在W2K/XP中,同時按下crtl+shift+Esc鍵,可以打開Windows任務管理器,點擊“進程”,可以看到很多正在運行的進程,仔細看看有很多奇怪的EXE檔案在運行?以下這些並不是真正的服務,而是在不同情況下運行的程式或進程,很多還是必要的進程。
【Csrss】:這是Windows的核心部份之一,全稱為ClientServerProcess。我們不能結束該進程。這個只有4K的進程經常消耗3MB到6MB左右的內存,建議不要修改此進程,讓它運行好了。
【Ctfmon】:這是安裝了WinXP(尤其是安裝oficeXP)後,在桌面右下角顯示的“語言欄”,如果不希望它出現,可通過下面的步驟取消:雙擊“控制面板”,“區域和語言設定”,點擊“語言”標籤,點擊“詳細資料”按鈕,開啟“文字服務和輸入語言”對話框,點擊下面“首選項”的“語言列”按鈕,開啟“語言欄設定”對話框,取消「在桌面上顯示語言列」的勾選即可。不要小看這個細節,它會為你節省1.5MB到4MB的記憶體。
【dovldr32】:如果你有一個CreativeSBLive系列的音效卡,就可能擊現這個進程,它佔用大約2.3MB到2.6MB的記憶體。有些奇怪的是,當我從工作列禁止了這個進程後,透過DVD實驗,並沒有發生任何錯誤。但如果你將這個檔案重新命名了,就會出現windows的檔案保護警告窗口,而且CreativeMixer和AudioHQ程式載入出錯。當然你希望節省一些內存,那麼可以禁止它。
【explorer】:這可不是InternetExplorer,explorer.exe總是在後台運行,它控制著標準的用戶界面、進程、命令和桌面等,如果打開“任務管理器”,就會看到一個explorer.exe在後台運行。根據系統的字體、背景圖片、活動桌面等情況的不同,通常會消耗5.8MB到36MB記憶體不等。
【Ldle】:如果你在「任務管理器」看到它顯示99%的佔用率,千萬不要害怕,實際上這是好事,因為這表示你的電腦目前有99%的效能等待你使用!這是關鍵進程,不能結束。行程只有16KB的大小,循環統計CPU的空閒度。
【IEXPLORE】:這才是IE瀏覽器。當我們用它上網衝浪時,它佔有7.3MB甚至更多的記憶體。當然,這個隨著打開的瀏覽器視窗的增加而增加。但當關閉所有IE視窗時,它並不會從任務管理器消失,IEXPLORE.EXE依然在後台運行著,它的作用是加快我們再一次打開IE的速度。
【GenericHostProcessforWin32Services】:如果你安裝了ZoneAlarm以後,在連接Internet時ZonAlarm總是抱怨連結不到Internet,那麼你就應該好好看看下面的文字。 Svhost.exe就是GenericServiceHost,意思是說,它是其他服務的主機。如果你的Internet連線不工作了,很有可能是你禁止了一些必須的服務,例如如果你禁止了「DNS搜尋」功能,那麼當你輸入www.cfan.com.cn時就不會連上網,但如果輸入IP位址,儘管還是可以上網,但實際上你已經破壞了上網衝浪的關鍵進程!
【msmsgs】:這是微軟的WindowsMessengr(即時通訊軟體)著名的MSN進程,在WinXP的家庭版和專業版裡面綁定的,如果你還運行著Outlook和MSNExplorer等程序,該進程會在後台運行支援所有這些微軟號稱的很Cool的,NET功能等新技術。
【msn6】:這是微軟在WinXP裡面綁定的MSNExplorer(MSN瀏覽器)進程,該進程需要msmsgs.exe事先運作。
【Navpw32】:這是安裝了NortonAntiVirus2002軟體後啟動的進程,除非你不需要病毒偵測功能了,否則不要結束這個
進程,這個進程同時也承擔著自動升級病毒定義庫檔案的功能和在系統工作列顯示一個小圖示的功能。
【Point32】:這是安裝了特殊的滑鼠軟體(Intellimouse等等)後啟動的等程序,由於在WinXP裡面內建了很多滑鼠新功能,所以,就沒有必要在系統後台運行,既浪費1.1MB到1.6MB的內存,還要在任務欄佔個地方!
【Promon】:這是Intel系列顯示卡安裝的程序,在工作列顯示圖示控製程序,佔據大約656KB到1.1MB的記憶體。
【Smss】:只有45KB的大小卻佔據著300KB到2MB的記憶體空間,這是一個Windows的核心程序之一,是windowsNT核心的會話管理程式。
【Svchost】:這其實是服務(service),有時你會經常在「任務管理器」裡看到好幾個一樣的該進程(分別掌管著system,network,user或者其他),在windowsXP裡面,如果你結束了這個進程,那麼系統就會在一分鐘之內自動關閉,在windows2000中,該進程將顯示為關鍵進程,禁止結束!
【SystemIDLEProcess】:這是一個當沒有任何程式或進程對CPU發出請求的時候呼叫的普通進程,該進程不能被結束,如果它顯示CPU佔用率是97%,那就意味著只有3%的CPU進程被真正的程式佔用著,如果你發現這個ldleprocesses一直保持很低的數值(比如一直顯示3%),那麼肯定有一個應用程式一直在運行著,需要檢查一下!
【taskmgr】:如果你看到了這個進程在運行,其實就是看這個進程的「任務管理器」本身。它大約佔用了3.2MB的內存,當你優化系統時,不要忘了把它也算進去。
【Vptray】:這是NortonAV顯示在任務欄的一個圖標的進程,佔用大約2.9MB左右的內存如果我們從任務欄將這個圖標移走,能夠收回一些內存,但是實際上它還在後台運行著。
【Winlogon】:這個進程處理登入和登出任務,事實上,這個進程是必要的,它的大小和你登入的時間有關係,我曾親眼看見這個進程佔用空間的波動情況,一個是登入一個小時左右,內存在1.7MB到8.5MB之間波動;另一個登入了40多天,內部存在1.7MB到17MB之間波動。
【Wowexec】:當你執行一些舊的應用程式(例如一些16位元的程式)或是DOS控制台下執行DOS命令列程序,你就會在進程裡面發現它。
【TaskSwitch】:在XP系統中安裝了powerToys後會出現此進程,按Alt+Tab鍵顯示切換圖標,大約佔用1.4MB到2MB的記憶體空間。
【在WIN2000/XP中,系統包含以下預設程序】:
Csrss.exe
探險家.exe
Internat.exe
Lsass.exe
Mstask.exe
Smss.exe
Spoolsv.exe
Svchost.exe
Services.exe
System
SystemIdleProcess
Taskmgr.exe
Winlogon.exe
Winmgmt.exe
【下面列出更多的進程和它們的簡要說明】
行程名
描述
smss.exe
SessionManager
csrss.exe
子系統伺服器進程
winlogon.exe管理用戶登入
services.exe包含很多系統服務
lsass.exe
管理IP安全策略以及啟動ISAKMP/Oakley(IKE)和IP安全驅動程式
svchost.exeWindows2000/XP的檔案保護系統
SPOOLSV.EXE將檔案載入記憶體以便遲後列印
explorer.exe資源管理器
internat.exe托盤區的拼音圖標
mstask.exe
允許程式在指定時間運行。
regsvc.exe
允許遠端註冊表操作。 (系統服務)->remoteregister
winmgmt.exe提供系統管理資訊(系統服務)
inetinfo.exemsftpsvc,w3svc,iisadmn
tlntsvr.exetlnrsvr
tftpd.exe實作TFTPInternet標準。該標準不要求使用者名稱和密碼
termsrv.exetermservice
dns.exe
應答對域名系統(DNS)名稱的查詢和更新請求
tcpsvcs.exe提供在PXE可遠端啟動客戶電腦上遠端安裝2000Professional的能力
ismserv.exe允許在WindowsAdvancedServer站點間發送和接收訊息
ups.exe
管理連接到電腦的不間斷電源(UPS)
wins.exe
為註冊和解析NetBIOS型名稱的TCP/IP客戶提供NetBIOS名稱服務
llssrv.exe憑證記錄服務
ntfrs.exe在多個伺服器間維護檔案目錄內容的檔案同步
RsSub.exe控制用來遠端儲存資料的媒體
locator.exe管理RPC名稱服務資料庫
lserver.exe註冊客戶端許可證
dfssvc.exe管理分佈於區域網路或廣域網路的邏輯卷
clipsrv.exe支援“剪貼簿檢視器”,以便可以從遠端剪貼簿查閱剪貼頁面
msdtc.exe並列事務,是分佈於兩個以上的資料庫,訊息佇列,
檔案系統或其它事務保護資源管理器。
faxsvc.exe可協助您傳送和接收傳真。
cisvc.exe索引服務
madmin.exe磁碟管理請求的系統管理服務。
mnmsrvc.exe允許有權限的使用者使用NetMeeting遠端存取Windows桌面。
netdde.exe提供動態資料交換(DDE)的網路傳輸和安全特性。
smlogsvc.exe配置效能日誌和警報。
rsvp.exe
為依賴品質服務(QoS)的程序和控制應用程式提供網路訊號
和本地通訊控制安裝功功能。
RsEng.exe協調用來儲存不常用資料的服務和管理工具。
RsFsa.exe管理遠端儲存的檔案的操作。
grovel.exe掃描零備份儲存(SIS)磁碟區上的重複文件,並且將重複文件指向一個資料儲存點,
以節省磁碟空間(只對NTFS檔案系統有用)
SCardSvr.ex對插入在電腦智慧卡閱讀器中的智慧卡進行管理與存取控制。
snmp.exe
包含代理程式可以監視網路設備的活動並且向網路控制台工作站報告。
snmptrap.exe接收由本機或遠端SNMP代理程式產生的陷阱(trap)訊息,然後將訊息傳遞到
運行在這台電腦上SNMP管理程式。
UtilMan.exe從一個視窗啟動和配置輔助工具。
msiexec.exe依據.MSI檔案中所包含的指令來安裝、修復以及移除軟體。
【總結】:
發現可疑進程的秘訣就是要多看任務管理器中的進程列表,看多了以後,一眼就可以發現可可疑進程,就像找一群熟悉人中的陌生人一樣。