Drücken Sie in W2K/XP gleichzeitig die Tasten Strg+Umschalt+Esc, um den Windows-Task-Manager zu öffnen. Sehen Sie sich viele merkwürdige EXE-Dateien an. Im Folgenden handelt es sich nicht um echte Dienste, sondern um Programme oder Prozesse, die unter verschiedenen Umständen ausgeführt werden und von denen viele notwendige Prozesse sind.
[Csrss]: Dies ist einer der Kernbestandteile von Windows und sein vollständiger Name lautet ClientServerProcess. Wir können den Prozess nicht beenden. Dieser reine 4K-Prozess verbraucht oft etwa 3 MB bis 6 MB Speicher. Es wird empfohlen, diesen Prozess nicht zu ändern und ihn laufen zu lassen.
[Ctfmon]: Dies ist die „Sprachleiste“, die nach der Installation von WinXP (insbesondere OfficeXP) in der unteren rechten Ecke angezeigt wird. Wenn Sie nicht möchten, dass sie angezeigt wird, können Sie sie durch die folgenden Schritte abbrechen: Doppelklicken Sie auf „ Systemsteuerung“, „Region“ und „Spracheinstellungen“, klicken Sie auf die Registerkarte „Sprache“, klicken Sie auf die Schaltfläche „Details“, um das Dialogfeld „Textdienste und Eingabesprache“ zu öffnen, klicken Sie in den „Einstellungen“ auf die Schaltfläche „Sprachleiste“. Um das Dialogfeld „Sprachleisteneinstellungen“ zu öffnen, deaktivieren Sie unten die Option „Sprachleiste auf dem Desktop anzeigen“. Unterschätzen Sie dieses Detail nicht, es spart Ihnen 1,5 MB bis 4 MB Speicher.
[dovldr32]: Wenn Sie eine Soundkarte der CreativeSBLive-Serie besitzen, kann dieser Vorgang auftreten, der etwa 2,3 MB bis 2,6 MB Speicher beansprucht. Seltsamerweise traten keine Fehler auf, als ich den Vorgang über die Taskleiste deaktivierte und mit der DVD experimentierte. Wenn Sie diese Datei jedoch umbenennen, wird das Windows-Dateischutz-Warnfenster angezeigt und die Programme CreativeMixer und AudioHQ können nicht geladen werden. Wenn Sie Speicherplatz sparen möchten, können Sie es natürlich deaktivieren.
[Explorer]: Dies ist nicht der Internet Explorer. Explorer.exe wird immer im Hintergrund ausgeführt. Er steuert die Standardbenutzeroberfläche, Prozesse, Befehle, Desktop usw. Wenn Sie den „Task-Manager“ öffnen, wird eine explorer.exe angezeigt in Läuft im Hintergrund. Abhängig von den Schriftarten, Hintergrundbildern, dem aktiven Desktop usw. des Systems verbraucht es normalerweise 5,8 MB bis 36 MB Speicher.
[Ldle]: Wenn Sie sehen, dass im „Task-Manager“ eine Auslastung von 99 % angezeigt wird, haben Sie keine Angst. Das ist in der Tat eine gute Sache, denn es bedeutet, dass Ihr Computer derzeit über 99 % seiner Leistung verfügt Es ist ein kritischer Prozess und kann nicht beendet werden. Der Prozess ist nur 16 KB groß und zählt den CPU-Leerlauf zyklisch.
[IEXPLORE]: Dies ist der IE-Browser. Wenn wir damit im Internet surfen, benötigt es 7,3 MB oder mehr Speicher. Dies erhöht sich natürlich mit der Anzahl der geöffneten Browserfenster. Wenn jedoch alle IE-Fenster geschlossen sind, wird IEXPLORE.EXE weiterhin im Hintergrund ausgeführt. Seine Funktion besteht darin, die Geschwindigkeit zu erhöhen, wenn wir den IE erneut öffnen.
[GenericHostProcessforWin32Services]: Wenn sich ZonAlarm nach der Installation von ZoneAlarm immer darüber beschwert, dass keine Verbindung zum Internet hergestellt werden kann, sollten Sie sich den folgenden Text genau ansehen. Svhost.exe ist GenericServiceHost, was bedeutet, dass es der Host anderer Dienste ist. Wenn Ihre Internetverbindung nicht funktioniert, haben Sie wahrscheinlich einige notwendige Dienste deaktiviert. Wenn Sie beispielsweise die Funktion „DNS-Suche“ deaktiviert haben, werden Sie nicht mit dem Internet verbunden, wenn Sie www.cfan.com aufrufen .cn. Aber wenn Sie die IP-Adresse eingeben, können Sie zwar immer noch im Internet surfen, aber Sie haben tatsächlich den Schlüsselprozess des Surfens im Internet zerstört!
[msmsgs]: Dies ist der berühmte MSN-Prozess von Microsofts Windows Messenger (Instant Messaging-Software). Er ist in den Home- und Professional-Editionen von WinXP enthalten. Wenn Sie auch Programme wie Outlook und MSN Explorer ausführen, wird dieser Prozess ausgeführt Der Hintergrund unterstützt all diese neuen Technologien wie NET-Funktionen, die Microsoft für sehr cool hält.
[msn6]: Dies ist der von Microsoft in WinXP gebündelte MSNExplorer-Prozess (MSN-Browser). Dieser Prozess erfordert die vorherige Ausführung von msmsgs.exe.
[Navpw32]: Dies ist ein Prozess, der nach der Installation der NortonAntiVirus2002-Software gestartet wird. Beenden Sie diesen Prozess nicht, es sei denn, Sie benötigen die Virenerkennungsfunktion.
Dieser Prozess übernimmt außerdem die Funktion, die Virendefinitionsbibliotheksdatei automatisch zu aktualisieren und ein kleines Symbol in der System-Taskleiste anzuzeigen.
[Punkt32]: Dies ist ein Programm, das nach der Installation spezieller Maussoftware (Intellimouse usw.) gestartet wird. Da in WinXP viele neue Mausfunktionen integriert sind, ist es nicht erforderlich, es im Hintergrund des Systems auszuführen, was 1,1 MB verschwendet . 1,6 MB Speicher, nimmt aber auch Platz in der Taskleiste ein!
[Promon]: Dies ist ein Programm, das von Grafikkarten der Intel-Serie installiert wird. Es zeigt ein Symbolsteuerungsprogramm in der Taskleiste an und belegt etwa 656 KB bis 1,1 MB Speicher.
[Smss]: Es ist nur 45 KB groß, belegt aber 300 KB bis 2 MB Speicherplatz. Dies ist einer der Kernprozesse von Windows und das Sitzungsverwaltungsprogramm des Windows NT-Kernels.
[Svchost]: Manchmal werden Sie im „Task-Manager“ oft mehrere gleiche Prozesse sehen (jeweils zuständig für System, Netzwerk, Benutzer oder andere). Wenn Sie diesen Prozess beenden, Das System wird innerhalb einer Minute automatisch heruntergefahren. Unter Windows 2000 wird dieser Vorgang als kritischer Vorgang angezeigt und darf nicht beendet werden!
[SystemIDLEProcess]: Dies ist ein normaler Prozess, der aufgerufen wird, wenn kein Programm oder Prozess eine Anfrage an die CPU stellt. Der Prozess kann nicht beendet werden. Wenn angezeigt wird, dass die CPU-Auslastung 97 % beträgt, bedeutet dies, dass nur 3 % der CPU vorhanden sind Prozesse werden von einem echten Programm belegt. Wenn Sie feststellen, dass dieser ldleprocesses immer einen niedrigen Wert aufweist (zeigt beispielsweise immer 3 % an), muss eine Anwendung vorhanden sein, die überprüft wurde.
[taskmgr]: Wenn Sie sehen, dass dieser Prozess ausgeführt wird, sehen Sie tatsächlich den „Task-Manager“ selbst dieses Prozesses. Es nimmt ungefähr 3,2 MB Speicher ein. Vergessen Sie also nicht, es bei der Optimierung Ihres Systems einzubeziehen.
[Vptray]: Dies ist ein Symbolprozess, der von NortonAV in der Taskleiste angezeigt wird und etwa 2,9 MB Speicher belegt. Wenn wir dieses Symbol aus der Taskleiste entfernen, kann etwas Speicher wiederhergestellt werden, aber tatsächlich läuft es immer noch im Hintergrund.
[Winlogon]: Dieser Prozess ist tatsächlich notwendig. Seine Größe hängt von der Zeit ab, in der Sie sich anmelden. Ich habe persönlich die Schwankung des von diesem Prozess belegten Speicherplatzes gesehen etwa eine Stunde, der Speicher schwankt zwischen 1,7 MB und 8,5 MB; der andere ist seit mehr als 40 Tagen angemeldet und der Speicher schwankt zwischen 1,7 MB und 17 MB.
[Wowexec]: Wenn Sie einige alte Anwendungen (z. B. einige 16-Bit-Programme) oder DOS-Befehlszeilenprogramme unter der DOS-Konsole ausführen, werden Sie es im Prozess finden.
[TaskSwitch]: Dieser Vorgang wird angezeigt, nachdem powerToys im XP-System installiert wurde. Drücken Sie Alt+Tab, um das Umschaltsymbol anzuzeigen, das etwa 1,4 MB bis 2 MB Speicherplatz beansprucht.
[In WIN2000/XP umfasst das System die folgenden Standardprozesse]:
csrss.exe
explorer.exe
Internat.exe
lsass.exe
mstask.exe
Smss.exe
Spoolsv.exe
Svchost.exe
Services.exe
System
SystemIdleProcess
Taskmgr.exe
winlogon.exe
Winmgmt.exe
[Weitere Prozesse und deren kurze Beschreibungen sind unten aufgeführt]
Prozessname
beschreiben
smss.exe
Sitzungsmanager
csrss.exe
Subsystem-Serverprozess
winlogon.exe verwaltet die Benutzeranmeldung
Services.exe enthält viele Systemdienste
lsass.exe
Verwalten Sie IP-Sicherheitsrichtlinien und aktivieren Sie ISAKMP/Oakley (IKE) und IP-Sicherheitstreiber
svchost.exeWindows2000/XP-Dateischutzsystem
SPOOLSV.EXE lädt die Datei zum späteren Drucken in den Speicher
explorer.exe Explorer
Pinyin-Symbol im Tray-Bereich von internat.exe
mstask.exe
Ermöglicht die Ausführung eines Programms zu einem bestimmten Zeitpunkt.
regsvc.exe
Remote-Registrierungsvorgänge zulassen. (Systemdienste) -> Remoteregister
winmgmt.exe stellt Systemverwaltungsinformationen (Systemdienste) bereit.
inetinfo.exemsftpsvc,w3svc,iisadmn
tlntsvr.exetlnrsvr
tftpd.exe implementiert den TFTPInternet-Standard. Der Standard erfordert keine Benutzernamen und Passwörter
termrv.exetermservice
dns.exe
Reagieren Sie auf Anfragen und Aktualisierungsanfragen für Domain Name System (DNS)-Namen
tcpsvcs.exe bietet die Möglichkeit, 2000 Professional remote auf per PXE bootfähigen Clientcomputern zu installieren
ismserv.exe ermöglicht das Senden und Empfangen von Nachrichten zwischen Windows Advanced Server-Standorten
ups.exe
Verwalten Sie unterbrechungsfreie Stromversorgungen (USV), die an Computer angeschlossen sind
wins.exe
Stellt NetBIOS-Namensdienste für TCP/IP-Clients bereit, die Namen vom Typ NetBIOS registrieren und auflösen
llssrv.exe Zertifikataufzeichnungsdienst
ntfrs.exe verwaltet die Dateisynchronisierung von Dateiverzeichnisinhalten zwischen mehreren Servern
RsSub.exe steuert die Medien, die zur Fernspeicherung von Daten verwendet werden
locator.exe verwaltet die RPC-Namensdienstdatenbank
lserver.exe registriert die Client-Lizenz
dfssvc.exe verwaltet logische Volumes, die über ein LAN oder WAN verteilt sind
clipsrv.exe unterstützt einen „Clipbook Viewer“, sodass ausgeschnittene Seiten aus einer Remote-Zwischenablage angezeigt werden können
Parallele msdtc.exe-Transaktionen werden auf mehr als zwei Datenbanken und Nachrichtenwarteschlangen verteilt.
Dateisystem- oder anderer Transaktionsschutz-Ressourcenmanager.
faxsvc.exe hilft Ihnen beim Senden und Empfangen von Faxen.
cisvc.exe-Indexdienst
Von der madmin.exe-Datenträgerverwaltung angeforderte Systemverwaltungsdienste.
mnmsrvc.exe ermöglicht autorisierten Benutzern den Remotezugriff auf den Windows-Desktop über NetMeeting.
netdde.exe stellt die Netzwerktransport- und Sicherheitsfunktionen von Dynamic Data Exchange (DDE) bereit.
smlogsvc.exe konfiguriert Leistungsprotokolle und Warnungen.
rsvp.exe
Bietet Netzwerksignalisierung für Programme und Steuerungsanwendungen, die auf Quality of Service (QoS) angewiesen sind.
und lokale Kommunikationssteuerungsinstallationsfunktion.
RsEng.exe koordiniert Dienste und Verwaltungstools, die zum Speichern selten verwendeter Daten verwendet werden.
RsFsa.exe verwaltet die Vorgänge remote gespeicherter Dateien.
grovel.exe durchsucht das Zero Backup Storage (SIS)-Volume nach doppelten Dateien und verweist die doppelten Dateien auf einen Datenspeicherpunkt.
um Speicherplatz zu sparen (nur sinnvoll für NTFS-Dateisysteme)
SCardSvr.ex verwaltet und kontrolliert den Zugriff auf Smartcards, die in den Smartcard-Leser eines Computers eingesteckt werden.
snmp.exe
Enthält Agenten, die die Aktivität von Netzwerkgeräten überwachen und der Netzwerkkonsolen-Workstation Bericht erstatten.
snmptrap.exe empfängt von lokalen oder Remote-SNMP-Agenten generierte Trap-Nachrichten und übermittelt die Nachrichten dann an
Auf diesem Computer wird ein SNMP-Verwaltungsprogramm ausgeführt.
UtilMan.exe startet und konfiguriert Hilfstools über ein Fenster.
msiexec.exe installiert, repariert und entfernt Software basierend auf Befehlen, die in .MSI-Dateien enthalten sind.
【Zusammenfassen】:
Das Geheimnis beim Erkennen verdächtiger Prozesse besteht darin, mehr über die Prozessliste im Task-Manager zu lesen. Nachdem Sie zu viel gelesen haben, können Sie verdächtige Prozesse auf einen Blick erkennen, so als würden Sie einen Fremden in einer Gruppe vertrauter Personen finden.