了解WIN2000的進程,對于病毒防護和惡意網(wǎng)站的防護有很重要的意義,通常我們都可以在中毒機器或被惡意網(wǎng)站更改設(shè)置的機器里找到一些蛛絲馬跡,這給我們殺毒提供了一些方便,下面對WIN2000的進程作一個詳細(xì)解釋:

win2000進程詳解
最基本的系統(tǒng)進程（也就是說，這些進程是系統(tǒng)運行的基本條件，有了這些進程，系統(tǒng)就能正常運行）: 
smss.exe Session Manager 
csrss.exe 子系統(tǒng)服務(wù)器進程 
winlogon.exe 管理用戶登錄 
services.exe 包含很多系統(tǒng)服務(wù) 
lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動程序。(系統(tǒng)服務(wù)) 
產(chǎn)生會話密鑰以及授予用于交互式客戶/服務(wù)器驗證的服務(wù)憑據(jù)(ticket)。(系統(tǒng)服務(wù)) 
svchost.exe 包含很多系統(tǒng)服務(wù) 
svchost.exe 
SPOOLSV.EXE 將文件加載到內(nèi)存中以便遲后打印。(系統(tǒng)服務(wù)) 
explorer.exe 資源管理器 
internat.exe 托盤區(qū)的拼音圖標(biāo) 
附加的系統(tǒng)進程（這些進程不是必要的，你可以根據(jù)需要通過服務(wù)管理器來增加或減少）: 
mstask.exe 允許程序在指定時間運行。(系統(tǒng)服務(wù)) 
regsvc.exe 允許遠(yuǎn)程注冊表操作。(系統(tǒng)服務(wù)) 
winmgmt.exe 提供系統(tǒng)管理信息(系統(tǒng)服務(wù))。 
inetinfo.exe 通過 Internet 信息服務(wù)的管理單元提供 FTP 連接和管理。(系統(tǒng)服務(wù)) 
tlntsvr.exe 允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運行控制臺程序。(系統(tǒng)服務(wù)) 
允許通過 Internet 信息服務(wù)的管理單元管理 Web 和 FTP 服務(wù)。(系統(tǒng)服務(wù)) 
tftpd.exe 實現(xiàn) TFTP Internet 標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)不要求用戶名和密碼。遠(yuǎn)程安裝服務(wù)的一部分。(系統(tǒng)服務(wù)) 
termsrv.exe 提供多會話環(huán)境允許客戶端設(shè)備訪問虛擬的 Windows 2000 Professional 桌面會話以及運行在服務(wù)器上的基 
于 Windows 的程序。(系統(tǒng)服務(wù)) 
dns.exe 應(yīng)答對域名系統(tǒng)(DNS)名稱的查詢和更新請求。(系統(tǒng)服務(wù)) 
以下服務(wù)很少會用到，上面的服務(wù)都對安全有害，如果不是必要的應(yīng)該關(guān)掉 
tcpsvcs.exe 提供在 PXE 可遠(yuǎn)程啟動客戶計算機上遠(yuǎn)程安裝 Windows 2000 Professional 的能力。(系統(tǒng)服務(wù)) 
支持以下 TCP/IP 服務(wù)：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系統(tǒng)服務(wù)) 
ismserv.exe 允許在 Windows Advanced Server 站點間發(fā)送和接收消息。(系統(tǒng)服務(wù)) 
ups.exe 管理連接到計算機的不間斷電源(UPS)。(系統(tǒng)服務(wù)) 
wins.exe 為注冊和解析 NetBIOS 型名稱的 TCP/IP 客戶提供 NetBIOS 名稱服務(wù)。(系統(tǒng)服務(wù)) 
llssrv.exe License Logging Service(system service) 
ntfrs.exe 在多個服務(wù)器間維護文件目錄內(nèi)容的文件同步。(系統(tǒng)服務(wù)) 
RsSub.exe 控制用來遠(yuǎn)程儲存數(shù)據(jù)的媒體。(系統(tǒng)服務(wù)) 
locator.exe 管理 RPC 名稱服務(wù)數(shù)據(jù)庫。(系統(tǒng)服務(wù)) 
lserver.exe 注冊客戶端許可證。(系統(tǒng)服務(wù)) 
dfssvc.exe 管理分布于局域網(wǎng)或廣域網(wǎng)的邏輯卷。(系統(tǒng)服務(wù)) 
clipsrv.exe 支持“剪貼簿查看器”，以便可以從遠(yuǎn)程剪貼簿查閱剪貼頁面。(系統(tǒng)服務(wù)) 
msdtc.exe 并列事務(wù)，是分布于兩個以上的數(shù)據(jù)庫，消息隊列，文件系統(tǒng)，或其它事務(wù)保護資源管理器。(系統(tǒng)服務(wù)) 
faxsvc.exe 幫助您發(fā)送和接收傳真。(系統(tǒng)服務(wù)) 
cisvc.exe Indexing Service(system service) 
dmadmin.exe 磁盤管理請求的系統(tǒng)管理服務(wù)。(系統(tǒng)服務(wù)) 
mnmsrvc.exe 允許有權(quán)限的用戶使用 NetMeeting 遠(yuǎn)程訪問 Windows 桌面。(系統(tǒng)服務(wù)) 
netdde.exe 提供動態(tài)數(shù)據(jù)交換 (DDE) 的網(wǎng)絡(luò)傳輸和安全特性。(系統(tǒng)服務(wù)) 
smlogsvc.exe 配置性能日志和警報。(系統(tǒng)服務(wù)) 
rsvp.exe 為依賴質(zhì)量服務(wù)(QoS)的程序和控制應(yīng)用程序提供網(wǎng)絡(luò)信號和本地通信控制安裝功能。(系統(tǒng)服務(wù)) 
RsEng.exe 協(xié)調(diào)用來儲存不常用數(shù)據(jù)的服務(wù)和管理工具。(系統(tǒng)服務(wù)) 
RsFsa.exe 管理遠(yuǎn)程儲存的文件的操作。(系統(tǒng)服務(wù)) 
grovel.exe 掃描零備份存儲(SIS)卷上的重復(fù)文件，并且將重復(fù)文件指向一個數(shù)據(jù)存儲點，以節(jié)省磁盤空間。(系統(tǒng)服務(wù)) 
SCardSvr.exe 對插入在計算機智能卡閱讀器中的智能卡進行管理和訪問控制。(系統(tǒng)服務(wù)) 
snmp.exe 包含代理程序可以監(jiān)視網(wǎng)絡(luò)設(shè)備的活動并且向網(wǎng)絡(luò)控制臺工作站匯報。(系統(tǒng)服務(wù)) 
snmptrap.exe 接收由本地或遠(yuǎn)程 SNMP 代理程序產(chǎn)生的陷阱消息，然后將消息傳遞到運行在這臺計算機上 SNMP 管理程序 
。(系統(tǒng)服務(wù)) 
UtilMan.exe 從一個窗口中啟動和配置輔助工具。(系統(tǒng)服務(wù)) 
msiexec.exe 依據(jù) .MSI 文件中包含的命令來安裝、修復(fù)以及刪除軟件。(系統(tǒng)服務(wù)) 

詳細(xì)說明：

win2k運行進程
Svchost.exe 
Svchost.exe文件對那些從動態(tài)連接庫中運行的服務(wù)來說是一個普通的主機進程名。Svhost.exe文件定位 
在系統(tǒng)的%systemroot%\system32文件夾下。在啟動的時候，Svchost.exe檢查注冊表中的位置來構(gòu)建需要 
加載的服務(wù)列表。這就會使多個Svchost.exe在同一時間運行。每個Svchost.exe的回話期間都包含一組服務(wù)， 
以至于單獨的服務(wù)必須依靠Svchost.exe怎樣和在那里啟動。這樣就更加容易控制和查找錯誤。 
Svchost.exe 組是用下面的注冊表值來識別。 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost 
每個在這個鍵下的值代表一個獨立的Svchost組，并且當(dāng)你正在看活動的進程時，它顯示作為一個單獨的 
例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括運行在Svchost組內(nèi)的服務(wù)。每個Svchost組都包含一個 
或多個從注冊表值中選取的服務(wù)名，這個服務(wù)的參數(shù)值包含了一個ServiceDLL值。 
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service 

更多的信息 
為了能看到正在運行在Svchost列表中的服務(wù)。 
開始－運行－敲入cmd 
然后在敲入 tlist -s （tlist 應(yīng)該是win2k工具箱里的冬冬） 
Tlist 顯示一個活動進程的列表。開關(guān) -s 顯示在每個進程中的活動服務(wù)列表。如果想知道更多的關(guān)于 
進程的信息，可以敲 tlist pid。 

Tlist 顯示Svchost.exe運行的兩個例子。 
0 System Process 
8 System 
132 smss.exe 
160 csrss.exe Title: 
180 winlogon.exe Title: NetDDE Agent 
208services.exe 
Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkstation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi 
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs 
404 svchost.exe Svcs: RpcSs 
452 s  
   
   
  作者： 理科老師     2003-12-21 12:42 　 回復(fù)此發(fā)言    
  
--------------------------------------------------------------------------------
 
2  續(xù)：WINDOWS2000進程詳解  
  
452 spoolsv.exe Svcs: Spooler 
544 cisvc.exe Svcs: cisvc 
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv 
580 regsvc.exe Svcs: RemoteRegistry 
596 mstask.exe Svcs: Schedule 
660 snmp.exe Svcs: SNMP 
728 winmgmt.exe Svcs: WinMgmt 
852 cidaemon.exe Title: OleMainThreadWndName 
812 explorer.exe Title: Program Manager 
1032 OSA.EXE Title: Reminder 
1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s 
1080 MAPISP32.EXE Title: WMS Idle 
1264 rundll32.exe Title: 
1000 mmc.exe Title: Device Manager 
1144 tlist.exe 
在這個例子中注冊表設(shè)置了兩個組。 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost: 
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc 
rpcss :Reg_Multi_SZ: RpcSs 

smss.exe 

csrss.exe 

這個是用戶模式Win32子系統(tǒng)的一部分。csrss代表客戶/服務(wù)器運行子系統(tǒng)而且是一個基本的子系統(tǒng) 
必須一直運行。csrss 負(fù)責(zé)控制windows，創(chuàng)建或者刪除線程和一些16位的虛擬MS-DOS環(huán)境。 

explorer.exe 
這是一個用戶的shell（我實在是不知道怎么翻譯shell），在我們看起來就像任務(wù)條，桌面等等。這個 
進程并不是像你想象的那樣是作為一個重要的進程運行在windows中，你可以從任務(wù)管理器中停掉它，或者重新啟動。 
通常不會對系統(tǒng)產(chǎn)生什么負(fù)面影響。 

internat.exe 

這個進程是可以從任務(wù)管理器中關(guān)掉的。 
internat.exe在啟動的時候開始運行。它加載由用戶指定的不同的輸入點。輸入點是從注冊表的這個位置 
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加載內(nèi)容的。 
internat.exe 加載“EN”圖標(biāo)進入系統(tǒng)的圖標(biāo)區(qū)，允許使用者可以很容易的轉(zhuǎn)換不同的輸入點。 
當(dāng)進程停掉的時候，圖標(biāo)就會消失，但是輸入點仍然可以通過控制面板來改變。 

lsass.exe 
這個進程是不可以從任務(wù)管理器中關(guān)掉的。 
這是一個本地的安全授權(quán)服務(wù)，并且它會為使用winlogon服務(wù)的授權(quán)用戶生成一個進程。這個進程是 
通過使用授權(quán)的包，例如默認(rèn)的msgina.dll來執(zhí)行的。如果授權(quán)是成功的，lsass就會產(chǎn)生用戶的進入 
令牌，令牌別使用啟動初始的shell。其他的由用戶初始化的進程會繼承這個令牌的。 

mstask.exe 
這個進程是不可以從任務(wù)管理器中關(guān)掉的。 
這是一個任務(wù)調(diào)度服務(wù)，負(fù)責(zé)用戶事先決定在某一時間運行的任務(wù)的運行。 

smss.exe 
這個進程是不可以從任務(wù)管理器中關(guān)掉的。 
這是一個會話管理子系統(tǒng)，負(fù)責(zé)啟動用戶會話。這個進程是通過系統(tǒng)進程初始化的并且對許多活動的， 
包括已經(jīng)正在運行的Winlogon，Win32（Csrss.exe）線程和設(shè)定的系統(tǒng)變量作出反映。在它啟動這些 
進程后，它等待Winlogon或者Csrss結(jié)束。如果這些過程時正常的，系統(tǒng)就關(guān)掉了。如果發(fā)生了什么 
不可預(yù)料的事情，smss.exe就會讓系統(tǒng)停止響應(yīng)（就是掛起）。 

spoolsv.exe 
這個進程是不可以從任務(wù)管理器中關(guān)掉的。 
緩沖（spooler）服務(wù)是管理緩沖池中的打印和傳真作業(yè)。 

service.exe 
這個進程是不可以從任務(wù)管理器中關(guān)掉的。 
大多數(shù)的系統(tǒng)核心模式進程是作為系統(tǒng)進程在運行。 

System Idle Process 
這個進程是不可以從任務(wù)管理器中關(guān)掉的。 
這個進程是作為單線程運行在每個處理器上，并在系統(tǒng)不處理其他線程的時候分派處理器的時間。 

winlogon.exe 
這個進程是管理用戶登錄和推出的。而且winlogon在用戶按下CTRL+ALT+DEL時就激活了，顯示安全對話框。 

winmgmt.exe 
winmgmt是win2000客戶端管理的核心組件。當(dāng)客戶端應(yīng)用程序連接或當(dāng)管理程序需要他本身的服務(wù)時這個進程初始化

taskmagr.exe 
這個進程呀，就是任務(wù)管理器了