windows任務管理器進程的理解Windows2000/XP的傳統進程數量有限，已經按字母順序整理在后面14、15、16樓的帖子中，按首字母分三部分。因為比較長感覺很枯燥，所以放在后面。有需要的，可以參考瀏覽。如有特別的進程，會隨后及時補完。下面是先系統的常見進程列表最基本的系統進程（也就是說，這些進程是系統運行的基本條件，有了這些進程，系統就能正常運行）smss.exeSessionManagercsrss.exe子系統服務器進程winlogon.exe管理用戶登錄services.exe包含很多系統服務lsass.exe管理IP安全策略以及啟動ISAKMP/Oakley（IKE）和IP安全驅動程序。（系統服務）產生會話密鑰以及授予用于交互式客戶/服務器驗證的服務憑據（ticket）。（系統服務）svchost.exe包含很多系統服務svchost.exeSPOOLSV.EXE將文件加載到內存中以便遲后打印。（系統服務）explorer.exe資源管理器internat.exe托盤區的拼音圖標附加的系統進程（這些進程不是必要的，你可以根據需要通過服務管理器來增加或減少）mstask.exe允許程序在指定時間運行。（系統服務）regsvc.exe允許遠程注冊表操作。（系統服務）winmgmt.exe提供系統管理信息（系統服務）。inetinfo.exe通過Internet信息服務的管理單元提供FTP連接和管理。（系統服務）tlntsvr.exe允許遠程用戶登錄到系統并且使用命令行運行控制臺程序。（系統服務）允許通過Internet信息服務的管理單元管理Web和FTP服務。（系統服務）tftpd.exe實現TFTPInternet標準。該標準不要求用戶名和密碼。遠程安裝服務的一部分。（系統服務）termsrv.exe提供多會話環境允許客戶端設備訪問虛擬的Windows2000Professional桌面會話以及運行在服務器上的基于Windows的程序。（系統服務）dns.exe應答對域名系統（DNS）名稱的查詢和更新請求。（系統服務）以下服務很少會用到，對安全有害，如果不是必要的應該關掉tcpsvcs.exe提供在PXE可遠程啟動客戶計算機上遠程安裝Windows2000Professional的能力。（系統服務）支持以下TCP/IP服務：CharacterGenerator,Daytime,Discard,Echo,以及QuoteoftheDay。（系統服務）ismserv.exe允許在WindowsAdvancedServer站點間發送和接收消息。（系統服務）ups.exe管理連接到計算機的不間斷電源（UPS）。（系統服務）wins.exe為注冊和解析NetBIOS型名稱的TCP/IP客戶提供NetBIOS名稱服務。（系統服務）llssrv.exeLicenseLoggingService（systemservice）ntfrs.exe在多個服務器間維護文件目錄內容的文件同步。（系統服務）RsSub.exe控制用來遠程儲存數據的媒體。（系統服務）locator.exe管理RPC名稱服務數據庫。（系統服務）lserver.exe注冊客戶端許可證。（系統服務）dfssvc.exe管理分布于局域網或廣域網的邏輯卷。（系統服務）clipsrv.exe支持“剪貼簿查看器”，以便可以從遠程剪貼簿查閱剪貼頁面。（系統服務）msdtc.exe并列事務，是分布于兩個以上的數據庫，消息隊列，文件系統，或其它事務保護資源管理器。（系統服務）faxsvc.exe幫助您發送和接收傳真。（系統服務）cisvc.exeIndexingService（systemservice）dmadmin.exe磁盤管理請求的系統管理服務。（系統服務）mnmsrvc.exe允許有權限的用戶使用NetMeeting遠程訪問Windows桌面。（系統服務）netdde.exe提供動態數據交換（DDE）的網絡傳輸和安全特性。（系統服務）smlogsvc.exe配置性能日志和警報。（系統服務）rsvp.exe為依賴質量服務（QoS）的程序和控制應用程序提供網絡信號和本地通信控制安裝功能。（系統服務）RsEng.exe協調用來儲存不常用數據的服務和管理工具。（系統服務）RsFsa.exe管理遠程儲存的文件的操作。（系統服務）grovel.exe掃描零備份存儲（SIS）卷上的重復文件，并且將重復文件指向一個數據存儲點，以節省磁盤空間。（系統服務）SCardSvr.exe對插入在計算機智能卡閱讀器中的智能卡進行管理和訪問控制。（系統服務）snmp.exe包含代理程序可以監視網絡設備的活動并且向網絡控制臺工作站匯報。（系統服務）snmptrap.exe接收由本地或遠程SNMP代理程序產生的陷阱消息，然后將消息傳遞到運行在這臺計算機上SNMP管理程序。（系統服務）UtilMan.exe從一個窗口中啟動和配置輔助工具。（系統服務）msiexec.exe依據.MSI文件中包含的命令來安裝、修復以及刪除軟件。（系統服務）總結：發現可疑進程的秘訣就是要多看任務管理器中的進程列表，看多了以后，一眼就可以發現可疑進程，就象找一群熟悉人中的陌生人一樣。另外啰嗦一下。WindowsXP裝上Sp2后進程添加的新丁control.exe是控制面板程序。alg.exeApplicationLayerGatewayService應用層網關服務（防火墻）wscenfy.exeWindowsSecurityCenterNotificationApp安全中心警告程序Wuauclt.exeAutomaticUpdates自動升級alg.exe就是微軟windows防火墻。雖然功能不是很強，但已經能滿足用戶的最基本要求了，它占的資源相當少。wscenfy.exe就是微軟的安全中心的通知程序了。wscenfy.exe，在你系統安全設置存在風險的時候就會出現的。你要想讓它不出現，就得①安裝殺毒軟件，或者放棄監視。②開啟自動更新。③開啟防火墻，或者選擇不監視防火墻。否則這個東東就賴在任務欄了。Wuauclt.exe是windowsXP的自動更新的程序了。如果你沒有開啟自動升級的話就不會有這項進程了，而且就算你開啟了它，它也不是任何時候都開啟的。Wuauclt.exe占用的資源也不算太小。運行時內存占用達到了6m左右，好在自動升級不是每時每刻開著的。但是如果你關閉了這個程序的話，呵呵。wscenfy.exe就會啟動，又是3m內存，呵呵。時時刻刻通知你，該注意這事情了。又得內存說話了。wdfmgrorwdfmgr.exe進程WindowsDriverFoundationManager一般進程，MicrosoftWindowsmediaplayer10的一部分。由于windows2000和XP同屬于NT架構的系統在基礎核心上相同，進程上的差異不大。可以互為參考。而Windows98下，查看進程不能象2000/NT/XP系統那樣容易，使用進程察看器工具可以用來幫你解決這個問題！win98進程管理能力較弱，用戶參與性差，實際意義不是很大。個人以為，補充一個2000/XP進程的簡單說明還是比較好的。詳細說明：win2k運行進程Svchost.exeSvchost.exe文件對那些從動態連接庫中運行的服務來說是一個普通的主機進程名。Svhost.exe文件定位在系統的%systemroot%\system32文件夾下。在啟動的時候，Svchost.exe檢查注冊表中的位置來構建需要加載的服務列表。這就會使多個Svchost.exe在同一時間運行。每個Svchost.exe的回話期間都包含一組服務，以至于單獨的服務必須依*Svchost.exe怎樣和在那里啟動。這樣就更加容易控制和查找錯誤。Svchost.exe組是用下面的注冊表值來識別。HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost每個在這個鍵下的值代表一個獨立的Svchost組，并且當你正在看活動的進程時它顯示作為一個單獨的例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括運行在Svchost組內的服務。每個Svchost組都包含一個或多個從注冊表值中選取的服務名，這個服務的參數值包含了一個ServiceDLL值。HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service更多的信息為了能看到正在運行在Svchost列表中的服務。開始－運行－敲入cmd然后在敲入tlist-s（tlist應該是win2k工具箱里的冬冬）Tlist顯示一個活動進程的列表。開關-s顯示在每個進程中的活動服務列表。如果想知道更多的關于進程的信息，可以敲tlistpid。Tlist顯示Svchost.exe運行的兩個例子。0SystemProcess8System132smss.exe160csrss.exeTitle:180winlogon.exeTitle:NetDDEAgent208services.exeSvcs:AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkstation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi220lsass.exeSvcs:Netlogon,PolicyAgent,SamSs404svchost.exeSvcs:RpcSs452spoolsv.exeSvcs:Spooler544cisvc.exeSvcs:cisvc556svchost.exeSvcs:EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv580regsvc.exeSvcs:RemoteRegistry596mstask.exeSvcs:Schedule660snmp.exeSvcs:SNMP728winmgmt.exeSvcs:WinMgmt852cidaemon.exeTitle:OleMainThreadWndName812explorer.exeTitle:ProgramManager1032OSA.EXETitle:Reminder1300cmd.exeTitle:D:\WINNT5\System32\cmd.exe-tlist-s1080MAPISP32.EXETitle:WMSIdle12***rundll32.exeTitle:1000mmc.exeTitle:DeviceManager1144tlist.exe在這個例子中注冊表設置了兩個組。HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost:netsvcs:Reg_Multi_SZ:EventSystemIasIpripIrmonNetmanNwsapagentRasautoRasmanRemoteaccessSENSSharedaccessTapisrvNtmssvcrpcss:Reg_Multi_SZ:RpcSssmss.execsrss.exe這個是用戶模式Win32子系統的一部分。csrss代表客戶/服務器運行子系統而且是一個基本的子系統必須一直運行。csrss負責控制windows，創建或者刪除線程和一些16位的虛擬MS-DOS環境。explorer.exe這是一個用戶的shell（我實在是不知道怎么翻譯shell），在我們看起來就像任務條，桌面等等。這個進程并不是像你想象的那樣是作為一個重要的進程運行在windows中，你可以從任務管理器中停掉它，或者重新啟動。通常不會對系統產生什么負面影響。internat.exe這個進程是可以從任務管理器中關掉的。internat.exe在啟動的時候開始運行。它加載由用戶指定的不同的輸入點。輸入點是從注冊表的這個位置HKEY_USERS\.DEFAULT\KeyboardLayout\Preload加載內容的。internat.exe加載“EN"圖標進入系統的圖標區，允許使用者可以很容易的轉換不同的輸入點。當進程停掉的時候，圖標就會消失，但是輸入點仍然可以通過控制面板來改變。lsass.exe這個進程是不可以從任務管理器中關掉的。這是一個本地的安全授權服務，并且它會為使用winlogon服務的授權用戶生成一個進程。這個進程是通過使用授權的包，例如默認的msgina.dll來執行的。如果授權是成功的，lsass就會產生用戶的進入令牌，令牌別使用啟動初始的shell。其他的由用戶初始化的進程會繼承這個令牌的。mstask.exe這個進程是不可以從任務管理器中關掉的。這是一個任務調度服務，負責用戶事先決定在某一時間運行的任務的運行。smss.exe這個進程是不可以從任務管理器中關掉的。這是一個會話管理子系統，負責啟動用戶會話。這個進程是通過系統進程初始化的并且對許多活動的，包括已經正在運行的Winlogon,Win32（Csrss.exe）線程和設定的系統變量作出反映。在它啟動這些進程后，它等待Winlogon或者Csrss結束。如果這些過程時正常的，系統就關掉了。如果發生了什么不可預料的事情，smss.exe就會讓系統停止響應（就是掛起）。spoolsv.exe這個進程是不可以從任務管理器中關掉的。緩沖（spooler）服務是管理緩沖池中的打印和傳真作業。service.exe這個進程是不可以從任務管理器中關掉的。大多數的系統核心模式進程是作為系統進程在運行。SystemIdleProcess這個進程是不可以從任務管理器中關掉的。這個進程是作為單線程運行在每個處理器上，并在系統不處理其他線程的時候分派處理器的時間。winlogon.exe這個進程是管理用戶登錄和推出的。而且winlogon在用戶按下CTRL+ALT+DEL時就激活了，顯示安全對話框。winmgmt.exewinmgmt是win2000客戶端管理的核心組件。當客戶端應用程序連接或當管理程序需要他本身的服務時這個進程初始化taskmagr.exe這個進程呀，哈哈，就是任務管理器了若有什么不周之處，還望指正.WIN2K_AS安全模式啟動服務C:\WINNT\System32\WBEM\WinMgmt.exeWindowsManagementInstrumentation提供系統管理信息。C:\WINNT\system32\svchost-krpcssRemoteProcedureCall(RPC)提供終結點映射程序(endpointmapper)以及其它RPC服務。C:\WINNT\system32\services.exePlugandPlay管理設備安裝以及配置，并且通知程序關于設備更改的情況。C:\WINNT\System32\services.exeLogicalDiskManager邏輯磁盤管理器監視狗服務C:\WINNT\system32\services.exeEventLog記錄程序和Windows發送的事件消息。事件日志包含對診斷問題有所幫助的信息。您可以在“事件查看器”中查看報告。這個狀態下只有WinMgmt.exesvchost.exeservices.exe三個進程出現.任務管理器的妙用3?有“Explorer.exe"進程表示系統中有木馬病毒？某日，筆者的朋友偶然發現自己的任務管理器的進程列表中有一名為“Explorer.exe"的進程，與他平時常見的“explorer.exe”稍有區別，聯想到某些木馬將自己偽裝成“svchOst”、“explOer.exe”的形式，于是他驚呼“我中木馬了！”。為了搞清該問題，筆者做了如下試驗：首先打開C:\Windows目錄，發現explorer.exe文件的文件名為“Explorer.exe”，難道問題與此有關？由于Explorer.exe正在被使用，不能直接改名，于是打開任務管理器，切換到“進程”標簽，結束掉“Explorer.exe”進程，接下來再運行“文件一新建任務（運行）”菜單，單擊“瀏覽”按鈕，定位到C:\Windows目錄并將Explorer.exe文件名修改為“explorer.exe”后，將該程序重新添加到進程列表，筆者發現進程列表中出現了久違的“explorer.exe”。由此可以判定這并不是木馬的偽裝，而是某些軟件在安裝時修改了explorer.exe的文件名所致。JustDoIt：任務管理器的進程列表管理對文件名的大小寫敏感，其實不光是explorer.exe，其它任何文件，如QQ、MyIE等，我們將其文件名大小寫混亂改寫（甚至修改為其它任何名字），在進程列表中會看到修改后的變化。如果我們將其修改為跟系統進程名類似的文字，可以達到“偽裝”的目的。4.“一秒關機技巧”使用要謹慎有一個快速關機技巧為：打開任務管理器，按下Ctrl鍵，與此同時運行“關機一關閉”命令。該技巧其實應用的是WindowsXP的無提示關機模式，其效果十分顯著，不過就我們統計的情況來看，發現有使用該技巧至少有如下故障產生的可能，建議謹慎使用：★可能會出現第二次開機時系統請求進行磁盤掃描的情況，多次使用該技巧發現磁盤邏輯錯誤增多。★使用虛擬光驅的用戶可能出現系統設置丟失的情況。★關機時對正在編輯的文檔、尚未保存的程序無任何提示，導致數據損失。二、“任務管理器”強身術讓你受益無限的幾個雕蟲小技★選擇性的窗口控制：我們通過任務欄上右鍵菜單中的“層疊窗口”、“橫向平鋪窗口”等命令來對所有窗口進行布局控制，但如果是對其中幾個窗口呢？一種方法是按下Ctrl，在任務欄中選擇要控制的窗口，單擊右鍵，選擇相應命令。另一種方法為：在任務管理器的“應用程序”標簽下，同樣按下Ctrl并選擇要操作的程序，單擊右鍵，選擇相應命令即可，該方法比第一個方法的優勢在于如果我們打開的窗口數量很多，常常不能在任務欄中看到該窗口究竟是什么，容易造成誤操作，而在任務管理器中則不同。★隨時關注CPU占用情況：通常情況下我們只關心系統所有正運行的程序占用的CPU資源情況，我們可以在任務管理器中選擇“選項”菜單，勾選“使用時自動最小化”和“最小化時隱藏”，接下來運行“Regedit”打開注冊表編輯器，定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”分支，新建一個名為“Taskmanager”的REG_SZ值，將其值修改為“"c:\windows\system32\cmd.exe"/c"start"/minc:\windows\system32\taskmgr.exe”。這樣我們可以隨時將鼠標懸浮在系統托盤區域一個綠色圖標上，稍等片刻，CPU資源情況遍盡收眼底了。★遠程控制時調用任務管理器：當我們使用WindowsXP的遠程桌面連接或者使用第三方軟件進行遠程控制時，要在對方的系統中打開任務管理器，不能使用Alt+Ctrl+Del或者Ctrl+Shift+Esc熱鍵，這樣打開的是本機的任務管理器，正確的方法是運行任務欄右鍵菜單中的“任務管理器”命令。★更酷的任務管理器打開熱鍵：如果你每次都要勞神的按下三個組合鍵才能打開任務管理器，那么就為C:\WINDOWS\system32\taskmgr.exe建立一個桌面快捷方式，再在該快捷方式上單擊右鍵，選擇“屬性”，并為其分配一個熱鍵吧（如F5）。★任務管理器中也可以玩“運行”：如果“開始”菜單中的“運行”命令被屏蔽，那就試試在任務管理器中選擇“文件一新建任務（運行）”吧，效果一樣。給任務管理器加個“開關”在WindowsXP中，我們有三種方法來禁用與啟用任務管理器：方法一：運行“Regedit”命令打開注冊表編輯器，依次定位到“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”分支，在左邊找到"DisableTaskMgr”項（如沒有則新建，其類型為REG_DW0RD），其值設置為1則禁止，為0則啟用。方法二：運行“gpedit.msc”命令打開“組策略”設置窗口，依次展開“本地計算機策略一用戶配置一管理模板一系統一Ctrl+Alt+Del選項”，在右邊的“刪除任務管理器”的屬性中，設置為“已啟用”。方法三：上面兩種方法對所有用戶有效，如果你想單獨對某個用戶設置禁用，那么可以打開C:\WINDOWS\system32目錄，右鍵單擊taskmgr.exe，選擇“打開方式”菜單，在bomb出的“運行身份”窗口中勾選“下列用戶”，并指定一個用戶即可。小提示：大家遇到在任務欄區域的右鍵菜單中“任務管理器”為灰色不可選狀態，或者運行“taskmgr”命令時提示“任務管理器已被系統管理員停用”故障都可以通過上面的設置來解決。此外，如果你的任務管理器的“進程”標簽的“用戶名”一列信息丟失（顯示為空白），那么請運行'Services.msc”命令打開服務設置窗口，重新啟動TerminalServices這項服務即可。“雙擊”在任務管理器中的應用很多朋友每天都要使用無數遍任務管理器，卻未曾知道這里還有很多關于“雙擊”的技巧：★雙擊任務管理器的邊框區域，可以以“TinyFootprintmode”（精簡模式，隱藏了彩單欄，MediaPlayer也提供類似功能）顯示任務管理器，再次雙擊切換為完整模式。★切換到“應用程序”標簽，雙擊其中某個列表中某個程序，可以讓該程序對應的窗口最靠前，該技巧對于WindowsXP任務欄常常無響應的情況尤其有效，我們再不用在任務欄中單擊切換窗口前置了。不過，使用該功能時請確保取消勾選“選項一前端顯示”，否則技巧無效。★切換到“應用程序”標簽，雙擊該窗口中的任何空白處，可以快速最小化任務管理器。★切換到“性能”、“聯網”標簽，雙擊窗口任意區域可以將其對應曲線圖以最屏方式顯示，便于察看。妙用任務管理器，秘密東東巧運行不知道是否還記得本刊2004年第12期挑戰欄目中介紹的如何把常用軟件在任務欄和系統托盤的圖標隱藏，并在任務管理器的“應用程序”選項卡中不顯示該程序正在運行的幾個方法。文中提到的方法要么操作麻煩，要么又有點投機取巧，下面介紹一種在WindowsXP中更加實用的方法:/r/第一步：首先確保在用戶賬戶中啟用“使用快速用戶切換”功能，接下來打開你你要運行的程序，如開啟FlashFXP、BT下載東西或者Winamp聽歌。第二步:新建一個具有管理員權限的賬戶（假設其賬戶名為123），接下來打開任務管理器，切換到“用戶”標簽，在其列表中找到“123”這個賬戶名，右鍵單擊，選