Windows 任務(wù)管理器進(jìn)程詳解-

1、Windows 任務(wù)管理器進(jìn)程詳解Win2000/XP 的任務(wù)管理器是一個(gè)非常有用的工具,它能提供我們很多信息,比如現(xiàn)在系統(tǒng)中運(yùn)行的程序(進(jìn)程,但是面對那些文件可執(zhí)行文件名我們可能有點(diǎn)茫然,不知道它們是做什么的,會(huì)不會(huì)有可疑進(jìn)程(病毒,木馬等。本文的目的就是提供一些常用的Win2000/XP 中的進(jìn)程名,并簡單說明它們的用處。在W2K/XP中,同時(shí)按下crtl+shift+Esc鍵,可以打開Windows任務(wù)管理器,單擊“進(jìn)程”,可以看到很多正在運(yùn)行的進(jìn)程,仔細(xì)看看有很多奇怪的EXE文件在運(yùn)行?下面這些并不是真正的服務(wù),而是在不同情況下運(yùn)行的程序或進(jìn)程,很多還是必需的進(jìn)程?！綜srss】:這是

2、Windows的核心部份之一,全稱為Client Server Process。我們不能結(jié)束該進(jìn)程。這個(gè)只有4K的進(jìn)程經(jīng)常消耗3MB到6MB左右的內(nèi)存,建議不要修改此進(jìn)程,讓它運(yùn)行好了?！綜tfmon】:這是安裝了WinXP(尤其是安裝ofice XP后,在桌面右下角顯示的“語言欄”,如果不希望它出現(xiàn),可通過下面的步驟取消:雙擊“控制面板”,“區(qū)域和語言設(shè)置”,單擊“語言”標(biāo)簽,單擊“詳細(xì)信息”按鈕,打開“文字服務(wù)和輸入語言”對話框,單擊下面“首選項(xiàng)”的“語言欄”按鈕,打開“語言欄設(shè)置”對話框,取消“在桌面上顯示語言欄”的勾選即可。不要小看這個(gè)細(xì)節(jié),它會(huì)為你節(jié)省1.5MB到4MB的內(nèi)存?！緀x

3、plorer】:這可不是Internet Explorer,explorer.exe總是在后臺(tái)運(yùn)行,它控制著標(biāo)準(zhǔn)的用戶界面、進(jìn)程、命令和桌面等,如果打開“任務(wù)管理器”,就會(huì)看到一個(gè)explorer.exe在后臺(tái)運(yùn)行。根據(jù)系統(tǒng)的字體、背景圖片、活動(dòng)桌面等情況的不同,通常會(huì)消耗5.8MB到36MB 內(nèi)存不等?！綥dle】:如果你在“任務(wù)管理器”看到它顯示99%的占用率,千萬不要害怕,實(shí)際上這是好事,因?yàn)檫@表示你的計(jì)算機(jī)目前有99%的性能等待你使用!這是關(guān)鍵進(jìn)程,不能結(jié)束。該進(jìn)程只有16KB的大小,循環(huán)統(tǒng)計(jì)CPU的空閑度?！綢EXPLORE】:這才是IE瀏覽器。當(dāng)我們用它上網(wǎng)沖浪時(shí),它占有7.3MB

4、甚至更多的內(nèi)存。當(dāng)然,這個(gè)隨著打開的瀏覽器窗口的增加而增多。但當(dāng)關(guān)閉所有IE窗口時(shí),它并不會(huì)從任務(wù)管理器消失,IEXPLORE.EXE依然在后臺(tái)運(yùn)行著,它的作用是加快我們再一次打開IE的速度?！緈smsgs】:這是微軟的Windows Messengr(即時(shí)通信軟件著名的MSN進(jìn)程,在WinXP的家庭版和專業(yè)版里面綁定的,如果你還運(yùn)行著Outlook和MSN Explorer等程序,該進(jìn)程會(huì)在后臺(tái)運(yùn)行支持所有這些微軟號稱的很Cool的,NET功能等新技術(shù)?！緈sn6】:這是微軟在WinXP里面綁定的MSN Explorer (MSN瀏覽器進(jìn)程,該進(jìn)程需要msmsgs.exe事先運(yùn)行。【Navp

5、w32】:這是安裝了NortonAntiVirus2002 軟件后啟動(dòng)的進(jìn)程,除非你不需要病毒檢測功能了,否則不要結(jié)束這個(gè)進(jìn)程,這個(gè)進(jìn)程同時(shí)還承擔(dān)著自動(dòng)升級病毒定義庫文件的功能和在系統(tǒng)任務(wù)欄顯示一個(gè)小圖標(biāo)的功能。【Promon】:這是Intel系列顯卡安裝的程序,在任務(wù)欄顯示圖標(biāo)控制程序,占據(jù)大約656KB 到1.1MB的內(nèi)存。【Smss】:只有45KB的大小卻占據(jù)著300KB到2MB的內(nèi)存空間,這是一個(gè)Windows的核心進(jìn)程之一,是windowsNT內(nèi)核的會(huì)話管理程序?！維vchost】:這實(shí)際上是一個(gè)服務(wù)(service,有時(shí)你會(huì)經(jīng)常在“任務(wù)管理器”里看到好幾個(gè)一樣的該進(jìn)程(分別掌管著s

6、ystem ,network,user或者其他,在windowsXP里面,如果你結(jié)束了這個(gè)進(jìn)程,那么系統(tǒng)就會(huì)在一分鐘之內(nèi)自動(dòng)關(guān)閉,在windows2000中,該進(jìn)程將顯示為關(guān)鍵進(jìn)程,禁止結(jié)束!【SystemIDLEProcess】:這是一個(gè)當(dāng)沒有任何程序或者進(jìn)程對CPU發(fā)出請求的時(shí)候調(diào)用的普通進(jìn)程,該進(jìn)程不能被結(jié)束,如果它顯示CPU占用率是97%,那就意味著只有3%的CPU 進(jìn)程被真正的程序占用著,如果你發(fā)現(xiàn)這個(gè)ldleprocesses一直保持很低的數(shù)值(比如一直顯示3%,那么肯定有一個(gè)應(yīng)用程序一直在運(yùn)行著,需要檢查一下!【taskmgr】:如果你看到了這個(gè)進(jìn)程在運(yùn)行,其實(shí)就是看這個(gè)進(jìn)程的“

7、任務(wù)管理器”本身。它大約占用了3.2MB的內(nèi)存,當(dāng)你優(yōu)化系統(tǒng)時(shí),不要忘了把它也算進(jìn)去。【W(wǎng)owexec】:當(dāng)你運(yùn)行一些老的應(yīng)用程序(比如一些16位的程序或者DOS控制臺(tái)下運(yùn)行DOS命令行程序,你就會(huì)在進(jìn)程里面發(fā)現(xiàn)它。【TaskSwitch】:在XP系統(tǒng)中安裝了powerToys后會(huì)出現(xiàn)此進(jìn)程,按Alt+Tab鍵顯示切換圖標(biāo),大約占用1.4MB到2MB的內(nèi)存空間?！驹赪IN2000/XP 中,系統(tǒng)包含以下缺省進(jìn)程】:Csrss.exeExplorer.exeInternat.exeLsass.exeMstask.exeSmss.exeSpoolsv.exeSvchost.exeServices.

8、exeSystemSystem Idle ProcessTaskmgr.exeWinlogon.exeWinmgmt.exe【下面列出更多的進(jìn)程和它們的簡要說明】進(jìn)程名描述smss.exe Session Managercsrss.exe 子系統(tǒng)服務(wù)器進(jìn)程winlogon.exe管理用戶登錄services.exe包含很多系統(tǒng)服務(wù)lsass.exe 管理IP安全策略以及啟動(dòng)ISAKMP/Oakley(IKE和IP安全驅(qū)動(dòng)程序svchost.exe Windows 2000/XP 的文件保護(hù)系統(tǒng)SPOOLSV.EXE 將文件加載到內(nèi)存中以便遲后打印explorer.exe資源管理器interna

9、t.exe托盤區(qū)的拼音圖標(biāo)mstask.exe允許程序在指定時(shí)間運(yùn)行。regsvc.exe允許遠(yuǎn)程注冊表操作。(系統(tǒng)服務(wù)->remoteregisterwinmgmt.exe 提供系統(tǒng)管理信息(系統(tǒng)服務(wù)inetinfo.exe msftpsvc,w3svc,iisadmntlntsvr.exe tlnrsvrtftpd.exe 實(shí)現(xiàn)TFTP Internet 標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)不要求用戶名和密碼termsrv.exe termservicedns.exe 應(yīng)答對域名系統(tǒng)(DNS名稱的查詢和更新請求tcpsvcs.exe 提供在PXE可遠(yuǎn)程啟動(dòng)客戶計(jì)算機(jī)上遠(yuǎn)程安裝2000 Professiona

10、l的能力ismserv.exe 允許在Windows Advanced Server 站點(diǎn)間發(fā)送和接收消息ups.exe 管理連接到計(jì)算機(jī)的不間斷電源(UPSwins.exe為注冊和解析NetBIOS 型名稱的TCP/IP客戶提供NetBIOS名稱服務(wù)llssrv.exe證書記錄服務(wù)ntfrs.exe 在多個(gè)服務(wù)器間維護(hù)文件目錄內(nèi)容的文件同步RsSub.exe 控制用來遠(yuǎn)程儲(chǔ)存數(shù)據(jù)的媒體locator.exe 管理RPC 名稱服務(wù)數(shù)據(jù)庫lserver.exe 注冊客戶端許可證dfssvc.exe管理分布于局域網(wǎng)或廣域網(wǎng)的邏輯卷clipsrv.exe 支持“剪貼簿查看器”,以便可以從遠(yuǎn)程剪貼簿查

11、閱剪貼頁面msdtc.exe 并列事務(wù),是分布于兩個(gè)以上的數(shù)據(jù)庫,消息隊(duì)列,文件系統(tǒng)或其它事務(wù)保護(hù)資源管理器。faxsvc.exe幫助您發(fā)送和接收傳真。cisvc.exe 索引服務(wù)madmin.exe 磁盤管理請求的系統(tǒng)管理服務(wù)。mnmsrvc.exe 允許有權(quán)限的用戶使用NetMeeting 遠(yuǎn)程訪問Windows 桌面。netdde.exe提供動(dòng)態(tài)數(shù)據(jù)交換(DDE 的網(wǎng)絡(luò)傳輸和安全特性。smlogsvc.exe配置性能日志和警報(bào)。rsvp.exe為依賴質(zhì)量服務(wù)(QoS的程序和控制應(yīng)用程序提供網(wǎng)絡(luò)信號和本地通信控制安裝功功能。RsEng.exe 協(xié)調(diào)用來儲(chǔ)存不常用數(shù)據(jù)的服務(wù)和管理工具。RsF

12、sa.exe 管理遠(yuǎn)程儲(chǔ)存的文件的操作。grovel.exe掃描零備份存儲(chǔ)(SIS卷上的重復(fù)文件,并且將重復(fù)文件指向一個(gè)數(shù)據(jù)存儲(chǔ)點(diǎn),以節(jié)省磁盤空間(只對NTFS文件系統(tǒng)有用SCardSvr.ex 對插入在計(jì)算機(jī)智能卡閱讀器中的智能卡進(jìn)行管理和訪問控制。snmp.exe包含代理程序可以監(jiān)視網(wǎng)絡(luò)設(shè)備的活動(dòng)并且向網(wǎng)絡(luò)控制臺(tái)工作站匯報(bào)。snmptrap.exe接收由本地或遠(yuǎn)程SNMP代理程序產(chǎn)生的陷阱(trap消息,然后將消息傳遞到運(yùn)行在這臺(tái)計(jì)算機(jī)上SNMP 管理程序。UtilMan.exe 從一個(gè)窗口中啟動(dòng)和配置輔助工具。msiexec.exe 依據(jù).MSI文件中包含的命令來安裝、修復(fù)以及刪除軟件。

13、【總結(jié)】:發(fā)現(xiàn)可疑進(jìn)程的秘訣就是要多看任務(wù)管理器中的進(jìn)程列表,看多了以后,一眼就可以發(fā)現(xiàn)可可疑進(jìn)程,就象找一群熟悉人中的陌生人一樣。windows任務(wù)管理器Windows任務(wù)管理器提供了有關(guān)計(jì)算機(jī)性能的信息,并顯示了計(jì)算機(jī)上所運(yùn)行的程序和進(jìn)程的詳細(xì)信息,可以顯示最常用的度量進(jìn)程性能的單位;如果連接到網(wǎng)絡(luò),那么還可以查看網(wǎng)絡(luò)狀態(tài)并迅速了解網(wǎng)絡(luò)是如何工作的,今天,我們就來全面了解任務(wù)管理器的方方面面。編輯本段從啟動(dòng)任務(wù)管理器開始1 Ctrl+Alt+Del最常見的方法啟動(dòng)任務(wù)管理器的方法:在Windows 98或更高版本中,使用Ctrl+Alt+Delete 組合鍵就可以直接調(diào)出。不過如果接連按了

14、兩次的話,可能會(huì)導(dǎo)致Windows系統(tǒng)重新啟動(dòng),假如此時(shí)還未保存數(shù)據(jù)的話,恐怕就欲哭無淚了。在Windows 2000中點(diǎn)擊Ctrl+Alt+Delete 組合鍵后點(diǎn)“任務(wù)管理器”。在Windows XP中點(diǎn)擊Ctrl+Alt+Delete或是Ctrl+Shift+Esc 組合鍵后點(diǎn)“任務(wù)管理器”。也可以用鼠標(biāo)右鍵點(diǎn)擊任務(wù)欄選擇“任務(wù)管理器”。也可以在開始運(yùn)行里輸入taskmgr.exe 回車在Windows Vista中使用Ctrl+Shift+Esc 組合鍵調(diào)出,也可以用鼠標(biāo)右鍵點(diǎn)擊任務(wù)欄選擇“任務(wù)管理器”。2 其他好辦法其實(shí),我們可以選擇一種更簡單的方法,就是右鍵單擊任務(wù)欄的空白處,然后

15、單擊選擇“任務(wù)管理器”命令。或者,按下“Ctrl+Shift+Esc”組合鍵也可以打開任務(wù)管理器,趕快試試吧。當(dāng)然,你也可以為WindowsSystem32taskmgr.exe文件在桌面上建立一個(gè)快捷方式,然后為此快捷方式設(shè)置一個(gè)熱鍵,以后就可以一鍵打開任務(wù)管理器了。小提示在Windows XP中,如果未使用歡迎屏幕方式登錄系統(tǒng),那么按下“Ctrl+Alt+Del”組合鍵,彈出的只是“Windows安全”窗口,必須選擇“任務(wù)管理器”才能夠打開。編輯本段windows任務(wù)管理器有什么1任務(wù)管理器的用戶界面提供了文件、選項(xiàng)、查看、窗口、關(guān)機(jī)、幫助等六大菜單項(xiàng),例如“關(guān)機(jī)”菜單下可以完成待機(jī)、休眠

16、、關(guān)閉、重新啟動(dòng)、注銷、切換等操作,其下還有應(yīng)用程序、進(jìn)程、性能、聯(lián)網(wǎng)、用戶等五個(gè)標(biāo)簽頁,窗口底部則是狀態(tài)欄,從這里可以查看到當(dāng)前系統(tǒng)的進(jìn)程數(shù)、CPU使用比率、更改的內(nèi)存<容量等數(shù)據(jù),默認(rèn)設(shè)置下系統(tǒng)每隔兩秒鐘對數(shù)據(jù)進(jìn)行1次自動(dòng)更新,當(dāng)然你也可以點(diǎn)擊“查看更新速度”菜單重新設(shè)置。1. 應(yīng)用程序這里顯示了所有當(dāng)前正在運(yùn)行的應(yīng)用程序,不過它只會(huì)顯示當(dāng)前已打開窗口的應(yīng)用程序,而QQ、MSN Messenger等最小化至系統(tǒng)托盤區(qū)的應(yīng)用程序則并不會(huì)顯示出來。你可以在這里點(diǎn)擊“結(jié)束任務(wù)”按鈕直接關(guān)閉某個(gè)應(yīng)用程序,如果需要同時(shí)結(jié)束多個(gè)任務(wù),可以按住Ctrl鍵復(fù)選;點(diǎn)擊“新任務(wù)”按鈕,可以直接打開相應(yīng)的

17、程序、文件夾、文檔或Internet資源,如果不知道程序的名稱,可以點(diǎn)擊“瀏覽”按鈕進(jìn)行搜索,其實(shí)這個(gè)“新任務(wù)”的功能看起來有些類似于開始菜單中的運(yùn)行命令。2. 進(jìn)程這里顯示了所有當(dāng)前正在運(yùn)行的進(jìn)程,包括應(yīng)用程序、后臺(tái)服務(wù)等,那些隱藏在系統(tǒng)底層深處運(yùn)行的病毒程序或木馬程序都可以在這里找到,當(dāng)然前提是你要知道它的名稱。找到需要結(jié)束的進(jìn)程名,然后執(zhí)行右鍵菜單中的“結(jié)束進(jìn)程”命令,就可以強(qiáng)行終止,不過這種方式將丟失未保存的數(shù)據(jù),而且如果結(jié)束的是系統(tǒng)服務(wù),則系統(tǒng)的某些功能可能無法正常使用。下載軟件可能會(huì)對您的計(jì)算機(jī)造成損害,強(qiáng)烈推薦以下批處理!1.當(dāng)前進(jìn)程路徑復(fù)制以下內(nèi)容到記事本,另存為path.ba

18、techo offwmic process get executablepath>path.txtstart path.txt2.當(dāng)前進(jìn)程調(diào)用的服務(wù)復(fù)制以下內(nèi)容到記事本,另存為svc.batecho offtasklist/svcset /p c=請輸入服務(wù)名:sc getdisplayname %c%pause%03.開始-運(yùn)行-輸入services.msc自己進(jìn)去好好看看吧!3. 性能從任務(wù)管理器中我們可以看到計(jì)算機(jī)性能的動(dòng)態(tài)概念,例如CPU和各種內(nèi)存的使用情況。CPU使用情況:表明處理器工作時(shí)間百分比的圖表,該計(jì)數(shù)器是處理器活動(dòng)的主要指示器,查看該圖表可以知道當(dāng)前使用的處理時(shí)間是多

19、少。CPU使用記錄:顯示處理器的使用程序隨時(shí)間的變化情況的圖表,圖表中顯示的采樣情況取決于“查看”菜單中所選擇的“更新速度”設(shè)置值,“高”表示每秒2次,“正?！北硎久績擅?次,“低”表示每四秒1次,“暫?！北硎静蛔詣?dòng)更新。PF使用情況:PF是頁面文件page file的簡寫。但這個(gè)數(shù)字常常會(huì)讓人誤解,以為是系統(tǒng)當(dāng)時(shí)所用頁面文件大小。正確含義則是正在使用的內(nèi)存之和,包括物理內(nèi)存和虛擬內(nèi)存。那么如何得知實(shí)際所使用的頁面文件大小昵?一般用第三方軟件,比如PageFile Monitor,也可以通過windows控制臺(tái)來看。本人的頁面文件預(yù)設(shè)了。頁面文件使用記錄:顯示頁面文件的量隨時(shí)間的變化情況的圖表

20、,圖表中顯示的采樣情況取決于“查看”菜單中所選擇的“更新速度”設(shè)置值。總數(shù):顯示計(jì)算機(jī)上正在運(yùn)行的句柄、線程、進(jìn)程的總數(shù)。執(zhí)行內(nèi)存:分配給程序和操作系統(tǒng)的內(nèi)存,由于虛擬內(nèi)存的存在,“峰值”可以超過最大物理內(nèi)存,“總數(shù)”值則與“頁面文件使用記錄”圖表中顯示的值相同。句柄數(shù):這個(gè)東東很專業(yè)的。會(huì)編程的人知道,我不懂,只知道被稱作指針的指針,“線程數(shù)”指程序中能獨(dú)立運(yùn)行的部分,“進(jìn)程數(shù)”簡單理解就是運(yùn)行的程序數(shù)目。物理內(nèi)存:計(jì)算機(jī)上安裝的總物理內(nèi)存,也稱RAM,“可用數(shù)”物理內(nèi)存中可被程序使用的空余量。但實(shí)際的空余量要比這個(gè)數(shù)值略大一點(diǎn),因?yàn)槲锢韮?nèi)存不會(huì)在完全用完后才去轉(zhuǎn)用虛擬內(nèi)存的。也就是說這個(gè)空

21、余量是指使用虛擬內(nèi)存(pagefile前所剩余的物理內(nèi)存?！跋到y(tǒng)緩存”被分配用于系統(tǒng)緩存用的物理內(nèi)存量。主要來存放程序和數(shù)據(jù)等。一但系統(tǒng)或者程序需要,部分內(nèi)存會(huì)被釋放出來,也就是說這個(gè)值是可變的。認(rèn)可用量總數(shù):其實(shí)就是被操作系統(tǒng)和正運(yùn)行程序所占用內(nèi)存總和,包括物理內(nèi)存和虛擬內(nèi)存(page file。它和上面的PF使用率是相等的。“限制”指系統(tǒng)所能提供的最高內(nèi)存量,包括物理內(nèi)存(RAM和虛擬(page file內(nèi)存。“峰值”指一段時(shí)間內(nèi)系統(tǒng)曾達(dá)到的內(nèi)存使用最高值。如果這個(gè)值接近上面的“限制”的話,意味著要么你增加物理內(nèi)存,要么增加pagefile,否則系統(tǒng)會(huì)給你顏色看的!內(nèi)核內(nèi)存:操作系統(tǒng)內(nèi)核和

22、設(shè)備驅(qū)動(dòng)程序所使用的內(nèi)存,“分頁數(shù)”是可以復(fù)制到頁面文件中的內(nèi)存,一旦系統(tǒng)需要這部分物理內(nèi)存的話,它會(huì)被映射到硬盤,由此可以釋放物理內(nèi)存;“未分頁”是保留在物理內(nèi)存中的內(nèi)存,這部分不會(huì)被映射到硬盤,不會(huì)被復(fù)制到頁面文件中。4. 聯(lián)網(wǎng)這里顯示了本地計(jì)算機(jī)所連接的網(wǎng)絡(luò)通信量的指示,使用多個(gè)網(wǎng)絡(luò)連接時(shí),我們可以在這里比較每個(gè)連接的通信量,當(dāng)然只有安裝網(wǎng)卡后才會(huì)顯示該選項(xiàng)。5. 用戶這里顯示了當(dāng)前已登錄和連接到本機(jī)的用戶數(shù)、標(biāo)識(標(biāo)識該計(jì)算機(jī)上的會(huì)話的數(shù)字ID、活動(dòng)狀態(tài)(正在運(yùn)行、已斷開、客戶端名,可以點(diǎn)擊“注銷”按鈕重新登錄,或者通過“斷開”按鈕連接與本機(jī)的連接,如果是局域網(wǎng)用戶,還可以向其他用戶發(fā)

23、送消息呢。在Windows SP3中,如果只有Administrator一個(gè)用戶,則不會(huì)顯示該選項(xiàng)。編輯本段windows任務(wù)管理器之特別任務(wù)其實(shí),任務(wù)管理器除了終止任務(wù)、結(jié)束進(jìn)程、查看性能外,它還可以完成很多更高級的特別任務(wù)呢。下面,我們通過幾個(gè)實(shí)例來介紹任務(wù)管理器的擴(kuò)展應(yīng)用:實(shí)例一:同時(shí)最小化多個(gè)窗口切換到“應(yīng)用程序”標(biāo)簽頁,按住Ctrl鍵同時(shí)選擇需要同時(shí)最小化的應(yīng)用程序項(xiàng)目,然后點(diǎn)擊這些項(xiàng)目中的任意一個(gè),從右鍵菜單中選擇“最小化”命令即可,這里同時(shí)還可以完成層疊、橫向平鋪、縱向平鋪等操作。實(shí)例二:降低BT軟件的資源占用率運(yùn)行BT軟件時(shí),往往會(huì)占用大量的系統(tǒng)資源,你會(huì)看到硬盤燈不停閃爍并伴

24、隨著飛速轉(zhuǎn)動(dòng)的噪音,此時(shí)無論是瀏覽網(wǎng)頁或是運(yùn)行其他應(yīng)用程序,肯定會(huì)有系統(tǒng)停滯的感覺。打開“任務(wù)管理器進(jìn)程”窗口,選擇BT軟件的進(jìn)程名,然后從右鍵菜單中選擇“設(shè)置優(yōu)先級”命令,這里可以選擇實(shí)時(shí)、高、高于標(biāo)準(zhǔn)、標(biāo)準(zhǔn)、低于標(biāo)準(zhǔn)、低等不同級別,請根據(jù)實(shí)際情況進(jìn)行設(shè)置,例如設(shè)置為“低于標(biāo)準(zhǔn)”可以降低進(jìn)程的優(yōu)先級別,從而讓W(xué)indows 為其他進(jìn)程分配更多的資源。實(shí)例三:打造增強(qiáng)版本的任務(wù)管理器有熱心網(wǎng)友從Longhorn中將任務(wù)管理器剝離出來并提供下載,我們可以借此來打造一個(gè)增強(qiáng)版本的任務(wù)管理器。解壓縮下載文件,會(huì)得到Taskkill.exe、Tasklist.exe、Taskmgr.exe 等3個(gè)文件

25、,首先覆蓋WindowsSystem32Dllcahe下的同名文件,覆蓋前請事先備份源文件,接下來繼續(xù)覆蓋WindowsSystem32下的同名文件,當(dāng)彈出“Windows文件保護(hù)”對話框時(shí),選擇“取消”按鈕。更換后的任務(wù)管理器不僅程序圖標(biāo)發(fā)生了變化,右擊進(jìn)程,可以發(fā)現(xiàn)在右鍵菜單中增加了打開所在目錄、創(chuàng)建轉(zhuǎn)儲(chǔ)文件兩個(gè)命令,而“查看選擇列”中增加了命令行、映像路徑兩個(gè)項(xiàng)目,前者可以查看所顯示的進(jìn)程是否被偽裝,后者則可以查看進(jìn)程的文件路徑。實(shí)例四:打開處理器的超線程P4處理器的超線程技術(shù)(Hyper-Threading Technology其實(shí)是相當(dāng)于將一顆處理器分為兩個(gè)虛擬的處理器,簡單地說,實(shí)

26、現(xiàn)超線程需要處理器、主板、操作系統(tǒng)三方面的支持。如果你使用的是Windows XP/Server 2003,而且確定自己的主板和處理器支持超線程,那么可以切換到“性能”標(biāo)簽頁,如果這里顯示兩個(gè)CPU使用記錄圖表的話,說明你的處理器確確實(shí)實(shí)已經(jīng)打開超線程。當(dāng)然,我們也可以在開機(jī)信息中查看超線程支持情況,一般會(huì)顯示CPU1、CPU2兩個(gè)處理器名稱,或者啟動(dòng)后進(jìn)入“設(shè)備管理器”,這樣同樣會(huì)顯示兩個(gè)處理器的信息。實(shí)例五:禁用任務(wù)管理器任務(wù)管理器可以完成如此強(qiáng)大的任務(wù),如果你使用的是公用計(jì)算機(jī),而又不希望他人私自操作任務(wù)管理器,可以在“開始運(yùn)行”框中鍵入Gpedit.msc命令打開組策略窗口,找到“本地

27、計(jì)算機(jī)策略用戶配置管理模板系統(tǒng)Ctrl+Alt+Del選項(xiàng)”項(xiàng),然后在右側(cè)窗口中選擇“刪除任務(wù)管理器”項(xiàng),將其設(shè)置為“已啟用”,以后按下“Ctrl+Alt+Del”組合鍵時(shí)就無法操作任務(wù)管理器了。當(dāng)然,通過文中提到的其他兩個(gè)方法還是可以正常操作任務(wù)管理器的,一勞永逸的解決辦法是為Taskmgr.exe文件設(shè)置用戶授權(quán),當(dāng)然必須使用NTFS文件系統(tǒng)才行,呵呵。也可以修改注冊表來禁用: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciessystem 新建Dword值:DisableTaskMgr=1(禁用DisableTa

28、skMgr=0(解禁小知識句柄:用來惟一標(biāo)識資源(例如文件中注冊表項(xiàng)的值,以便程序可以訪問它。線程:在運(yùn)行程序指令的進(jìn)程的對象,線程允許在進(jìn)程中進(jìn)行并發(fā)操作,并使一個(gè)進(jìn)程能夠在不同處理器上同時(shí)運(yùn)行其程序的不同部分。進(jìn)程:一個(gè)可執(zhí)行程序(例如資源管理器或者一種服務(wù)(例如MSTask6.當(dāng)任務(wù)管理器的界面出現(xiàn)不正常,如性能.進(jìn)程的切換欄不見了,無法最大化最小化時(shí)等等時(shí),你可以采取以下措施恢復(fù)如無管理器的界面。操作如下:在邊框上空白處雙擊即可!Windows系統(tǒng)的任務(wù)管理器是大家經(jīng)常會(huì)用到的一個(gè)程序,通常它主要被用來管理計(jì)算機(jī)進(jìn)程或者查看計(jì)算機(jī)實(shí)時(shí)的工作狀態(tài)。實(shí)際上它還有不少的妙用。奇招一:在網(wǎng)吧也

29、能“運(yùn)行”在網(wǎng)吧“混”的朋友們都知道,網(wǎng)吧的機(jī)子通常來說都會(huì)將運(yùn)行對話框屏蔽掉,如果大家碰上某些情況需要使用運(yùn)行對話框就只能束手無策了。其實(shí)這個(gè)時(shí)候任務(wù)管理器能被臨時(shí)用來代替運(yùn)行對話框的作用。先按住“Ctrl+Alt+Del”組合鍵嘗試一下能否調(diào)出任務(wù)管理器,能調(diào)出就好辦了,我們依次點(diǎn)擊任務(wù)管理器的菜單“文件新建任務(wù)”,彈出“創(chuàng)建新任務(wù)”(圖1窗口,輸入內(nèi)容試試看,它跟運(yùn)行對話框效果相同啊!奇招二:快速刷新注冊表許多軟件在安裝后會(huì)提示我們需要重新啟動(dòng)才能讓軟件正常使用,其實(shí)大部分時(shí)候這些軟件只是在“小題大做”,因?yàn)橹貑H僅是為了讓注冊表更新而已,我們可以利用任務(wù)管理器來更快地讓軟件生效。方法為

30、:在“進(jìn)程”選項(xiàng)卡中用鼠標(biāo)選擇“explorer.exe”進(jìn)程,然后點(diǎn)擊右下角的“結(jié)束進(jìn)程”按鈕將它結(jié)束,這個(gè)時(shí)候桌面顯示消失了。不必驚慌,我們在“創(chuàng)建新任務(wù)”窗口中輸入“explorer.exe”。運(yùn)行即可讓桌面恢復(fù)顯示,同時(shí)計(jì)算機(jī)的注冊表也會(huì)被更新,現(xiàn)在軟件就能正常使用了。奇招三:優(yōu)化游戲運(yùn)行許多朋友都和筆者一樣還在使用1GB以下的內(nèi)存,所以當(dāng)我們玩3D游戲的時(shí)候就會(huì)覺得運(yùn)行有些卡,這個(gè)時(shí)候除了使關(guān)閉游戲以外的所有程序以外,似乎再?zèng)]有其他節(jié)省內(nèi)存的辦法了,其實(shí)我們可以在運(yùn)行游戲前先在任務(wù)管理器中結(jié)束“explorer.exe”進(jìn)程,因?yàn)樗诤芏嗲闆r下可都是內(nèi)存耗用大戶,結(jié)束它可為我們的游戲

31、增加幾十MB的可用內(nèi)存,游戲效果當(dāng)然會(huì)有更多改善。不過此時(shí)沒了桌面顯示,啟動(dòng)游戲的方法也有所改變,我們需要打開“文件新建任務(wù)”,然后點(diǎn)擊“瀏覽”按鈕進(jìn)入游戲目錄載入游戲主程序,點(diǎn)擊“確定”即可運(yùn)行游戲。Windows 任務(wù)管理器進(jìn)程詳解閱讀:13259【W(wǎng)indows 任務(wù)管理器進(jìn)程詳解】Win2000/XP 的任務(wù)管理器是一個(gè)非常有用的工具,它能提供我們很多信息,比如現(xiàn)在系統(tǒng)中運(yùn)行的程序(進(jìn)程,但是面對那些文件可執(zhí)行文件名我們可能有點(diǎn)茫然,不知道它們是做什么的,會(huì)不會(huì)有可疑進(jìn)程(病毒,木馬等。本文的目的就是提供一些常用的Win2000/XP 中的進(jìn)程名,并簡單說明它們的用處。在W2K/XP中

32、,同時(shí)按下crtl+shift+Esc鍵,可以打開Windows任務(wù)管理器,單擊“進(jìn)程”,可以看到很多正在運(yùn)行的進(jìn)程,仔細(xì)看看有很多奇怪的EXE文件在運(yùn)行?下面這些并不是真正的服務(wù),而是在不同情況下運(yùn)行的程序或進(jìn)程,很多還是必需的進(jìn)程?！綜srss】:這是Windows的核心部份之一,全稱為Client Server Process。我們不能結(jié)束該進(jìn)程。這個(gè)只有4K的進(jìn)程經(jīng)常消耗3MB到6MB左右的內(nèi)存,建議不要修改此進(jìn)程,讓它運(yùn)行好了。【Ctfmon】:這是安裝了WinXP(尤其是安裝ofice XP后,在桌面右下角顯示的“語言欄”,如果不希望它出現(xiàn),可通過下面的步驟取消:雙擊“控制面板”,

33、“區(qū)域和語言設(shè)置”,單擊“語言”標(biāo)簽,單擊“詳細(xì)信息”按鈕,打開“文字服務(wù)和輸入語言”對話框,單擊下面“首選項(xiàng)”的“語言欄”按鈕,打開“語言欄設(shè)置”對話框,取消“在桌面上顯示語言欄”的勾選即可。不要小看這個(gè)細(xì)節(jié),它會(huì)為你節(jié)省1.5MB到4MB的內(nèi)存。那么可以將它禁止。【explorer】:這可不是Internet Explorer,explorer.exe總是在后臺(tái)運(yùn)行,它控制著標(biāo)準(zhǔn)的用戶界面、進(jìn)程、命令和桌面等,如果打開“任務(wù)管理器”,就會(huì)看到一個(gè)explorer.exe在后臺(tái)運(yùn)行。根據(jù)系統(tǒng)的字體、背景圖片、活動(dòng)桌面等情況的不同,通常會(huì)消耗5.8MB到36MB 內(nèi)存不等。【Ldle】:如果你

34、在“任務(wù)管理器”看到它顯示99%的占用率,千萬不要害怕,實(shí)際上這是好事,因?yàn)檫@表示你的計(jì)算機(jī)目前有99%的性能等待你使用!這是關(guān)鍵進(jìn)程,不能結(jié)束。該進(jìn)程只有16KB的大小,循環(huán)統(tǒng)計(jì)CPU的空閑度?！綢EXPLORE】:這才是IE瀏覽器。當(dāng)我們用它上網(wǎng)沖浪時(shí),它占有7.3MB甚至更多的內(nèi)存。當(dāng)然,這個(gè)隨著打開的瀏覽器窗口的增加而增多。但當(dāng)關(guān)閉所有IE窗口時(shí),它并不會(huì)從任務(wù)管理器消失,IEXPLORE.EXE依然在后臺(tái)運(yùn)行著,它的作用是加快我們再一次打開IE的速度?！緈smsgs】:這是微軟的Windows Messengr(即時(shí)通信軟件著名的MSN進(jìn)程,在WinXP的家庭版和專業(yè)版里面綁定的,如

35、果你還運(yùn)行著Outlook和MSN Explorer等程序,該進(jìn)程會(huì)在后臺(tái)運(yùn)行支持所有這些微軟號稱的很Cool的,NET功能等新技術(shù)。【msn6】:這是微軟在WinXP里面綁定的MSN Explorer (MSN瀏覽器進(jìn)程,該進(jìn)程需要msmsgs.exe事先運(yùn)行。【Navpw32】:這是安裝了NortonAntiVirus2002 軟件后啟動(dòng)的進(jìn)程,除非你不需要病毒檢測功能了,否則不要結(jié)束這個(gè)進(jìn)程,這個(gè)進(jìn)程同時(shí)還承擔(dān)著自動(dòng)升級病毒定義庫文件的功能和在系統(tǒng)任務(wù)欄顯示一個(gè)小圖標(biāo)的功能?！綪romon】:這是Intel系列顯卡安裝的程序,在任務(wù)欄顯示圖標(biāo)控制程序,占據(jù)大約656KB 到1.1MB的內(nèi)

36、存?！維mss】:只有45KB的大小卻占據(jù)著300KB到2MB的內(nèi)存空間,這是一個(gè)Windows的核心進(jìn)程之一,是windowsNT內(nèi)核的會(huì)話管理程序?！維vchost】:這實(shí)際上是一個(gè)服務(wù)(service,有時(shí)你會(huì)經(jīng)常在“任務(wù)管理器”里看到好幾個(gè)一樣的該進(jìn)程(分別掌管著system ,network,user或者其他,在windowsXP里面,如果你結(jié)束了這個(gè)進(jìn)程,那么系統(tǒng)就會(huì)在一分鐘之內(nèi)自動(dòng)關(guān)閉,在windows2000中,該進(jìn)程將顯示為關(guān)鍵進(jìn)程,禁止結(jié)束!【SystemIDLEProcess】:這是一個(gè)當(dāng)沒有任何程序或者進(jìn)程對CPU發(fā)出請求的時(shí)候調(diào)用的普通進(jìn)程,該進(jìn)程不能被結(jié)束,如果它顯

37、示CPU占用率是97%,那就意味著只有3%的CPU 進(jìn)程被真正的程序占用著,如果你發(fā)現(xiàn)這個(gè)ldleprocesses一直保持很低的數(shù)值(比如一直顯示3%,那么肯定有一個(gè)應(yīng)用程序一直在運(yùn)行著,需要檢查一下!【taskmgr】:如果你看到了這個(gè)進(jìn)程在運(yùn)行,其實(shí)就是看這個(gè)進(jìn)程的“任務(wù)管理器”本身。它大約占用了3.2MB的內(nèi)存,當(dāng)你優(yōu)化系統(tǒng)時(shí),不要忘了把它也算進(jìn)去。【Vptray】:這是NortonA V顯示在任務(wù)欄的一個(gè)圖標(biāo)的進(jìn)程,占用大約2.9MB左右的內(nèi)存【W(wǎng)owexec】:當(dāng)你運(yùn)行一些老的應(yīng)用程序(比如一些16位的程序或者DOS控制臺(tái)下運(yùn)行DOS命令行程序,你就會(huì)在進(jìn)程里面發(fā)現(xiàn)它?！綯askS

38、witch】:在XP系統(tǒng)中安裝了powerToys后會(huì)出現(xiàn)此進(jìn)程,按Alt+Tab鍵顯示切換圖標(biāo),大約占用1.4MB到2MB的內(nèi)存空間。【在WIN2000/XP 中,系統(tǒng)包含以下缺省進(jìn)程】:Csrss.exeExplorer.exeInternat.exeLsass.exeMstask.exeSmss.exeSpoolsv.exeSvchost.exeServices.exeSystemSystem Idle ProcessTaskmgr.exeWinlogon.exeWinmgmt.exe【下面列出更多的進(jìn)程和它們的簡要說明】進(jìn)程名描述smss.exe Session Managercsrs

39、s.exe 子系統(tǒng)服務(wù)器進(jìn)程winlogon.exe管理用戶登錄services.exe包含很多系統(tǒng)服務(wù)lsass.exe 管理IP安全策略以及啟動(dòng)ISAKMP/Oakley(IKE和IP安全驅(qū)動(dòng)程序svchost.exe Windows 2000/XP 的文件保護(hù)系統(tǒng)SPOOLSV.EXE 將文件加載到內(nèi)存中以便遲后打印explorer.exe資源管理器internat.exe托盤區(qū)的拼音圖標(biāo)mstask.exe允許程序在指定時(shí)間運(yùn)行。regsvc.exe允許遠(yuǎn)程注冊表操作。(系統(tǒng)服務(wù)->remoteregisterwinmgmt.exe 提供系統(tǒng)管理信息(系統(tǒng)服務(wù)inetinfo.e

40、xe msftpsvc,w3svc,iisadmntlntsvr.exe tlnrsvrtftpd.exe 實(shí)現(xiàn)TFTP Internet 標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)不要求用戶名和密碼termsrv.exe termservicedns.exe 應(yīng)答對域名系統(tǒng)(DNS名稱的查詢和更新請求tcpsvcs.exe 提供在PXE可遠(yuǎn)程啟動(dòng)客戶計(jì)算機(jī)上遠(yuǎn)程安裝2000 Professional的能力ismserv.exe 允許在Windows Advanced Server 站點(diǎn)間發(fā)送和接收消息ups.exe 管理連接到計(jì)算機(jī)的不間斷電源(UPSwins.exe為注冊和解析NetBIOS 型名稱的TCP/IP客戶提

41、供NetBIOS名稱服務(wù)llssrv.exe證書記錄服務(wù)ntfrs.exe 在多個(gè)服務(wù)器間維護(hù)文件目錄內(nèi)容的文件同步RsSub.exe 控制用來遠(yuǎn)程儲(chǔ)存數(shù)據(jù)的媒體locator.exe 管理RPC 名稱服務(wù)數(shù)據(jù)庫lserver.exe 注冊客戶端許可證dfssvc.exe管理分布于局域網(wǎng)或廣域網(wǎng)的邏輯卷clipsrv.exe 支持“剪貼簿查看器”,以便可以從遠(yuǎn)程剪貼簿查閱剪貼頁面msdtc.exe 并列事務(wù),是分布于兩個(gè)以上的數(shù)據(jù)庫,消息隊(duì)列,文件系統(tǒng)或其它事務(wù)保護(hù)資源管理器。faxsvc.exe幫助您發(fā)送和接收傳真。cisvc.exe 索引服務(wù)madmin.exe 磁盤管理請求的系統(tǒng)管理服務(wù)

42、。mnmsrvc.exe 允許有權(quán)限的用戶使用NetMeeting 遠(yuǎn)程訪問Windows 桌面。netdde.exe提供動(dòng)態(tài)數(shù)據(jù)交換(DDE 的網(wǎng)絡(luò)傳輸和安全特性。smlogsvc.exe配置性能日志和警報(bào)。rsvp.exe為依賴質(zhì)量服務(wù)(QoS的程序和控制應(yīng)用程序提供網(wǎng)絡(luò)信號和本地通信控制安裝功功能。RsEng.exe 協(xié)調(diào)用來儲(chǔ)存不常用數(shù)據(jù)的服務(wù)和管理工具。RsFsa.exe 管理遠(yuǎn)程儲(chǔ)存的文件的操作。grovel.exe掃描零備份存儲(chǔ)(SIS卷上的重復(fù)文件,并且將重復(fù)文件指向一個(gè)數(shù)據(jù)存儲(chǔ)點(diǎn),以節(jié)省磁盤空間(只對NTFS文件系統(tǒng)有用SCardSvr.ex 對插入在計(jì)算機(jī)智能卡閱讀器中的智

43、能卡進(jìn)行管理和訪問控制。snmp.exe包含代理程序可以監(jiān)視網(wǎng)絡(luò)設(shè)備的活動(dòng)并且向網(wǎng)絡(luò)控制臺(tái)工作站匯報(bào)。snmptrap.exe接收由本地或遠(yuǎn)程SNMP代理程序產(chǎn)生的陷阱(trap消息,然后將消息傳遞到運(yùn)行在這臺(tái)計(jì)算機(jī)上SNMP 管理程序。UtilMan.exe 從一個(gè)窗口中啟動(dòng)和配置輔助工具。msiexec.exe 依據(jù).MSI文件中包含的命令來安裝、修復(fù)以及刪除軟件。【總結(jié)】:發(fā)現(xiàn)可疑進(jìn)程的秘訣就是要多看任務(wù)管理器中的進(jìn)程列表,看多了以后,一眼就可以發(fā)現(xiàn)可可疑進(jìn)程,就象找一群熟悉人中的陌生人一樣。在W2K/XP中,同時(shí)按下Ctrl+Alt+Del鍵,可以打開Windows任務(wù)管理器,單擊“進(jìn)

44、程”,可以看到很多正在運(yùn)行的EXE進(jìn)程:【System Idle Process】:這是關(guān)鍵進(jìn)程,只有16kB,循環(huán)統(tǒng)計(jì)CPU的空閑度,這個(gè)值越大越好。該進(jìn)程不能被結(jié)束,該進(jìn)程似乎沒低于過25%,大多數(shù)情況下保持50%以上?！緎ystem】:system是windows頁面內(nèi)存管理進(jìn)程,擁有0級優(yōu)先。(當(dāng)system后面出現(xiàn).exe 時(shí)是netcontroller木馬病毒生成的文件,出現(xiàn)在c:windows目錄下,建議將其刪除。 【explorer】:explorer.exe控制著標(biāo)準(zhǔn)的用戶界面、進(jìn)程、命令和桌面等。explorer.exe 總是在后臺(tái)運(yùn)行,根據(jù)系統(tǒng)的字體、背景圖片、活動(dòng)桌面等

45、情況的不同,通常會(huì)消耗5.8MB到36MB內(nèi)存不等。(explorer.exe和Internet Explorer可不同【IEXPLORE】:iexplore.exe是Microsoft對因特網(wǎng)的主要編程器.,這個(gè)微軟視窗應(yīng)用讓你暢游網(wǎng)絡(luò)有了地方。iexplore.exe是非常必要的過程,不應(yīng)終止,除非懷疑造成問題。它的作用是加快我們再一次打開IE的速度,當(dāng)關(guān)閉所有IE窗口時(shí),它將依然在后臺(tái)運(yùn)行。當(dāng)我們用它上網(wǎng)沖浪時(shí),占有7.3MB甚至更多的內(nèi)存,內(nèi)存隨著打開瀏覽器窗口的增加也增多。【ctfmon】:這是安裝了WinXP后,在桌面右下角顯示的語言欄。如果不希望它出現(xiàn),可通過下面的步驟取消:控制

46、面板-區(qū)域和語言選項(xiàng)-語言-詳細(xì)信息-文字服務(wù)和輸入語言-(首選項(xiàng)語言欄-語言欄設(shè)置-把在桌面上顯示語言欄的勾取消。這樣會(huì)為你節(jié)省4MB多的內(nèi)存?！緒owexec】:用于支持16位操作系統(tǒng)的關(guān)鍵進(jìn)程,不能終止?！綾srss】:這是Windows的核心部份之一,全稱為Client Server Process。這個(gè)只有4K 的進(jìn)程經(jīng)常消耗3MB到6MB左右的內(nèi)存,不能終止,建議不要修改此進(jìn)程?！緒inlogon】:這個(gè)進(jìn)程處理登錄和注銷任務(wù),事實(shí)上,這個(gè)進(jìn)程是必需的,它的大小和你登錄的時(shí)間有關(guān)?！緎ervices】:services.exe是微軟windows操作系統(tǒng)的一部分。用于管理啟動(dòng)和停止

47、服務(wù)。該進(jìn)程也會(huì)處理在計(jì)算機(jī)啟動(dòng)和關(guān)機(jī)時(shí)運(yùn)行的服務(wù)。這個(gè)程序?qū)δ阆到y(tǒng)的正常運(yùn)行是非常重要的,該進(jìn)程系統(tǒng)禁止結(jié)束?！緎vchost】:Svchost.exe是屬于微軟windows操作系統(tǒng)的系統(tǒng)程序,用于執(zhí)行dll文件。這個(gè)程序?qū)δ阆到y(tǒng)的正常運(yùn)行是非常重要的。開機(jī)出現(xiàn)“Generic Host Process for Win32 Services遇到問題需要關(guān)閉”一般都是說的這個(gè)進(jìn)程找不到dll文件所致。【msmsgs】:這是微軟的Windows Messengr(即時(shí)通信軟件著名的MSN進(jìn)程,在WinXP 的家庭版和專業(yè)版里面綁定的,如果你還運(yùn)行著Outlook和MSN Explorer等程序

48、,該進(jìn)程會(huì)在后臺(tái)運(yùn)行支持所有這些微軟號稱的很Cool的,NET功能等新技術(shù)?！緈sn6】:這是微軟在WinXP里面的MSN瀏覽器進(jìn)程,當(dāng)msmsgs.exe運(yùn)行后才有這個(gè)進(jìn)程。【spoolsv】:用于將windows打印機(jī)任務(wù)發(fā)送給本地打印機(jī),關(guān)閉以后一會(huì)又自己開開?！綪romon】:這是Intel系列網(wǎng)卡配置和安裝的程序,在任務(wù)欄顯示圖標(biāo)控制程序,占據(jù)大約656KB到1.1MB的內(nèi)存?！緎mss】:只有45KB的大小卻占據(jù)著300KB到2MB的內(nèi)存空間,這是一個(gè)Windows 的核心進(jìn)程之一,是windowsNT內(nèi)核的會(huì)話管理程序?！総askmgr】:如果你看到了這個(gè)進(jìn)程在運(yùn)行,其實(shí)就是看這

49、個(gè)進(jìn)程的“任務(wù)管理器”本身。它大約占用了3.2MB的內(nèi)存,當(dāng)你優(yōu)化系統(tǒng)時(shí),不要忘了把它也算進(jìn)去?！綯astch】:在XP系統(tǒng)中安裝了powerToys后會(huì)出現(xiàn)此進(jìn)程,按Alt+Tab鍵顯示切換圖標(biāo),大約占用1.4MB到2MB的內(nèi)存空間。【lsass】:本地安全權(quán)限服務(wù)。是微軟安全機(jī)制的系統(tǒng)進(jìn)程,主要處理一些特殊的安全機(jī)制和登錄策略?！綼tievxx】:這是隨ati顯卡硬件產(chǎn)品驅(qū)動(dòng)一起安裝而來。它不是純粹的系統(tǒng)程序,但如果終止它,可能會(huì)導(dǎo)致不可知的問題?！綼lg】:這是微軟windows操作系統(tǒng)自帶的程序。它用于處理微軟windows網(wǎng)絡(luò)連接共享和網(wǎng)絡(luò)連接防火墻,這個(gè)程序?qū)δ阆到y(tǒng)的正常運(yùn)行是非常

50、重要的。非windows任務(wù)管理器:大多數(shù)人會(huì)想起Windows任務(wù)管理器,但是Windows的這個(gè)任務(wù)管理器實(shí)在是太簡陋了,因此很多人轉(zhuǎn)而使用第三方軟件。目前,在網(wǎng)上的流行的第三方任務(wù)管理器比較多,比如WinProc、Windows Processes、Windows進(jìn)程管理器等。讓我們從任務(wù)管理器中抓病毒和木馬任何病毒和木馬存在于系統(tǒng)中,都無法徹底和進(jìn)程脫離關(guān)系,即使采用了隱藏技術(shù),也還是能夠從進(jìn)程中找到蛛絲馬跡,因此,查看系統(tǒng)中活動(dòng)的進(jìn)程成為我們檢測病毒木馬最直接的方法。但是系統(tǒng)中同時(shí)運(yùn)行的進(jìn)程那么多,哪些是正常的系統(tǒng)進(jìn)程,哪些是木馬的進(jìn)程,而經(jīng)常被病毒木馬假冒的系統(tǒng)進(jìn)程在系統(tǒng)中又扮演著

51、什么角色呢?請看本文。當(dāng)我們確認(rèn)系統(tǒng)中存在病毒,但是通過“任務(wù)管理器”查看系統(tǒng)中的進(jìn)程時(shí)又找不出異樣的進(jìn)程,這說明病毒采用了一些隱藏措施,總結(jié)出來有三法1.以假亂真2.偷梁換柱如果用戶比較心細(xì),那么上面這招就沒用了,病毒會(huì)被就地正法。于是乎,病毒也學(xué)聰明了,懂得了偷梁換柱這一招。如果一個(gè)進(jìn)程的名字為svchost.exe,和正常的系統(tǒng)進(jìn)程名分毫不差。那么這個(gè)進(jìn)程是不是就安全了呢?非也,其實(shí)它只是利用了“任務(wù)管理器”無法查看進(jìn)程對應(yīng)可執(zhí)行文件這一缺陷。我們知道svchost.exe進(jìn)程對應(yīng)的可執(zhí)行文件位于“C:WINDOWSsystem32”目錄下(Windows2000則是C:WINNTsys

52、tem32目錄,如果病毒將自身復(fù)制到“C:WINDOWS”中,并改名為svchost.exe,運(yùn)行后,我們在“任務(wù)管理器”中看到的也是svchost.exe,和正常的系統(tǒng)進(jìn)程無異。你能辨別出其中哪一個(gè)是病毒的進(jìn)程嗎?但在Vista(或更高版本中的windows任務(wù)管理器可以看到進(jìn)程的路徑,病毒的這招就沒用了.3.借尸還魂除了上文中的兩種方法外,病毒還有一招終極大法借尸還魂。所謂的借尸還魂就是病毒采用了進(jìn)程插入技術(shù),將病毒運(yùn)行所需的dll文件插入正常的系統(tǒng)進(jìn)程中,表面上看無任何可疑情況,實(shí)質(zhì)上系統(tǒng)進(jìn)程已經(jīng)被病毒控制了,除非我們借助專業(yè)的進(jìn)程檢測工具,否則要想發(fā)現(xiàn)隱藏在其中的病毒是很困難的。上文中

53、提到了很多系統(tǒng)進(jìn)程,這些系統(tǒng)進(jìn)程到底有何作用,其運(yùn)行原理又是什么?下面我們將對這些系統(tǒng)進(jìn)程進(jìn)行逐一講解,相信在熟知這些系統(tǒng)進(jìn)程后,就能成功破解病毒的“以假亂真”和“偷梁換柱”了。常被病毒冒充的進(jìn)程名有:svch0st.exe、schvost.exe、scvhost.exe。隨著Windows系統(tǒng)服務(wù)不斷增多,為了節(jié)省系統(tǒng)資源,微軟把很多服務(wù)做成共享方式,交由svchost.exe進(jìn)程來啟動(dòng)。而系統(tǒng)服務(wù)是以動(dòng)態(tài)鏈接庫(DLL形式實(shí)現(xiàn)的,它們把可執(zhí)行程序指向scvhost,由cvhost調(diào)用相應(yīng)服務(wù)的動(dòng)態(tài)鏈接庫來啟動(dòng)服務(wù)。我們可以打開“控制面板”“管理工具”服務(wù),雙擊其中“ClipBook”服務(wù),

54、在其屬性面板中可以發(fā)現(xiàn)對應(yīng)的可執(zhí)行文件路徑為“C:WINDOWSsystem32clipsrv.exe”。再雙擊“Alerter”服務(wù),可以發(fā)現(xiàn)其可執(zhí)行文件路徑為“C:WINDOWSsystem32svchost.exe-kLocalService”,而“Server”服務(wù)的可執(zhí)行文件路徑為“C:WINDOWSsystem32svchost.exe-knetsvcs”。正是通過這種調(diào)用,可以省下不少系統(tǒng)資源,因此系統(tǒng)中出現(xiàn)多個(gè)svchost.exe,其實(shí)只是系統(tǒng)的服務(wù)而已。在Windows2000系統(tǒng)中一般存在2個(gè)svchost.exe進(jìn)程,一個(gè)是RPCSS(RemoteProcedureCa

55、ll服務(wù)進(jìn)程,另外一個(gè)則是由很多服務(wù)共享的一個(gè)svchost.exe;而在WindowsXP中,則一般有4個(gè)以上的svchost.exe服務(wù)進(jìn)程。如果svchost.exe進(jìn)程的數(shù)量多于5個(gè),就要小心了,很可能是病毒假冒的,檢測方法也很簡單,使用一些進(jìn)程管理工具,例如Windows優(yōu)化大師的進(jìn)程管理功能,查看svchost.exe的可執(zhí)行文件路徑,如果在“C:WINDOWSsystem32”目錄外,那么就可以判定是病毒了。常被病毒冒充的進(jìn)程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我們經(jīng)常會(huì)用到的“資源管理器”。如果在“任務(wù)

56、管理器”中將explorer.exe進(jìn)程結(jié)束,那么包括任務(wù)欄、桌面、以及打開的文件都會(huì)統(tǒng)統(tǒng)消失,單擊“任務(wù)管理器”“文件”“新建任務(wù)”,輸入“explorer.exe”后,消失的東西又重新回來了。explorer.exe進(jìn)程的作用就是讓我們管理計(jì)算機(jī)中的資源。explorer.exe進(jìn)程默認(rèn)是和系統(tǒng)一起啟動(dòng)的,其對應(yīng)可執(zhí)行文件的路徑為windows所在目錄,除此之外則為病毒。iexplore.exerundll32.exe常被病毒冒充的進(jìn)程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系統(tǒng)服務(wù)“PrintSpooler”所對應(yīng)的可執(zhí)行程序,其作用是管理所有本地和網(wǎng)絡(luò)打印隊(duì)列及控制所有打印工作。如果此服務(wù)被停用,計(jì)算機(jī)上的打印將不可用,同時(shí)spoolsv.exe進(jìn)程也會(huì)從計(jì)算機(jī)上消失。如果你不存在打印機(jī)設(shè)備,那么就把這項(xiàng)服務(wù)關(guān)閉吧,可以節(jié)省系統(tǒng)資源。停止并關(guān)閉服務(wù)后,如果系統(tǒng)中還存在spoolsv.exe進(jìn)程,這就一定是病毒偽裝的了。限于篇