在W2K/XP中,同時按下crtl+shift+Esc鍵,可以打開Windows任務管理器,單擊“進程”,可以看到很多正在運行的進程,仔細看看有很多奇怪的EXE文件在運行?下面這些並不是真正的服務,而是在不同情況下運行的程序或進程,很多還是必需的進程。
【Csrss】:這是Windows的核心部份之一,全稱為ClientServerProcess。我們不能結束該進程。這個只有4K的進程經常消耗3MB到6MB左右的內存,建議不要修改此進程,讓它運行好了。
【Ctfmon】:這是安裝了WinXP(尤其是安裝oficeXP)後,在桌面右下角顯示的“語言欄”,如果不希望它出現,可通過下面的步驟取消:雙擊“控制面板” ,“區域和語言設置”,單擊“語言”標籤,單擊“詳細信息”按鈕,打開“文字服務和輸入語言”對話框,單擊下面“首選項”的“語言欄”按鈕,打開“語言欄設置”對話框,取消“在桌面上顯示語言欄”的勾選即可。不要小看這個細節,它會為你節省1.5MB到4MB的內存。
【dovldr32】:如果你有一個CreativeSBLive系列的聲卡,就可能擊現這個進程,它佔用大約2.3MB到2.6MB的內存。有些奇怪的是,當我從任務欄禁止了這個進程後,通過DVD實驗,並沒有發生任何錯誤。但如果你將這個文件重新命名了,就會出現windows的文件保護警告窗口,而且CreativeMixer和AudioHQ程序加載出錯。當然你希望節省一些內存,那麼可以將它禁止。
【explorer】:這可不是InternetExplorer,explorer.exe總是在後台運行,它控制著標準的用戶界面、進程、命令和桌面等,如果打開“任務管理器”,就會看到一個explorer. exe在後台運行。根據系統的字體、背景圖片、活動桌面等情況的不同,通常會消耗5.8MB到36MB內存不等。
【Ldle】:如果你在“任務管理器”看到它顯示99%的佔用率,千萬不要害怕,實際上這是好事,因為這表示你的計算機目前有99%的性能等待你使用!這是關鍵進程,不能結束。該進程只有16KB的大小,循環統計CPU的空閒度。
【IEXPLORE】:這才是IE瀏覽器。當我們用它上網衝浪時,它佔有7.3MB甚至更多的內存。當然,這個隨著打開的瀏覽器窗口的增加而增多。但當關閉所有IE窗口時,它並不會從任務管理器消失,IEXPLORE.EXE依然在後台運行著,它的作用是加快我們再一次打開IE的速度。
【GenericHostProcessforWin32Services】:如果你安裝了ZoneAlarm以後,在連接Internet時ZonAlarm總是抱怨鏈接不到Internet,那麼你就應該好好看看下面的文字。 Svhost.exe就是GenericServiceHost,意思就是說,它是其他服務的主機。如果你的Internet連接不工作了,很有可能是你禁止了一些必須的服務,比如如果你禁止了“DNS搜索”功能,那麼當你輸入www.cfan.com.cn時就不會連接上網,但如果輸入IP地址,儘管還是可以上網,但實際上你已經破壞了上網衝浪的關鍵進程!
【msmsgs】:這是微軟的WindowsMessengr(即時通信軟件)著名的MSN進程,在WinXP的家庭版和專業版裡面綁定的,如果你還運行著Outlook和MSNExplorer等程序,該進程會在後台運行支持所有這些微軟號稱的很Cool的,NET功能等新技術。
【msn6】:這是微軟在WinXP裡面綁定的MSNExplorer(MSN瀏覽器)進程,該進程需要msmsgs.exe事先運行。
【Navpw32】:這是安裝了NortonAntiVirus2002軟件後啟動的進程,除非你不需要病毒檢測功能了,否則不要結束這個
進程,這個進程同時還承擔著自動升級病毒定義庫文件的功能和在系統任務欄顯示一個小圖標的功能。
【Point32】:這是安裝了特殊的鼠標軟件(Intellimouse等等)後啟動的等程序,由於在WinXP裡面內建了很多鼠標新功能,所以,就沒有必要在系統後台運行,既浪費1.1MB到1.6MB的內存,還要在任務欄佔個地方!
【Promon】:這是Intel系列顯卡安裝的程序,在任務欄顯示圖標控製程序,佔據大約656KB到1.1MB的內存。
【Smss】:只有45KB的大小卻佔據著300KB到2MB的內存空間,這是一個Windows的核心進程之一,是windowsNT內核的會話管理程序。
【Svchost】:這實際上是一個服務(service),有時你會經常在“任務管理器”裡看到好幾個一樣的該進程(分別掌管著system,network,user或者其他),在windowsXP裡面,如果你結束了這個進程,那麼系統就會在一分鐘之內自動關閉,在windows2000中,該進程將顯示為關鍵進程,禁止結束!
【SystemIDLEProcess】:這是一個當沒有任何程序或者進程對CPU發出請求的時候調用的普通進程,該進程不能被結束,如果它顯示CPU佔用率是97%,那就意味著只有3%的CPU進程被真正的程序佔用著,如果你發現這個ldleprocesses一直保持很低的數值(比如一直顯示3%),那麼肯定有一個應用程序一直在運行著,需要檢查一下!
【taskmgr】:如果你看到了這個進程在運行,其實就是看這個進程的“任務管理器”本身。它大約佔用了3.2MB的內存,當你優化系統時,不要忘了把它也算進去。
【Vptray】:這是NortonAV顯示在任務欄的一個圖標的進程,佔用大約2.9MB左右的內存如果我們從任務欄將這個圖標移走,能夠收回一些內存,但是實際上它還在後台運行著。
【Winlogon】:這個進程處理登錄和註銷任務,事實上,這個進程是必需的,它的大小和你登錄的時間有關係,我曾親眼看見這個進程佔用空間的波動情況,一個是登錄一個小時左右,內存在1.7MB到8.5MB之間波動;另一個登錄了40多天,內存在1.7MB到17MB之間波動。
【Wowexec】:當你運行一些老的應用程序(比如一些16位的程序)或者DOS控制台下運行DOS命令行程序,你就會在進程裡面發現它。
【TaskSwitch】:在XP系統中安裝了powerToys後會出現此進程,按Alt+Tab鍵顯示切換圖標,大約佔用1.4MB到2MB的內存空間。
【在WIN2000/XP中,系統包含以下缺省進程】:
Csrss.exe
Explorer.exe
Internat.exe
Lsass.exe
Mstask.exe
Smss.exe
Spoolsv.exe
Svchost.exe
Services.exe
System
SystemIdleProcess
Taskmgr.exe
Winlogon.exe
Winmgmt.exe
【下面列出更多的進程和它們的簡要說明】
進程名
描述
smss.exe
SessionManager
csrss.exe
子系統服務器進程
winlogon.exe管理用戶登錄
services.exe包含很多系統服務
lsass.exe
管理IP安全策略以及啟動ISAKMP/Oakley(IKE)和IP安全驅動程序
svchost.exeWindows2000/XP的文件保護系統
SPOOLSV.EXE將文件加載到內存中以便遲後打印
explorer.exe資源管理器
internat.exe托盤區的拼音圖標
mstask.exe
允許程序在指定時間運行。
regsvc.exe
允許遠程註冊表操作。 (系統服務)->remoteregister
winmgmt.exe提供系統管理信息(系統服務)
inetinfo.exemsftpsvc,w3svc,iisadmn
tlntsvr.exetlnrsvr
tftpd.exe實現TFTPInternet標準。該標準不要求用戶名和密碼
termsrv.exetermservice
dns.exe
應答對域名系統(DNS)名稱的查詢和更新請求
tcpsvcs.exe提供在PXE可遠程啟動客戶計算機上遠程安裝2000Professional的能力
ismserv.exe允許在WindowsAdvancedServer站點間發送和接收消息
ups.exe
管理連接到計算機的不間斷電源(UPS)
wins.exe
為註冊和解析NetBIOS型名稱的TCP/IP客戶提供NetBIOS名稱服務
llssrv.exe證書記錄服務
ntfrs.exe在多個服務器間維護文件目錄內容的文件同步
RsSub.exe控制用來遠程儲存數據的媒體
locator.exe管理RPC名稱服務數據庫
lserver.exe註冊客戶端許可證
dfssvc.exe管理分佈於局域網或廣域網的邏輯卷
clipsrv.exe支持“剪貼簿查看器”,以便可以從遠程剪貼簿查閱剪貼頁面
msdtc.exe並列事務,是分佈於兩個以上的數據庫,消息隊列,
文件系統或其它事務保護資源管理器。
faxsvc.exe幫助您發送和接收傳真。
cisvc.exe索引服務
madmin.exe磁盤管理請求的系統管理服務。
mnmsrvc.exe允許有權限的用戶使用NetMeeting遠程訪問Windows桌面。
netdde.exe提供動態數據交換(DDE)的網絡傳輸和安全特性。
smlogsvc.exe配置性能日誌和警報。
rsvp.exe
為依賴質量服務(QoS)的程序和控制應用程序提供網絡信號
和本地通信控制安裝功功能。
RsEng.exe協調用來儲存不常用數據的服務和管理工具。
RsFsa.exe管理遠程儲存的文件的操作。
grovel.exe掃描零備份存儲(SIS)卷上的重複文件,並且將重複文件指向一個數據存儲點,
以節省磁盤空間(只對NTFS文件系統有用)
SCardSvr.ex對插入在計算機智能卡閱讀器中的智能卡進行管理和訪問控制。
snmp.exe
包含代理程序可以監視網絡設備的活動並且向網絡控制台工作站匯報。
snmptrap.exe接收由本地或遠程SNMP代理程序產生的陷阱(trap)消息,然後將消息傳遞到
運行在這台計算機上SNMP管理程序。
UtilMan.exe從一個窗口中啟動和配置輔助工具。
msiexec.exe依據.MSI文件中包含的命令來安裝、修復以及刪除軟件。
【總結】:
發現可疑進程的秘訣就是要多看任務管理器中的進程列表,看多了以後,一眼就可以發現可可疑進程,就像找一群熟悉人中的陌生人一樣。