Windows 2000/XP 的任務管理器是一個非常有用的工具,它能提供我們很多信息,比如現在系統中運行的程序(進程),但是面對那些文件可執行文件名我們可能有點茫然,不知道它們是做什麼的,會不會有可疑進程(病毒,木馬等)。本文的目的就是提供一些常用的Windows 2000 中的進程名,並簡單說明它們的用處。
在 WINDOWS 2000 中,系統包含以下缺省進程:
Csrss.exe
Explorer.exe
Internat.exe
Lsass.exe
Mstask.exe
Smss.exe
Spoolsv.exe
Svchost.exe
Services.exe
System
System Idle Process
Taskmgr.exe
WinLogon.exe
Winmgmt.exe
下面列出更多的進程和它們的簡要說明
進程名描述
smss.exeSessionManager
csrss.exe 子系統服務器進程
winLogon.exe管理用戶登錄
services.exe包含很多系統服務
lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。
svchost.exe Windows 2000/XP 的文件保護系統
SPOOLSV.EXE 將文件加載到內存中以便遲後打印。)
explorer.exe資源管理器
internat.exe托盤區的拼音圖標)
mstask.exe允許程序在指定時間運行。
regsvc.exe允許遠程注冊表操作。(系統服務)->remoteregister
winmgmt.exe 提供系統管理信息(系統服務)。
inetinfo.exemsftpsvc,w3svc,iisadmn
tlntsvr.exe tlnrsvr
tftpd.exe 實現 TFTP Internet 標准。該標准不要求用戶名和密碼。
termsrv.exe termservice
dns.exe 應答對域名系統(DNS)名稱的查詢和更新請求。
tcpsvcs.exe 提供在 PXE 可遠程啟動客戶計算機上遠程安裝 Windows 2000 Professional 的能力。
ismserv.exe 允許在 Windows Advanced Server 站點間發送和接收消息。
ups.exe 管理連接到計算機的不間斷電源(UPS)。
wins.exe為注冊和解析 NetBIOS 型名稱的 TCP/IP 客戶提供 NetBIOS 名稱服務。
llssrv.exe證書記錄服務
ntfrs.exe 在多個服務器間維護文件目錄內容的文件同步。
RsSub.exe 控制用來遠程儲存數據的媒體。
locator.exe 管理 RPC 名稱服務數據庫。
lserver.exe 注冊客戶端許可證。
dfssvc.exe管理分布於局域網或廣域網的邏輯卷。
clipsrv.exe 支持“剪貼簿查看器”,以便可以從遠程剪貼簿查閱剪貼頁面。
msdtc.exe 並列事務,是分布於兩個以上的數據庫,消息隊列,文件系統或其它事務保護護資源管理器。
faxsvc.exe幫助您發送和接收傳真。
cisvc.exe 索引服務
dmadmin.exe 磁盤管理請求的系統管理服務。
mnmsrvc.exe 允許有權限的用戶使用 NetMeeting 遠程訪問 Windows 桌面。
netdde.exe提供動態數據交換 (DDE) 的網絡傳輸和安全特性。
smlogsvc.exe配置性能日志和警報。
rsvp.exe為依賴質量服務(QoS)的程序和控制應用程序提供網絡信號和本地通信控制安裝功功能。
RsEng.exe 協調用來儲存不常用數據的服務和管理工具。
RsFsa.exe 管理遠程儲存的文件的操作。
grovel.exe掃描零備份存儲(SIS)卷上的重復文件,並且將重復文件指向一個數據存儲點,以節省磁盤空間(只對 NTFS 文件系統有用)。
SCardSvr.ex 對插入在計算機智能卡閱讀器中的智能卡進行管理和訪問控制。
snmp.exe包含代理程序可以監視網絡設備的活動並且向網絡控制台工作站匯報。
snmptrap.exe接收由本地或遠程 SNMP 代理程序產生的陷阱(trap)消息,然後將消息傳遞到運行在這台計算機上 SNMP 管理程序。
UtilMan.exe 從一個窗口中啟動和配置輔助工具。
msiexec.exe依據 .MSI 文件中包含的命令來安裝、修復以及刪除軟件。
總結: 發現可疑進程的秘訣就是要多看任務管理器中的進程列表,看多了以後,一眼就可以發現可可疑進程,就象找一群熟悉人中的陌生人一樣。