2022年电脑任务进程项 .pdf
《2022年电脑任务进程项 .pdf》由会员分享,可在线阅读,更多相关《2022年电脑任务进程项 .pdf(20页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、任务进程项一、进程是操作系统结构的基础, 是一个正在执行的程序, 进程是程序在计算机上的一次执行活动。当你运行一个程序,你就启动了一个进程,它包括二部份,一是系统自动运行项,二是使用中打开的运行项,显然进程多,占用资源就多;在进程中还有一个入侵者那就是木马病毒侵入,一旦木马病毒侵入,它会大量占用系统资源,造成电脑运行迟缓或无法运行。一般开机进程在30上下。二、想减少进程在任务管理器中可以直接删除,但下次启动时还会自动运行。这么办:1、减少自动运行项,禁用多余的服务组件。右键单击 “ 我的电脑 ” -“ 管理” -“ 服务和应用程序 ” -“ 服务” ,在右窗格将不需要的服务设为禁用,将不经常使
2、用的服务设为手动。附;十大必须禁止的服务。http:/ -msconfig- 启动 -保留 “Ctfmon( 提供语言识别 和其他用户输入技术)” 和 “ 杀毒程序 ”(或360时实监控),其它一律删除。你也可用优化大师帮助你看留什么,去掉什么。打开优化大师-系统优化 -开机速度优化 -点击某个启动项,在下方有中文提示你是否保留或删除-勾选开机不自动启动的项目-优化-退出重启。3、随时关闭不使用的应用程序。三、如果怀疑木马病毒侵入安装360安全卫士,打开360安全卫士 高级查看“ 系统进程状态 ” 中的“ 安全级别 ” ,除了显示 “ 安全”的,有可能是系统未识别和木马病毒,点击进程名称,显示
3、该进程的“ 详细信息 ” ,逐一审查清除。教你怎么用进程看是否中毒任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。当我们确认系统中存在病毒, 但是通过 “ 任务管理器 ” 查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法1.以假乱真系统中的正常进程有: svchost.exe 、explorer.exe 、
4、iexplore.exe 、winlogon.exe 等,可能你发现过系统中存在这样的进程:svch0st.exe 、explore.exe 、iexplorer.exe 、winlogin.exe 。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的 o 改为0,l 改为 i,i 改为 j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和 iexplore.exe本来就容易搞混,再出现个iexplorer.exe 就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一
5、劫。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 20 页 - - - - - - - - - 2.偷梁换柱如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe ,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“ 任务管理器 ” 无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:system32”
6、目录下(Windows2000 则是 C:WINNTsystem32 目录) ,如果病毒将自身复制到“C:” 中,并改名为 svchost.exe ,运行后,我们在 “ 任务管理器 ” 中看到的也是 svchost.exe ,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?3.借尸还魂除了上文中的两种方法外,病毒还有一招终极大法借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll 文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的。上文中提到了很多系统进程,这些
7、系统进程到底有何作用,其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解病毒的“ 以假乱真 ” 和“ 偷梁换柱 ” 了。常被病毒冒充的进程名有:svch0st.exe 、schvost.exe 、scvhost.exe 。随着 Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe 进程来启动。而系统服务是以动态链接库(DLL) 形式实现的,它们把可执行程序指向scvhost ,由 cvhost 调用相应服务的动态链接库来启动服务。我们可以打开“ 控制面板 ”“管理工具 ” 服务,双击其中“Clip
8、Book ”服 务 , 在 其 属 性 面 板 中 可 以 发 现 对 应 的 可 执 行 文 件 路 径 为“C:clipsrv.exe”。 再双 击 “Alerter”服 务 , 可 以 发现 其可 执 行文 件 路 径为“C: WINDOWSsystem32svchost.exe-kLocalService”, 而 “Server ”服 务 的 可 执 行 文 件 路 径 为“C: WINDOWSsystem32svchost.exe-knetsvcs ”。正是通过这种调用, 可以省下不少系统资源, 因此系统中出现多个 svchost.exe ,其实只是系统的服务而已。在 Windows
9、2000 系统中一般存在 2个 svchost.exe 进程, 一个是 RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe ;而在 WindowsXP 中,则一般有 4个以上的 svchost.exe 服务进程。如果 svchost.exe 进程的数量多于 5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows 优化大师的进程管理功能,查看 svchost.exe的可执行文件路径,如果在“C:system32” 目录外,那么就可以判定是病毒了。常被病毒冒充的进程名有:iexplorer.
10、exe 、expiorer.exe 、explore.exe 。explorer.exe 就是我们经常会用到的 “ 资源管理器 ” 。如果在 “ 任务管理器 ” 中将 explorer.exe 进程结束, 那么包括任务栏、 桌面、以及打开的文件都会统统消失,单击“ 任务管理器 ”“文件 ”“新建任务 ” ,输入 “explorer.exe”后,消失的东西又重新回来了。explorer.exe 进程的作用就是让我们管理计算机中的资源。explorer.exe 进程默认是和系统一起启动的,其对应可执行文件的路径为“C: Windows ”目录,名师资料总结 - - -精品资料欢迎下载 - - -
11、- - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 20 页 - - - - - - - - - 除此之外则为病毒。iexplore.exe 常 被 病 毒 冒 充 的 进 程 名 有 : iexplorer.exe 、iexploer.exeiexplorer.exe进 程 和 上 文 中 的explorer.exe 进程名很相像,因此比较容易搞混,其实iexplorer.exe 是 MicrosoftInternetExplorer所产生的进程,也就是我们平时使用的IE 浏览器。知道作用后辨认起来应该就比较容易了,iexpl
12、orer.exe 进程名的开头为 “ie ”,就是 IE 浏览器的意思。iexplore.exe 进程对应的可执行程序位于C:ProgramFilesInternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开IE 浏览器的情况下,系统中仍然存在iexplore.exe 进程,这要分两种情况: 1.病毒假冒 iexplore.exe 进程名。 2.病毒偷偷在后台通过iexplore.exe 干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。rundll32.exe 常被病毒冒充的进程名有:rundl132.exe 、rundl32
13、.exe 。rundll32.exe在系统中的作用是执行DLL 文件中的内部函数,系统中存在多少个Rundll32.exe 进程,就表示 Rundll32.exe 启动了多少个的 DLL 文件。其实 rundll32.exe 我们是会经常用到的,他可以控制系统中的一些dll 文件,举个例子,在 “ 命令提示符 ” 中输入 “rundll32.exeuser32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。 rundll32.exe 的路径为 “C:system32” ,在别的目录则可以判定是病毒。常被病毒冒充的进程名有:spoo1sv.exe 、spolsv
14、.exe 。spoolsv.exe 是系统服务 “PrintSpooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe 进程也会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe 进程,这就一定是病毒伪装的了。限于篇幅,关于常见进程的介绍就到这里,我们平时在检查进程的时候如果发现有可疑,只要根据两点来判断:1.仔细检查进程的文件名;2.检查其路径。通过这两点,一般的病毒进程肯定会露出马脚。找个管理进程的好帮手
15、系统内置的 “ 任务管理器 ” 功能太弱,肯定不适合查杀病毒。因此我们可以使用专业的进程管理工具,例如 Procexp 。Procexp 可以区分系统进程和一般进程,并且以不同的颜色进行区分,让假名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 20 页 - - - - - - - - - 冒系统进程的病毒进程无处可藏。运行 Procexp 后,进程会被分为两大块,“SystemIdleProcess ”下属的进程属于系统进程,explorer.exe”下属的进程属于一般进
16、程。我们介绍过的系统进程svchost.exe 、winlogon.exe等都隶属于 “SystemIdleProcess ”,如果你在 “explorer.exe”中发现了 svchost.exe ,那么不用说,肯定是病毒冒充的 . 我给你一张系统进程列表 ,里面有基本进程和附加进程,你参照一下心里就踏实了:最基本的系统进程(也就是说,这些进程是系统运行的基本条件,有了这些进程,系统就能正常运行)smss.exe Session Manager csrss.exe 子系统服务器进程winlogon.exe 管理用户登录services.exe 包含很多系统服务lsass.exe 管理 IP
17、安全策略以及启动ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务 ) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据 (ticket) 。(系统服务 ) svchost.exe 包含很多系统服务svchost.exe SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务 ) explorer.exe 资源管理器internat.exe 托盘区的拼音图标附加的系统进程(这些进程不是必要的,你可以根据需要通过服务管理器来增加或减少)mstask.exe 允许程序在指定时间运行。(系统服务 ) regsvc.exe 允许远程注册表操作。 (系统服务
18、) winmgmt.exe 提供系统管理信息 (系统服务 )。inetinfo.exe 通过 Internet 信息服务的管理单元提供FTP 连接和管理。 (系统服务 ) tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务 ) 允许通过Internet 信息服务的管理单元管理Web 和 FTP 服务。 (系统服务 ) tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。 (系统服务 ) termsrv.exe 提供多会话环境允许客户端设备访问虚拟的Windows 2000 Professional 桌面
19、会话以及运行在服务器上的基于Windows 的程序。 (系统服务 ) dns.exe 应答对域名系统 (DNS)名称的查询和更新请求。(系统服务 ) 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 20 页 - - - - - - - - - 以下服务很少会用到,上面的服务都对安全有害,如果不是必要的应该关掉tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装Windows 2000 Professional 的能力。 (系统服务 ) 支持以下TCP/I
20、P 服务:Character Generator, Daytime, Discard, Echo, 以及Quote of the Day 。(系统服务 ) ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。 (系统服务) ups.exe 管理连接到计算机的不间断电源(UPS) 。(系统服务 ) wins.exe 为注册和解析NetBIOS 型名称的TCP/IP 客户提供 NetBIOS 名称服务。(系统服务 ) llssrv.exe License Logging Service(system service) ntfrs.exe 在多个服务
21、器间维护文件目录内容的文件同步。(系统服务 ) RsSub.exe 控制用来远程储存数据的媒体。(系统服务 ) locator.exe 管理 RPC 名称服务数据库。 (系统服务 ) lserver.exe 注册客户端许可证。 (系统服务 ) dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务 ) clipsrv.exe 支持“ 剪贴簿查看器 ” ,以便可以从远程剪贴簿查阅剪贴页面。(系统服务) msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。 (系统服务 ) faxsvc.exe 帮助您发送和接收传真。(系统服务 ) ci
22、svc.exe Indexing Service(system service) dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务 ) mnmsrvc.exe 允许有权限的用户使用NetMeeting 远程访问Windows 桌面。 (系统服务) netdde.exe 提供动态数据交换(DDE) 的网络传输和安全特性。(系统服务 ) smlogsvc.exe 配置性能日志和警报。 (系统服务 ) rsvp.exe 为依赖质量服务 (QoS) 的程序和控制应用程序提供网络信号和本地通信控制安装功能。 (系统服务 ) RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统
23、服务 ) RsFsa.exe 管理远程储存的文件的操作。(系统服务 ) grovel.exe 扫描零备份存储 (SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间。 (系统服务 ) SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务) snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务 ) snmptrap.exe 接收由本地或远程SNMP 代理程序产生的陷阱消息,然后将消息传递到运行在这台计算机上SNMP 管理程序。 (系统服务 ) UtilMan.exe 从一个窗口中启动和配置辅助工具。
24、(系统服务 ) msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务 ) 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 20 页 - - - - - - - - - 最近随着病毒和木马数量的大幅增加,大家都比较在意进程,把进程表发一下 ,不足的大家补上哈 ! services.exe 进程文件 : services or services.exe 进程名称 : Windows Service Controller 描述: 管理 W
25、indows 服务。是否为系统进程 : 是smss.exe 进程文件 : smss or smss.exe 进程名称 : Session Manager Subsystem 描述: 该进程为会话管理子系统用以初始化系统变量,MS-DOS 驱动名称类似 LPT1以及 COM,调用 Win32 壳子系统和运行在Windows 登陆过程。是否为系统进程 : 是snmp.exe 进程文件 : snmp or snmp.exe 进程名称 : Microsoft SNMP Agent 描述: Windows 简单的网络协议代理( SNMP )用于监听和发送请求到适当的网络部分。是否为系统进程 : 是spo
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022年电脑任务进程项 2022 电脑 任务 进程
限制150内