32.randex.r(储存在%systemroot%\system32\目录)和sober.p (储存在%systemroot%\connection wizard\status\目录)木马。
该木马允许攻击者访问你的计算机,窃取密码和个人数据。
该进程的安全等级是建议立即删除.(4)smss.exe是微软windows操作系统的一部分。
该进程调用对话管理子系统和负责操作你系统的对话。
这个程序对你系统的正常运行是非常重要的。
注意:smss.exe也可能是dex.a木马。
该木马允许攻击者访问你的计算机,窃取密码和个人数据。
请注意此进程所在的文件夹,正常的进程应该是在windows的system32和servicepackfiles\i386下面.(5)spoolsv.exe用于将windows打印机任务发送给本地打印机。
注意:spoolsv.exe也有可能是backdoor.ciadoor.b木马。
该木马允许攻击者访问你的计算机,窃取密码和个人数据。
请注意此进程所在的文件夹,正常的进程应该是在windows的system32和servicepackfiles\i386下面。
如果出现在spoolsv目录下,则可能一些ie插件的文件,建议使用反间谍进行扫描。
svchost是什么进程?WindowsXP开机提示svchost.exe出错怎么办?
svchost 是什么进程? WindowsXP 开机提示svchost.exe 出错怎么办?导读: 电脑系统开机自动运行的进程有很多, 很多人对这些进程都不是很了 解。
有用户在 WindowsXP 开机的时候,会出现 Svchost.exe 进程出错的提示,打 开任务管理器发现有好多个Svchost.exe 进程在运行,那么这个Svchost.exe 是什 么进程呢?遇到Svchost.exe ®程出错要如何解决?Svchost.exe 是一个属于微软 Windows 操作系统的系统程序,微软官方对它 的解释是:Svchost.exe 是从动态链接库(DLL )中运行的服务的通用主机进程名 称。
这个程序对系统的正常运行是非常重要,而且是不能被结束的。
Svchost.exe 文件存在于 “%systemoot% system32”(如 C : \Windows\system32)目录下,它 是Windows 系统中核心的重要进程,对于 Windows 2000、Windows XP 来说, 不可或缺。
不同版本的 Windows 系统,存在不同数量的“svchos 进程,用户使 用任务管理器”可查看其进程数目。
例如Windows 2000操作系统至少有2个Svchost 进程,Windows XP 操作系统中有4个以上,Windows 2003操作系统中则 有更多。
Svchost 实际上是一个服务宿主,Svchost 本身并不能给用户提供任何服 务,但是可以用来运行动态链接库 DLL 文件,从而启动对应的服务。
文件® 匮顷迪)查看圧)关机9 帮肋⑪ 应用程序进程 性能丨联网 用尸映慷名称SogonEuplorer. wxmS<?^uEKplorer.S<-gonE^plorer. asSogcuEsplorer. ex'?0 5Vch.Q st 26Q SETWRK SERVICE svchost556 LOCAL stmcs 0use SYSTEM00 svckost(364 HErtfOBK SERVICE 0svchost6K4IT24 SYSTEM00syst era 3 皿朗System Process 0 SYSTEM 70 t££kmgr exe1152 wpt 02 Torwucw. EXE誚充 wps00 TJP1 wps 00 upsvQ.512 SYSTEM 00 winlogoii.饰* IQQ6 SYSTEM 00wps.3280 wps02 VJI回霊示所有用戶的进徨⑤进程數4Z 匚FU 便用:加第解决电脑开机提示svchost.exe 进程出错的问题 方法一:硬件方面引起的问题1、内存条坏了(二手内存情况居多)。
2000及XP一些进程名极其描述
2000及XP一些进程名极其描述在此列出一些进程名极其描述!!大家可以对比一下!!可以看看!有无可疑的进程!!smss.exe Session Managercsrss.exe 子系统服务器进程winlogon.exe 管理用户登录services.exe 包含很多系统服务lsass.exe 管理IP 安全策略以及启动ISAKMP/Oakley (IKE) 和IP 安全驱动程序。
svchost.exe Windows 2000/XP 的文件保护系统SPOOLSV.EXE 将文件加载到内存中以便迟后打印。
)explorer.exe 资源管理器internat.exe 托盘区的拼音图标)mstask.exe 允许程序在指定时间运行。
regsvc.exe 允许远程注册表操作。
(系统服务)->remoteregisterwinmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe msftpsvc,w3svc,iisadmntlntsvr.exe tlnrsvrtftpd.exe 实现TFTP Internet 标准。
该标准不要求用户名和密码。
termsrv.exe termservicedns.exe 应答对域名系统(DNS)名称的查询和更新请求。
tcpsvcs.exe 提供在PXE 可远程启动客户计算机上远程安装Windows 2000 Professional 的能力。
ismserv.exe 允许在Windows Advanced Server 站点间发送和接收消息。
ups.exe 管理连接到计算机的不间断电源(UPS)。
wins.exe 为注册和解析NetBIOS 型名称的TCP/IP 客户提供NetBIOS 名称服务。
llssrv.exe 证书记录服务ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。
RsSub.exe 控制用来远程储存数据的媒体。
locator.exe 管理RPC 名称服务数据库。
svchost.exe是什么文件
发现
在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003 server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等。
解惑
因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。
假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。
常见的系统进程(XP)
以下是一些常见的系统进程!注:快速查找进程名按下Ctrl+F键system process进程文件: [system process] or [system process]进程名称: Windows内存处理系统进程描述: Windows页面内存管理进程,拥有0级优先。
是否为系统进程: 是alg.exe进程文件: alg or alg.exe进程名称: 应用层网关服务描述: 这是一个应用层网关服务用于网络共享。
是否为系统进程: 是csrss.exe进程文件: csrss or csrss.exe进程名称: Client/Server Runtime Server Subsystem描述: 客户端服务子系统,用以控制Windows图形相关子系统。
是否为系统进程: 是ddhelp.exe进程文件: ddhelp or ddhelp.exe进程名称: DirectDraw Helper描述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。
是否为系统进程: 是dllhost.exe进程文件: dllhost or dllhost.exe进程名称: DCOM DLL Host进程描述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。
是否为系统进程: 是inetinfo.exe进程文件: inetinfo or inetinfo.exe进程名称: IIS Admin Service Helper描述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用于Debug调试除错。
是否为系统进程: 是internat.exe进程文件: internat or internat.exe进程名称: 无效Locales描述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。
XP系统每个进程的名字和作用
XP系统每个进程的名字和作用the norton reader以Windows XP体系为例1.最基本的体系进程项此类体系进程项是体系运行的必须具备前提,只有这些进程项处于活动状况,体系才能正常运行。
是以,它们是不克不及被竣事使命的。
winlogon.exe:办理用户登录。
csrss.exe:这是子体系办事器进程项,卖力控制Windows始于或删除线程和16位的虚拟DOS环境。
System Idle Process:这个进程项是作为单线程运行在每个处理器上,并在体系不处理其它线程的时辰分拨处理器的时间。
smss.exe:这是1个会话办理子体系,卖力开始工作用户会话。
services.exe:这是体系办事办理东西,包罗许多体系办事。
lsass.exe:这是1个本地的安全权力委托办事,办理IP 安全计谋和开始工作ISAKMP/Oakley (IKE) 和IP 安全驱动程序。
explorer.exe:资源办理器。
SPOOLSV.EXE:办理缓冲区中的打印和传真功课,将文件加载到内存中以便迟后打印。
svchost.exe:体系开始工作的时辰,Svchost.exe将查抄注册表中的位置来始于需要加载的办事列表。
多个Svchost.exe要是同时运行,则表明当前有多组办事处于活动状况,多个DLL文件在调用它。
2.附带加之的体系进程项附带加之的体系进程项不是必需要运行的,可以按照办事办理的需要来竣事相关进程项。
mstask.exe:许可程序在指按时间运行。
regsvc.exe:许可长途注册表操作。
winmgmt.exe:供给体系办理信息。
inetinfo.exe:路程经过过程Internet 信息办事的办理单位供给FTP 毗连和办理。
tlntsvr.exe:许可长途用户登录到体系并且施用号令交运行控制台程序。
tftpd.exe:使成为事实TFTP Internet 标准。
该标准不要求用户名和暗码。
长途安装办事的一部门。
Windows_2000_XP_下隐藏进程的检测机制
—95—Windows(2000/XP)下隐藏进程的检测机制王驎峰,董亮卫(电子科技大学计算机学院,成都 610054)摘 要:随着计算机技术的不断发展,近期出现了利用Windows(2000/XP)内核设计上的漏洞隐藏自身进程的入侵技术。
针对这种隐藏技术提出了利用内核进程环境控制块(KPEB)、内核线程环境控制块(KTEB)以及Windows 操作系统的调度机制来检测这些隐藏进程的新方法,并给出了代码示例。
关键词:进程;隐藏;内核进程环境控制块;内核线程环境控制块;检测Detection on Windows(2000/XP) Hidden ProcessWANG Linfeng, DONG Liangwei(Department of Computer, University of Electronic Science and Technology, Chengdu 610054)【Abstract 】With the development of computer technology, lately some malicious code use the leak of Windows(2000/XP) kernel design to hide their processes. In order to detect the hidden processes created by malicious code, a new technology has been described with the example of program. The technology involved includes: the kernel process environment block(KPEB), the kernel thread environment block(KTEB), the mechanism of traditional processes detection and dispatcher.【Key words 】Process; Hidden; Kernel process environment block(KPEB); Kernel thread environment block(KTEB); Detection计 算 机 工 程Computer Engineering 第32卷 第20期Vol.32 № 20 2006年10月October 2006·软件技术与数据库·文章编号:1000—3428(2006)20—0095—02文献标识码:A中图分类号:TP316由于Windows 操作系统自身的不完善和不断暴露出来的漏洞,因此它被各种病毒、木马、后门等恶意入侵程序利用,这些入侵者利用各种方法掩盖它们存在于目标系统中的任何迹象来欺骗合法用户。
Windows操作系统实验二实验报告
Windows操作系统C/C++ 程序实验姓名:_____王晨璐_____学号:____1131000046____班级:____1班_____院系:___信息工程学院_____2015__年_10_月_26_日实验二Windows 2000/xp进程控制一、背景知识二、实验目的三、工具/准备工作四、实验内容与步骤请回答:Windows所创建的每个进程都是以调用CreateProcess()API函数开始和以调用TerminateProcess()或ExitProcess() API函数终止。
1. 创建进程步骤5:编译完成后,单击“Build”菜单中的“Build 2-1.exe”命令,建立2-1.exe可执行文件。
操作能否正常进行?如果不行,则可能的原因是什么?可以正常运行。
清单2-1展示的是一个简单的使用CreateProcess() API函数的例子。
首先形成简单的命令行,提供当前的EXE文件的指定文件名和代表生成克隆进程的号码。
大多数参数都可取缺省值,但是创建标志参数使用了:CREATE_NEW_CONSOLE标志,指示新进程分配它自己的控制台,这使得运行示例程序时,在任务栏上产生许多活动标记。
然后该克隆进程的创建方法关闭传递过来的句柄并返回main() 函数。
在关闭程序之前,每一进程的执行主线程暂停一下,以便让用户看到其中的至少一个窗口。
CreateProcess() 函数有10个核心参数?本实验程序中设置的各个参数的值是:a. LPCSTR lpApplivetionName szFllenameb. LPCSTR lpCommandLine szCmdLinec. LPSECURITY_ATTRIBUTES lpProcessAttributes NULLd. LPSECURITY_ATTRIBUTES lpThreadAttributes NULLe.BOOL bInherithandle Falsef. DWORD dwCreationFlage CREATE_NEW_CONSOLEg. LPVOID ipEnvironment NULLh. LPCTSTR lpCurrentDirectory NULLI. STARTUPINFO lp startupinfo &siJ. LPPROCESS_INFORMATION lpProcessInformation &pi 程序运行时屏幕显示的信息是:提示:部分程序在Visual C++环境完成编译、链接之后,还可以在Windows 2000/xp的“命令提示符”状态下尝试执行该程序,看看与在可视化界面下运行的结果有没有不同?为什么?界面是一样的2. 正在运行的进程步骤10:编译完成后,单击“Build”菜单中的“Build 2-2.exe”命令,建立2-2.exe可执行文件。
Windows系统常见进程详解。
27、wmpnetwk.exe :(Windows Media Player Network Sharing Service),为其他网络播放器或者使用UPnP(Universal Plug and Play,通用即插即用)标准的媒体设备共享Windows Media Player的媒体库。该服务的默认运行方式是手动,不过如果你没有这类设备或者应用的话则可以放心将其禁用。
21、System Idle Process :是Windows内存处理系统进程,表示你系统剩余的CPU资源!这个数值越大CPU的空闲率就越高,反之就是CPU的占用率越高。如果在刚刚开机的情况下就发现System Idle Process的CPU占用值很低的话应该就注意后台有什么大的程序在运行或者感染病毒了。
Windows系统进程分析总结
对于有电脑的朋友如何让自己的爱机正常顺利的工作,先简单的认识一下自己的系统进程是必不可少的一步,了解自己电脑的进程有助于及时发现异常进程和解决一些简单的病毒攻击。在下简单的总结了一下常用的进程,希望能给网友们带来方便。
1、audiodg.exe : Windows音频设备管理程序。
17、spoolsv.exe :是Print Spooler的进程,管理所有本地和网络打印队列及控制所有打印工作。
18、sppsvc.exe :Microsoft Software Protection Platform Service 微软软件保护平台服务 。
XP各进程含义
AOLacsd.exe AOLacsd.exe是AOL Internet软件的连接器,用于Internet连接。
AOLDial.exe AOLDial.exe是AOL nternet软件(9.0版本或更高版本)的一部分。用于拨号连接Internet网络。
agrsmmsg.exe agrsmmsg.exe是软猫调制解调器的消息程序。
AgtServ.exe AgtServ.exe是在线字典软件,提供屏幕点击查询词典功能。
aim.exe aim.exe是AOL Instant Messenger即时通讯软件。
aim95.exe aim95.exe是AOL Instant Messenger即时通讯软件,提供在线聊天服务。
ccapp.exe ccapp.exe是Norton AntiVirus 2003反病毒软件的一部分。它能够自动保护你的计算机安全。
ccevtmgr.exe ccevtmgr.exe是Norton Internet Security网络安全套装的一部分。该进程会同反病毒与防火墙程序同时安装。
cidaemon.exe cidaemon.exe是一个索引服务,为了让你更加快速的查找文件。
cisvc.exe cisvc.exe是微软Windows操作系统自带的程序。它用于监测
CIDAEMON.exe内存使用状态,防止可用内存过低问题。这是一个系统进程,不要进行删除。
clisvcl.exe clisvcl.exe是微软Windows系统自带程序。该进程调用SMSS进程检测在你计算机上的软件。
AVENGINE.EXE AVENGINE.EXE是Panda Antivirus熊猫卫士反病毒套装的一部分,用于保护你的计算机免受网络攻击。
电脑常见进程及相关木马病毒
【电脑常见进程及相关木马病毒】1、【wscntfy.exe】:Microsoft Windows Security Center---Windows 安全警报2、【Taskmgr.exe】:Windows增强型任务管理器(若超过一个,则是病毒)3、【alg.exe】:Application Layer Gateway Service----alg.exe是微软Windows操作系统自带的程序。
它用于处理微软Windows网络连接共享和网络连接防火墙。
这个程序对你系统的正常运行是非常重要的。
(也可能是病毒)4、【notepad.exe】:记事本(也可能是病毒,notepad.exe可能是一种变种木马,与qq有关)5、【SogouCloud.exe】:搜狗云计算;可能会影响网速。
关闭方式:搜狗拼音新添加的“云计算”进程,负责输出每次打字时的云计算候选项(在候选栏的第二位)。
不喜欢搜狗输入法打字时的云计算欢的话可以自己关掉。
选项在“设置属性”对话框的“高级”选项卡中(智能输入栏--开启云计算候选),勾掉云计算即可了。
sogoucloud.exe的真伪辨别:(1). 搜狗拼音输入法确实有SogouCloud.exe文件,是搜狗输入法云计算代理程序。
不过应该是在搜狗输入法的安装目录下。
不是该路径时应该是伪装的文件。
(2). 正版的SogouCloud.exe有搜狗公司的数字签名,可以看看你的文件并没有签名。
()6、【popwndexe.exe】:瑞星广告弹框程序。
没啥用。
建议禁止。
7、【scardsvr.exe】:Microsoft Smartcard-Ressource server---微软Windows操作系统的一部分,用于认证你本地系统的简单安全卡,建议保留。
8、【SGImeGuard.exe】:搜狗输入法的一个进程,作用不大,删除也不影响你正常使用搜狗输入法。
9、【svchost.exe】:Svchost.exe 是从动态链接库(DLL) 中运行的服务的通用主机进程名称。
电脑常见基本进程信息
(1)atieclxx.exeatieclxx.exe是ATI显卡催化剂的一个程序,它只是起辅助作用,使ATI的显卡能更好的发挥性能,其本身并不是驱动程序。
有很多显卡不是ATI的朋友,装完Windows 7以后蓝屏,有可能是atieclxx.exe造成的。
如果你刚装完Windows 7系统就蓝屏了,你可以尝试关闭atieclxx.exe程序来解决这个问题。
(2)aticsrxx.exe(同上)(3)conhost.exe全称是Console Host Process, 即命令行程序的宿主进程。
简单的说他是微软出于安全考虑,在windows 7和Windows server 2008中引进的新的控制台应用程序处理机制(4)csrss.execsrss.exe,系统进程,是微软客户端、服务端运行时子系统,管理Windows图形相关任务,对系统的正常运行非常重要,但也有可能是sky.AB@mm等病毒创建的。
注意:csrss.exe也有可能是sky.AB@mm、W32.Webus Trojan、dex.a 等病毒创建的。
该病毒通过Email邮件进行传播,当你打开附件时,即被感染。
该蠕虫会在受害者机器上建立SMTP服务,用以自身传播。
该病毒允许攻击者访问你的计算机,窃取密码和个人数据。
这个进程的安全等级是建议立即进行删除。
介绍:Client/Server Runtime Server Subsystem,客户端服务子系统,用以控制 Windows 图形相关子系统。
正常情况下在Windows NT/2000/XP/2003系统中只有一个csrss.exe进程,位于System32文件夹中,若以上系统中出现两个csrss.exe 进程(其中一个位于 Windows 文件夹中),或在Windows 9X/Me系统中出现该进程,则是感染了病毒。
Windows Vista有两个csrss.exe进程。
注意,正常的csrss.exe双击后会出现“不能在Win32模式下运行”的提示,终止进程后会蓝屏。
系统进程占用100%的原因
我们在使用Windows XP操作系统的时候,用着用着系统就变慢了,一看“任务管理器”才发现CPU占用达到100%。
这是怎么回事情呢?遇到病毒了,硬件有问题,还是系统设置有问题,在本文中笔者将从硬件,软件和病毒三个方面来讲解系统资源占用率为什么会达到100%。
经常出现CPU占用100%的情况,主要问题可能发生在下面的某些方面:CPU占用率高的九种可能1、防杀毒软件造成故障由于新版的KV、金山、瑞星都加入了对网页、插件、邮件的随机监控,无疑增大了系统负担。
处理方式:基本上没有合理的处理方式,尽量使用最少的监控服务吧,或者,升级你的硬件配备。
2、驱动没有经过认证,造成CPU资源占用100%大量的测试版的驱动在网上泛滥,造成了难以发现的故障原因。
处理方式:尤其是显卡驱动特别要注意,建议使用微软认证的或由官方发布的驱动,并且严格核对型号、版本。
3、病毒、木马造成大量的蠕虫病毒在系统内部迅速复制,造成CPU占用资源率据高不下。
解决办法:用可靠的杀毒软件彻底清理系统内存和本地硬盘,并且打开系统设置软件,察看有无异常启动的程序。
经常性更新升级杀毒软件和防火墙,加强防毒意识,掌握正确的防杀毒知识。
4、控制面板—管理工具—服务—RISING REALTIME MONITOR SERVICE点鼠标右键,改为手动。
5、开始>;运行>;msconfig>;启动,关闭不必要的启动项,重启。
6、查看“svchost”进程。
svchost.exe是Windows XP系统的一个核心进程。
svchost.exe不单单只出现在Windows XP中,在使用NT内核的Windows系统中都会有svchost.exe的存在。
一般在Windows 2000中svchost.exe进程的数目为2个,而在Windows XP中svchost.exe进程的数目就上升到了4个及4个以上。
7、查看网络连接。
主要是网卡。
8、查看网络连接当安装了Windows XP的计算机做服务器的时候,收到端口445 上的连接请求时,它将分配内存和少量地调配CPU资源来为这些连接提供服务。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
regsvc.exe 允许远程注册表操作。(系统服务)
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)
tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务) 允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)
winlogon.exe
这个进程是管理用户登录和推出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了,显示安全对话框。
winmgmt.exe
winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化
taskmagr.exe
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)
以下服务很少会用到
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务) 支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)
spoolsv.exe
这个进程是不可以从任务管理器中关掉的。 缓冲(spooler)服务是管理缓冲池中的打印和传真作业。
service.exe
这个进程是不可以从任务管理器中关掉的。大多数的系统核心模式进程是作为系统进程在运行。
System Idle Process
这个进程是不可以从任务管理器中关掉的。这个进程是作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序
。(系统服务)
UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)
这个进程就是任务管理器。
值得注意的问题:看看有没有木马很大程度看这里的内容
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)
ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
explorer.exe
这是一个用户的shell(我实在是不知道怎么翻译shell),在我们看起来就像任务条,桌面等等。这个进程并不是像你想象的那样是作为一个重要的进程运行在windows中,你可以从任务管理器中停掉它,或者重新启动。通常不会对系统产生什么负面影响。
产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)
svchost.exe 包含很多系统服务
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标
附加的系统进程(附加的服务都对安全有害,如果不是必要的应该关掉)(这些进程不是必要的,你可以根据需要通过服务管理器来增加或减少):
lserver.exe 注册客户端许可证。(系统服务)
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。(系统服务)
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。(系统服务)
RsFsa.exe 管理远程储存的文件的操作。(系统服务)
grovel.exe 扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间。(系统服务)
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)
lsass.exe
这个进程是不可以从任务管理器中关掉的。
这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)
RsSub.exe 控制用来远程储存数据的媒体。(系统服务)
locator.exe 管理 RPC 名称服务数据库。(系统服务)
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一。
(系统服务)
termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话
以及运行在服务器上的基于 Windows 的程序。(系统服务)
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)
smlogsvc.exe 配置性能日志和警报。(系统服务)
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)
RsEng.exe 协调用来储存不常用数据的服务管理工具。(系统服务)
faxsvc.exe 帮助您发送和接收传真。(系统服务)
cisvc.exe Indexing Service(system service)
dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)
Svchost.exe 组是用下面的注册表值来识别。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL 值。
最基本的系统进程(也就是说,这些进程是系统运行的基本条件,有了这些进程,系统就能正常运行):
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务)
详细说明:
win2k运行进程
Svchost.exe
Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。
internat.exe
这个进程是可以从任务管理器中关掉的。
internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加载内容的。internat.exe 加载“EN”图标进入系统的图标区,允许使用者可以很容易的转换不同的输入点。当进程停掉的时候,图标就会消失,但是输入点仍然可以通过控制面板来改变。
mstask.exe
这个进程是不可以从任务管理器中关掉的。这是一个任务调度服务,负责用户事先决定在某一时间运行的任务的运行。
smss.exe
这个进程是不可以从任务管理器中关掉的。这是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(就是挂起)。