课题26Windows NT进程和服务

Windows NT的进程和线程机制进程是操作系统结构的基础；是一个正在执行的程序；计算机中正在运行的程序实例；可以分配给处理器并由处理器执行的一个实体；由单一顺序的执行显示，一个当前状态和一组相关的系统资源所描述的活动单元。

对于进程，其概念主要包括有两点：第一，进程是一个实体。

每一个进程都有它自己的地址空间，一般情况下，包括文本区域（text region）、数据区域（data region）和堆栈（stack region）。

文本区域存储处理器执行的代码；数据区域存储变量和进程执行期间使用的动态分配的内存；堆栈区域存储着活动过程调用的指令和本地变量。

第二，进程是一个“执行中的程序”。

程序是一个没有生命的实体，只有处理器赋予程序生命时，它才能成为一个活动的实体，我们称其为进程。

对于Windows NT线程的调度，是采用优先级的调度规则，并且将上面所说的几种方法结合起来的一种调度方式。

它支持被分为两组的32个优先级级别，每组16个，如下图所示，优先级31~16是为实时线程保留的，其中31最高。

而被称为普通线程的其他线程占用优先级15~0。

根据当前线程的优先级分配线程，这就保证了实时线程比普通线程有更高的优先级，而不会出现优先级倒置的问题。

Windows NT 优先级级别前15个优先级根据ML 机制（多级优先级）来处理，另一方面，普通线程的优先级为了响应发生在系统中的不同事件而会不断改变。

当创建这种线程时为每一个线程分配一个基本优先级，这就指定了它的最小优先级别。

然而，线程的当前优先级根据下面的规则，会随着其近期的执行历史情况而发生改变。

每个系统事件被指派一个优先级增量，以代表产生事件的原因。

而相应的，对于实时线程，它有一个静态优先级，对它们不会增加任何增量。

当由于这些事件之一线程被唤醒时，便将相应的增量增加到当前的优先级值上，并且线程被排队到适当的级别上。

当线程合适地使用CPU 后被抢占时，它的当前优先级就减1，并将其放到下一个更低优先级队列上。

Windows系统任务管理器使用指南Windows系统任务管理器是一个功能强大的工具，可以帮助您监控和管理计算机上运行的进程、性能和服务。

本指南将为您提供有关如何正确使用Windows任务管理器的详细说明和提示。

一、任务管理器概述Windows任务管理器可以通过多种方式访问，最简单的方法是通过按下“Ctrl + Alt + Del”组合键，然后选择“任务管理器”。

您还可以通过右键单击任务栏并选择“任务管理器”来打开它。

二、进程管理任务管理器的“进程”选项卡显示了当前正在运行的所有进程。

您可以看到每个进程占用的CPU和内存资源，并可以通过点击表头来按照需要对进程进行排序。

1. 终止进程：在“进程”选项卡中，选择要终止的进程，然后点击“结束任务”按钮。

请谨慎操作，确保您不会终止系统必要的进程。

2. 分析进程：通过单击“进程”选项卡中的进程，您可以查看该进程的详细信息，包括可执行文件路径、描述和已使用的资源量。

这对于排除计算机慢的原因或检测恶意软件非常有用。

三、性能监控任务管理器的“性能”选项卡提供了有关计算机性能的实时信息。

您可以看到CPU、内存、磁盘和网络的使用情况。

这对于确定系统资源的瓶颈以及优化计算机性能非常重要。

1. 监控资源：您可以随时监控CPU和内存的使用情况。

如果发现有进程占用过多的资源，您可以终止它们或者调整其优先级，以提高系统的整体性能。

2. 查看磁盘和网络：任务管理器的“性能”选项卡还提供了关于磁盘和网络使用情况的信息。

您可以查看每个磁盘驱动器的读写速度，并检查网络连接的传输速度。

四、应用历史任务管理器的“应用”选项卡显示了所有正在运行的应用程序。

您可以查看每个应用程序的CPU和内存使用情况，并可以选择关闭不需要的应用程序来释放系统资源。

1. 切换到应用：在“应用”选项卡中，您可以通过单击应用程序来切换到它们的窗口。

这是一个方便快捷的方式，而不必使用鼠标来查找并切换窗口。

2. 管理应用：如果您发现某个应用程序无响应或运行缓慢，您可以选择关闭它，然后重新打开以解决问题。

Client/Server Runtime Server Subsystem，客户端服务子系统，用以控制Windows图形相关子系统。

正常情况下系统中只有一个csrss.exe进程，正常路径在System32文件夹中。

services.exeservices.exe是微软Windows操作系统的一部分。

用于管理启动和停止服务。

该进程也会处理在计算机启动和关机时运行的服务。

这个程序对你系统的正常运行是非常重要的。

注意：services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。

该木马允许攻击者访问你的计算机，窃取密码和个人数据。

该进程的安全等级是低，建议立即删除。

lsass.exelsass.exe是一个系统进程，用于微软Windows系统的安全机制。

它用于本地安全和登陆策略。

注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。

Rtvscan.exertvscan.exe是Symantec Internet Security网络安全套装的一部分。

它用于实时扫描病毒，保护你的系统免受病毒的威胁。

ccsetmgr.execcsetmgr.exe是Symantec公司网络安全套装的一部分。

defwatch.exedefwatch.exe是Norton Antivirus反病毒企业版的一部分，用于检查病毒库特征文件是否有新的升级。

llssrv.exellssrv.exe是微软Microsoft Windows Server版的一部分，用于许可登陆服务。

dbsnmp.exewindows环境下的oracle服务OracleSQL的性能包数据采集服务进程。

Windows操作系统进程详细介绍.txt19“明”可理解成两个月亮坐在天空，相互关怀，相互照亮，缺一不可，那源源不断的光芒是连接彼此的纽带和桥梁！人间的长旅充满了多少凄冷孤苦，没有朋友的人是生活的黑暗中的人，没有朋友的人是真正的孤儿。

电脑维修的基本原则和方法这里所述原则、方法等是第二部分分类判断的基础，需要认真遵守执行。

§1.1 进行电脑维修应遵循的基本原则：一、进行维修判断须从最简单的事情做起简单的事情，一方面指观察，另一方面是指简捷的环境。

简单的事情就是观察，它包括：1、电脑周围的环境情况——位置、电源、连接、其它设备、温度与湿度等；2、电脑所表现的现象、显示的内容，及它们与正常情况下的异同；3、电脑内部的环境情况——灰尘、连接、器件的颜色、部件的形状、指示灯的状态等；4、电脑的软硬件配置——安装了何种硬件，资源的使用情况；使用的是使种xx作系统，其上又安装了何种应用软件；硬件的设置驱动程序版本等。

简捷的环境包括：1、后续将提到的最小系统；2、在判断的环境中，仅包括基本的运行部件/软件，和被怀疑有故障的部件/软件；3、在一个干净的系统中，添加用户的应用（硬件、软件）来进行分析判断从简单的事情做起，有利于精力的集中，有利于进行故障的判断与定位。

一定要注意，必须通过认真的观察后，才可进行判断与维修。

二、根据观察到的现象，要“先想后做”先想后做，包括以下几个方面：首先是，先想好怎样做、从何处入手，再实际动手。

也可以说是先分析判断，再进行维修。

其次是，对于所观察到的现象，尽可能地先查阅相关的资料，看有无相应的技术要求、使用特点等，然后根据查阅到的资料，结合下面要谈到的内容，再着手维修。

最后是，在分析判断的过程中，要根据自身已有的知识、经验来进行判断，对于自己不太了解或根本不了解的，一定要先向有经验的同事或你的技术支持工程师咨询，寻求帮助。

三、在大多数的电脑维修判断中，必须“先软后硬：即从整个维修判断的过程看，总是先判断是否为软件故障，先检查软件问题，当可判软件环境是正常时，如果故障不能消失，再从硬件方面着手检查。

网络操作系统(Windows NT 、NetWare NDS 简介)1.1 介绍网络操作系统的出现是计算机世界的里程碑。

对于最终用户，它意味着独自工作的结束。

使用另一个工作站并不意味着必须将文件从一个工作站拷贝到另一个工作站，或将文件拷回。

当然，这只是网络环境的一个优点。

这一阶段中，你将学习操作系统以及网络操作系统的典型组件和服务。

1.2 什么是操作系统？你是否曾经想过究竟是什么使你的计算机运转的？计算机是如何执行多种功能的？所有这些都是通过计算机系统最重要的组件——操作系统，来完成的。

定义：―操作系统是一个程序，它担当着用户和计算机硬件间的接口，并控制各种类型程序的执行。

‖计算机系统可粗略地划分成下列组件：硬件 —— 它提供了基本运算资源。

它由中央处理器 (CPU) 、内存和输入/输出 (I/O) 设备组成。

应用程序 —— 它们是软件，定义了用户使用计算机资源的方式。

应用程序可是编译器、解释器、数据库系统、财会软件包，甚至我们喜欢玩的计算机游戏也是应用程序。

用户 —— 用户可以是人，也可以是另一台计算机。

操作系统 —— 这是重要组件，它为各种用户协调处理应用程序使用硬件资源的方式。

也就是说，操作系统提供了用户和计算机组件间的接口。

图1是操作系统功能示例。

图 1. 操作系统用户软盘 硬盘 存储设备输出设备 打印机 / 监视器 操作系统内存 控制单元 / ALU 中央处理器 输入设备 键盘1.3 操作系统的分类许多操作系统得到很大发展，并简化了用户和计算机间的交互。

操作系统可被分为：单用户系统计算机的处理器每次只能处理一项任务的时候，被称为单用户系统。

这意味着在任一时间点，系统只能支持一个用户。

单用户系统有一个CPU 和一套I/O 设备。

因为每次只支持一个用户，所以只有特定的任务或程序能装入内存执行。

单用户操作系统中最通用的是微软磁盘操作系统，或称MS-DOS 。

多用户系统在多用户系统中，不止一个用户可运行在系统上，而且每个可以运行在不同的程序和数据集上。

每个操作系统都需要有在后台执行任务的方法，无论是谁正在使用这部机器，这些任务都可以继续运行，后台任务可以处理各种重要的服务，包括系统的或者用户的。

例如，一个信使服务可以监控网络，并且在接收到另一台机子的信息时，可以显示一个对话框。

一个发送和接收传真的应用需要在启动的时候运行，并且不断地监控负责传真的modem，看有没有传真进来。

一个家庭的或者办公室的安全程序，用来控制一件检测设备时，它需要不时地查询传感器，并且在适当的时候响应它。

所有这些任务都需要cpu时间来执行它们，不过由于它们需要的cpu时间很少，因此可以放在后台而不影响用户使用系统。

在ms-dos中，后台的任务是通过tsr（terminate and stay resident）程序来处理的。

这些程序经由autoexec.bat文件开始。

在unix中，后台任务是通过daemons来处理的。

在每次启动unix的过程中，你都可以看到操作系统启动一些任务，例如定时的程序（cron）和finger的daemons，然后才可以让首个用户登录。

在windows nt中，后台的任务被称为服务。

服务可在每次nt启动的时候运行，并且不管是谁登陆，都会一直运行下去。

windows nt的服务都是通过一般的可执行程序实现的，不同的是，它遵循内部的一个特定协议来设计，以便它们能够与服务控制管理器（scm，service control manager）进行正确的交互。

在这篇文章中，你将学习到如何在windows nt中创建和安装简单的win32服务。

一旦你懂得了这个简单的服务，你要建立自己的服务也不难了，因为所有的服务，不论是如何地复杂，都必须包含有同样基本的scm接口代码。

只要符合scm的要求，其实为服务设计的可执行文件和一般的程序并没有多少的区别。

无论是对于编程者或者系统管理员，了解nt的服务如何工作都是很重要的。

编程者就不必说了，因为他们要创建自己的服务，而对于系统管理员，也是同样重要的。

（1）[system Idle Process]进程文件: [system process] or [system process]进程名称: Windows内存处理系统进程描述: Windows页面内存管理进程，拥有0级优先。

介绍：该进程作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。

它的cpu占用率越大表示可供分配的CPU资源越多，数字越小则表示CPU 资源紧张。

（2）[alg.exe]进程文件: alg or alg.exe进程名称: 应用层网关服务描述: 这是一个应用层网关服务用于网络共享。

介绍：一个网关通信插件的管理器，为“Internet连接共享服务”和“Internet连接防火墙服务”提供第三方协议插件的支持。

（3）[csrss.exe]进程文件: csrss or csrss.exe进程名称: Client/Server Runtime Server Subsystem描述: 客户端服务子系统，用以控制Windows图形相关子系统。

介绍: 这个是用户模式Win32子系统的一部分。

csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。

csrss用于维持Windows 的控制，创建或者删除线程和一些16位的虚拟MS-DOS环境。

（4）[ddhelp.exe]进程文件: ddhelp or ddhelp.exe进程名称: DirectDraw Helper描述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。

简介：Directx 帮助程序（5）[dllhost.exe]进程文件: dllhost or dllhost.exe进程名称: DCOM DLL Host进程描述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。

介绍：com代理，系统附加的dll组件越多，则dllhost占用的cpu资源和内存资源就越多，而8月的“冲击波杀手”大概让大家对它比较熟悉吧。

Windows 进程大全Aactmovie.exe actmovie.exe 是微软Windows操作系统自带的程序，用于支持显示卡运行一些屏幕保护和微软程序。

这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题agentsvr.exe agentsvr.exe 是一个ActiveX插件，用于多媒体程序。

这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。

alg.exe alg.exe 是微软Windows操作系统自带的程序。

它用于处理微软Windows网络连接共享和网络连接防火墙。

这个程序对你系统的正常运行是非常重要的。

ASPNET_WP.exe ASPNET_WP.exe 是涉及Microsoft 技术的程序运行所必须的程序。

这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。

AcctMgr.exe AcctMgr.exe 是Norton systemworks套装的一部分，用于你计算机上相关密码。

该进程对计算机的稳定和安全是重要的。

acrobat.exe acrobat.exe 是the Adobe Acrobat创建器的一部分。

它能够创建和打印PDF文档。

该进程不是运行所必须的，但终止它可能有问题。

acrord32.exe acrord32.exe 是Adobe Acrobat Reader阅读器的一部分。

该进程用于打开和察看PDF文档，它能够从下载。

AcroTray.exe AcroTray.exe 是Acrobat助手程序，用于帮助你打印你的PDF文档。

ACSd.exe ACSd.exe 是AOL的相关程序。

该进程在后台运行和自动重新连接到AOL。

ADGJDET.exe ADGJDET.exe 是Creative创新声卡的一部分。

AdobeUpdateManager.exe AdobeUpdateManager.exe是Adobe产品软件升级程序。

ADService.exe ADService.exe 是Iomega Zip驱动器驱动相关程序。

windows任务管理器各进程详解Win2000/XP 的任务管理器是一个非常有用的工具，它能提供我们很多信息，比如现在系统中运行的程序(进程)，但是面对那些文件可执行文件名我们可能有点茫然，不知道它们是做什么的，会不会有可疑进程(病毒，木马等)。

本文的目的就是提供一些常用的Win2000/XP 中的进程名，并简单说明它们的用处。

在W2K/XP中，同时按下crtl+shift+Esc键，可以打开Windows任务管理器，单击“进程”，可以看到很多正在运行的进程，仔细看看有很多奇怪的EXE文件在运行？下面这些并不是真正的服务，而是在不同情况下运行的程序或进程，很多还是必需的进程。

【Csrss】：这是Windows的核心部份之一，全称为Client Server Process。

我们不能结束该进程。

这个只有4K的进程经常消耗3MB到6MB左右的内存，建议不要修改此进程，让它运行好了。

【Ctfmon】：这是安装了WinXP(尤其是安装ofice XP)后，在桌面右下角显示的“语言栏”，如果不希望它出现，可通过下面的步骤取消：双击“控制面板”，“区域和语言设置”，单击“语言”标签，单击“详细信息”按钮，打开“文字服务和输入语言”对话框，单击下面“首选项”的“语言栏”按钮，打开“语言栏设置”对话框，取消“在桌面上显示语言栏”的勾选即可。

不要小看这个细节，它会为你节省1.5MB到4MB的内存。

【dovldr32】：如果你有一个Creative SBLive系列的声卡，就可能击现这个进程，它占用大约2.3MB到2.6MB的内存。

有些奇怪的是，当我从任务栏禁止了这个进程后，通过DVD实验，并没有发生任何错误。

但如果你将这个文件重新命名了，就会出现windows的文件保护警告窗口，而且Creative Mixer和AudioHQ程序加载出错。

当然你希望节省一些内存，那么可以将它禁止。

【explorer】：这可不是Internet Explorer，explorer.exe总是在后台运行，它控制着标准的用户界面、进程、命令和桌面等，如果打开“任务管理器”，就会看到一个explorer.exe 在后台运行。

常用Windows任务管理器进程详解Win2000/XP的任务管理器是一个非常有用的工具，它能提供我们很多信息，比如现在系统中运行的程序(进程)，但是面对那些文件可执行文件名我们可能有点茫然，不知道它们是做什么的，会不会有可疑进程(病毒，木马等)。

本文的目的就是提供一些常用的Win2000/XP中的进程名，并简单说明它们的用处。

在W2K/XP中，同时按下crtl+shift+Esc 键，可以打开Windows任务管理器，单击“进程”，可以看到很多正在运行的进程，仔细看看有很多奇怪的EXE文件在运行？下面这些并不是真正的服务，而是在不同情况下运行的程序或进程，很多还是必需的进程。

【Csrss】：这是Windows的核心部份之一，全称为ClientServerProcess。

我们不能结束该进程。

这个只有4K的进程经常消耗3MB到6MB左右的内存，建议不要修改此进程，让它运行好了。

【Ctfmon】：这是安装了WinXP(尤其是安装oficeXP)后，在桌面右下角显示的“语言栏”，如果不希望它出现，可通过下面的步骤取消：双击“控制面板”，“区域和语言设置”，单击“语言”标签，单击“详细信息”按钮，打开“文字服务和输入语言”对话框，单击下面“首选项”的“语言栏”按钮，打开“语言栏设置”对话框，取消“在桌面上显示语言栏”的勾选即可。

不要小看这个细节，它会为你节省1.5MB到4MB的内存。

【explorer】：这可不是InternetExplorer，explorer.exe总是在后台运行，它控制着标准的用户界面、进程、命令和桌面等，如果打开“任务管理器”，就会看到一个explorer.exe在后台运行。

根据系统的字体、背景图片、活动桌面等情况的不同，通常会消耗5.8MB到36MB内存不等。

【Ldle】：如果你在“任务管理器”看到它显示99%的占用率，千万不要害怕，实际上这是好事，因为这表示你的计算机目前有99%的性能等待你使用！这是关键进程，不能结束。

Windows系统进程列表完全解析-2Windows 系统常见进程系统进程system process进程文件: [system process] or [system process]进程名称: Windows内存处理系统进程描述: Windows页面内存管理进程，拥有0级优先。

是否为系统进程: 是alg.exe进程文件: alg or alg.exe进程名称: 应用层网关服务描述: 这是一个应用层网关服务用于网络共享。

是否为系统进程: 是csrss.exe进程文件: csrss or csrss.exe进程名称: Client/Server Runtime Server Subsystem描述: 客户端服务子系统，用以控制Windows图形相关子系统。

是否为系统进程: 是ddhelp.exe进程文件: ddhelp or ddhelp.exe进程名称: DirectDraw Helper描述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。

是否为系统进程: 是dllhost.exe进程文件: dllhost or dllhost.exe进程名称: DCOM DLL Host进程描述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。

是否为系统进程: 是inetinfo.exe进程文件: inetinfo or inetinfo.exe进程名称: IIS Admin Service Helper描述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用于Debug调试除错。

是否为系统进程: 是internat.exe进程文件: internat or internat.exe进程名称: Input Locales描述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。

计算机网络安全技术（第4版）230 个新的进程容器来容纳。

一个进程可以包含若干线程（Thread ），线程可以帮助应用程序同时做几件事（例如，一个线程向磁盘写入文件，另一个则接收用户的按键操作，并及时做出反应，互相不干扰）。

在程序被运行后，系统首先要做的就是为该程序进程建立一个默认线程，然后程序可以根据需要自行添加或删除相关的线程。

进程可以简单地理解为运行中的程序，需要占用内存、CPU 时间等系统资源。

Windows 支持多用户多任务，也就是说系统要并行运行多个程序。

为此，内核不仅要有专门代码负责为进程或线程分配CPU 时间，还要开辟一段内存区域，用来存放记录这些进程详细情况的数据结构。

内核就是通过这些数据结构知道系统中有多少进程及各进程的状态等信息的。

换句话说，这些数据结构就是内核感知进程存在的依据。

因此，只要修改这些数据结构，就能达到隐藏进程的目的。

6.5.2 Windows NT 常用的系统进程一般通过Windows 系统的任务管理器来查看进程，能够提供很多信息，如现在系统中运行的进程、PID 、内存情况等，如图6-66所示。

图6-66 任务管理器中进程的内容进程是操作系统进行资源分配的单位，用于完成操作系统各种功能的进程就是系统进程。

系统进程又可以分为系统的关键进程和一般进程。

1．系统的关键进程在Windows NT 中，系统的关键进程是系统运行的基本条件。

有了这些进程，系统就能正常运行。

系统的关键进程列举如下。

（1）System Idle Process 。

该进程也称为“系统空闲进程”。

这个进程作为单线程运行在每个处理器上，是在CPU 空闲的时候发出一个Idle 命令，使CPU 挂起（暂时停止工作），可有效地降低CPU 内核的温度，在操作系统服务里面，都没有禁止该进程的选项；默认是占用除了当前应用程序所分配的CPU 百分比之外的所有占用率；一旦应用程序发出请求，处理器会立刻响应。

在这个进程里出现的CPU 占用数值并不是真正的占用，而是体现的CPU。

实验报告课程名称：操作系统实验项目：windows进程管理姓名：专业：计算机科学与技术班级：学号：计算机科学与技术学院计算机系2019 年 4 月23 日实验项目名称：windows进程管理一、实验目的1. 学习windows系统提供的线程创建、线程撤销、线程同步等系统调用；2. 利用C++实现线程创建、线程撤销、线程同步程序；3. 完成思考、设计与练习。

二、实验用设备仪器及材料1. Windows 7或10，VS2010及以上版本。

三、实验内容1 线程创建与撤销写一个windows控制台程序（需要MFC），创建子线程，显示Hello, This is a Thread. 然后撤销该线程。

相关系统调用：线程创建：CreateThread()线程撤销：ExitThread()线程终止：ExitThread(0)线程挂起：Sleep()关闭句柄：CloseHandle()参考代码：// OS-TEST.cpp : 定义控制台应用程序的入口点。

//#include "stdafx.h"#include "OS-TEST.h"#ifdef _DEBUG#define new DEBUG_NEW#endif// 唯一的应用程序对象CWinApp theApp;using namespace std;void ThreadName1();int _tmain(int argc, TCHAR* argv[], TCHAR* envp[]){int nRetCode = 0;static HANDLE hHandle1=NULL;DWORD dwThreadID1;HMODULE hModule = ::GetModuleHandle(NULL);if (hModule != NULL){// 初始化MFC 并在失败时显示错误if (!AfxWinInit(hModule, NULL, ::GetCommandLine(), 0)){// TODO: 更改错误代码以符合您的需要_tprintf(_T("错误: MFC 初始化失败\n"));nRetCode = 1;}else{// TODO: 在此处为应用程序的行为编写代码。

windows系统进程详细介绍双击鼠标左键自动滚屏，单击任意键停止滚屏！有时候,windows系统因为中了病毒或木马的缘故，会变得很慢，这时候我们可以按下Ctrl+Alt+Del，接着选择任务管理器，就可以看到系统当前的进程。

如果有一些进程的cpu使用率很高，且不是以下进程，那它们很有可能是病毒或木马产生的。

1.基本系统进程Csrss.exe：这是子系统服务器进程，负责控制Windows创建或删除线程以及16位的虚拟DOS环境。

System Idle Process：这个进程是作为单线程运行在每个处理器上，并在系统不处理其它线程的时候分派处理器的时间。

Smss.exe：这是一个会话管理子系统，负责启动用户会话。

Services.exe：系统服务的管理工具。

Lsass.exe：本地的安全授权服务。

Explorer.exe：资源管理器。

Spoolsv.exe：管理缓冲区中的打印和传真作业。

Svchost.exe：这个进程要着重说明一下，有不少朋友都有这种错觉：若是在“任务管理器”中看到多个Svchost.exe在运行，就觉得是有病毒了。

其实并不一定，系统启动的时候，Svchost.exe将检查注册表中的位置来创建需要加载的服务列表，如果多个Svchost.exe同时运行，则表明当前有多组服务处于活动状态；多个DLL文件正在调用它。

2.常见系统进程解释system process进程文件: system process进程名称: Windows内存处理系统进程描述: Windows页面内存管理进程，拥有0级优先。

是否为系统进程: 是alg.exe进程文件: alg or alg.exe进程名称: 应用层网关服务描述: 这是一个应用层网关服务用于网络共享。

是否为系统进程: 是csrss.exe进程文件: csrss or csrss.exe进程名称: Client/Server Runtime Server Subsystem描述: 客户端服务子系统，用以控制Windows图形相关子系统。