很多朋友在使用XP操作系統(tǒng)時(shí)總是抱怨速度很慢，老是死機(jī)。排除硬件上面的緣故不說，就要從系統(tǒng)進(jìn)程里找找毛病了。但進(jìn)程那么多，而且都英文字符又沒有詳細(xì)介紹，誰知道哪個(gè)跟哪個(gè)，一不小心刪錯(cuò)了還會(huì)造成系統(tǒng)不穩(wěn)定。不急，今天會(huì)讓你清清楚楚，明明白白。

進(jìn)程也就是當(dāng)前計(jì)算機(jī)運(yùn)行的程序，包括前臺(tái)的和后臺(tái)的。在XP中，進(jìn)程主要分為關(guān)鍵進(jìn)程，應(yīng)用程序進(jìn)程，服務(wù)進(jìn)程以及后臺(tái)程序進(jìn)程。關(guān)鍵進(jìn)程也叫系統(tǒng)進(jìn)程，是指操作系統(tǒng)自身必須要執(zhí)行的程序，在一般情況下不允許用戶結(jié)束。應(yīng)用程序進(jìn)程就不用說了，當(dāng)然是指當(dāng)前運(yùn)行的應(yīng)用程序。服務(wù)進(jìn)程是系統(tǒng)進(jìn)程的擴(kuò)展，包括網(wǎng)絡(luò)服務(wù)和本地服務(wù)，主要是提供給用戶方便的操作。后臺(tái)程序進(jìn)程指隱藏運(yùn)行的軟件，什么監(jiān)控軟件啦，掃描軟件啦，木馬程序啦，病毒啦，這一類都是。簡(jiǎn)單了解之后，將基本進(jìn)程列出來，供大家研究和參考。

System Idle Process：

Windows頁面內(nèi)存管理進(jìn)程，該進(jìn)程擁有0級(jí)優(yōu)先。它作為單線程運(yùn)行在每個(gè)處理器上，并在系統(tǒng)不處理其他線程的時(shí)候分派處理器的時(shí)間。它的cpu占用率越大表示可供分配的CPU資源越多，數(shù)字越小則表示CPU資源緊張。

ALG.EXE：

這是一個(gè)應(yīng)用層網(wǎng)關(guān)服務(wù)用于網(wǎng)絡(luò)共享。它一個(gè)網(wǎng)關(guān)通信插件的管理器，為“Internet連接共享服務(wù)”和“Internet連接防火墻服務(wù)”提供第三方協(xié)議插件的支持。

csrss.exe：

Client/Server Runtime ServerSubsystem，客戶端服務(wù)子系統(tǒng)，用以控制Windows圖形相關(guān)子系統(tǒng)。正常情況下在WindowsNT4/2000/XP/2003系統(tǒng)中只有一個(gè)CSRSS.EXE進(jìn)程，正常位于System32文件夾中，若以上系統(tǒng)中出現(xiàn)兩個(gè)(其中一個(gè)位于Windows文件夾中)，或在Windows 9X/Me系統(tǒng)中出現(xiàn)該進(jìn)程，則是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。另外，目前新浪利用了系統(tǒng)漏洞傳播的一個(gè)類似于病毒的小插件，它會(huì)產(chǎn)生名為nmgamex.dll、sinaproc327.exe、csrss.exe三個(gè)常駐文件，并且在系統(tǒng)啟動(dòng)項(xiàng)中自動(dòng)加載，在桌面產(chǎn)生一個(gè)名為“新浪游戲總動(dòng)園”的快捷方式，不僅如此，新浪還將Nmgamex.dll文件與系統(tǒng)啟動(dòng)文件rundll32.exe進(jìn)行綁定，并且偽造系統(tǒng)文件csrss.exe，產(chǎn)生一個(gè)同名的文件與系統(tǒng)綁定加載到系統(tǒng)啟動(dòng)項(xiàng)內(nèi)，無法直接關(guān)閉系統(tǒng)進(jìn)程后刪除。手工清除方法：先先修改注冊(cè)表，清除名為啟動(dòng)項(xiàng)：NMGameX.dll、csrss.exe，然后刪除System32NMGameX.dll、System32sinaproc327.exe和WindowsNMWizardA14.exe三個(gè)文件，再修改Windows文件夾中的任意一個(gè)文件名，從新啟動(dòng)計(jì)算機(jī)后刪除修改過的csrss.exe文件。

ddhelp.exe：

DirectDraw Helper是DirectX這個(gè)用于圖形服務(wù)的一個(gè)組成部分，DirectX幫助程序。

dllhost.exe：

DCOM DLL Host進(jìn)程支持基于COM對(duì)象支持DLL以運(yùn)行Windows程序。如果該進(jìn)程常常出錯(cuò)，那么可能感染W(wǎng)elchia病毒。

explorer.exe：

Windows Explorer用于控制Windows圖形Shell，包括開始菜單、任務(wù)欄，桌面和文件管理。這是一個(gè)用戶的shell，在我們看起來就像任務(wù)條，桌面等等。或者說它就是資源管理器，不相信你在運(yùn)行里執(zhí)行它看看。它對(duì)Windows系統(tǒng)的穩(wěn)定性還是比較重要的，而紅碼也就是找它的麻煩，在c和d根下創(chuàng)建explorer.exe。

inetinfo.exe：

IIS Admin Service Helper，InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用于Debug調(diào)試除錯(cuò)。IIS服務(wù)進(jìn)程，藍(lán)碼正是利用的inetinfo.exe的緩沖區(qū)溢出漏洞。

internat.exe：

Input Locales，它主要是用來控制輸入法的，當(dāng)你的任務(wù)欄沒有“EN”圖標(biāo)，而系統(tǒng)有internat.exe進(jìn)程，不妨結(jié)束掉該進(jìn)程，在運(yùn)行里執(zhí)行internat命令即可。這個(gè)輸入控制圖標(biāo)用于更改類似國家設(shè)置、鍵盤類型和日期格式。internat.exe在啟動(dòng)的時(shí)候開始運(yùn)行。它加載由用戶指定的不同的輸入點(diǎn)。輸入點(diǎn)是從注冊(cè)表的這個(gè)位置HKEY_USERS.DEFAULTKeyboard LayoutPreload 加載內(nèi)容的。internat.exe 加載“EN”圖標(biāo)進(jìn)入系統(tǒng)的圖標(biāo)區(qū)，允許使用者可以很容易的轉(zhuǎn)換不同的輸入點(diǎn)。當(dāng)進(jìn)程停掉的時(shí)候，圖標(biāo)就會(huì)消失，但是輸入點(diǎn)仍然可以通過控制面板來改變。

lsass.exe：

本地安全權(quán)限服務(wù)控制Windows安全機(jī)制。管理 IP 安全策略以及啟動(dòng) ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動(dòng)程序等。它會(huì)為使用winlogon服務(wù)的授權(quán)用戶生成一個(gè)進(jìn)程。這個(gè)進(jìn)程是通過使用授權(quán)的包，例如默認(rèn)的msgina.dll來執(zhí)行的。如果授權(quán)是成功的，lsass就會(huì)產(chǎn)生用戶的進(jìn)入令牌，令牌別使用啟動(dòng)初始的shell。其他的由用戶初始化的進(jìn)程會(huì)繼承這個(gè)令牌的。而windows活動(dòng)目錄遠(yuǎn)程堆棧溢出漏洞，正是利用LDAP 3搜索請(qǐng)求功能對(duì)用戶提交請(qǐng)求缺少正確緩沖區(qū)邊界檢查，構(gòu)建超過1000個(gè)"AND"的請(qǐng)求，并發(fā)送給服務(wù)器，導(dǎo)致觸發(fā)堆棧溢出，使Lsass.exe服務(wù)崩潰，系統(tǒng)在30秒內(nèi)重新啟動(dòng)。這里請(qǐng)記住該進(jìn)程的正常路徑為C:WINDOWSsystem32，一些病毒，如W32.Nimos.Worm病毒會(huì)在其它位置模仿LSASS.EXE來運(yùn)行。

mdm.exe：

Machine Debug Manager，Debug除錯(cuò)管理用于調(diào)試應(yīng)用程序和Microsoft Office中的Microsoft Script Editor腳本編輯器。Mdm.exe的主要工作是針對(duì)應(yīng)用軟件進(jìn)行排錯(cuò)(Debug)，說到這里，扯點(diǎn)題外話，如果你在系統(tǒng)見到fff開頭的0字節(jié)文件，它們就是mdm.exe在排錯(cuò)過程中產(chǎn)生一些暫存文件，這些文件在操作系統(tǒng)進(jìn)行關(guān)機(jī)時(shí)沒有自動(dòng)被清除，所以這些fff開頭的怪文件里是一些后綴名為CHK的文件都是沒有用的垃圾文件，可以任意刪除而不會(huì)對(duì)系統(tǒng)產(chǎn)生不良影響。對(duì)9X系統(tǒng)，只要系統(tǒng)中有Mdm.exe存在，就有可能產(chǎn)生以fff開頭的怪文件。可以按下面的方法讓系統(tǒng)停止運(yùn)行Mdm.exe來徹底刪除以fff開頭的怪文件：首先按“Ctrl+Alt+Del”組合鍵，在彈出的“關(guān)閉程序”窗口中選中“Mdm”，按“結(jié)束任務(wù)”按鈕來停止Mdm.exe在后臺(tái)的運(yùn)行，接著把Mdm.exe(在System目錄下)改名為Mdm.bak。運(yùn)行msconfig程序，在啟動(dòng)頁中取消對(duì)“Machine Debug Manager”的選擇。這樣可以不讓Mdm.exe自啟動(dòng)，然后點(diǎn)擊“確定”按鈕，結(jié)束msconfig程序，并重新啟動(dòng)電腦。另外，如果你使用IE 5.X以上版本瀏覽器，建議禁用腳本調(diào)用(點(diǎn)擊“工具→Internet選項(xiàng)→高級(jí)→禁用腳本調(diào)用”)，這樣就可以避免以fff開頭的怪文件再次產(chǎn)生。

[page_break]

rpcss.exe：

Windows 的RPC端口映射進(jìn)程處理RPC調(diào)用(遠(yuǎn)程模塊調(diào)用)然后把它們映射給指定的服務(wù)提供者。它不是在裝載解釋器時(shí)或引導(dǎo)時(shí)啟動(dòng)，如果使用中有問題，可以直接在在注冊(cè)表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices添加"字符串值"，定向到"C:WINDOWSSYSTEMRPCSS"即可。

services.exe：

Windows Service Controller，管理Windows服務(wù)。大多數(shù)的系統(tǒng)核心模式進(jìn)程是作為系統(tǒng)進(jìn)程在運(yùn)行。打開管理工具中的服務(wù)，可以看到有很多服務(wù)都是在調(diào)用service.exe。

smss.exe：

Session Manager Subsystem，該進(jìn)程為會(huì)話管理子系統(tǒng)用以初始化系統(tǒng)變量，MS-DOS驅(qū)動(dòng)名稱類似LPT1以及COM，調(diào)用Win32殼子系統(tǒng)和運(yùn)行在Windows登陸過程。它是一個(gè)會(huì)話管理子系統(tǒng)，負(fù)責(zé)啟動(dòng)用戶會(huì)話。這個(gè)進(jìn)程是通過系統(tǒng)進(jìn)程初始化的并且對(duì)許多活動(dòng)的，包括已經(jīng)正在運(yùn)行的Winlogon，Win32(Csrss.exe)線程和設(shè)定的系統(tǒng)變量作出反映。在它啟動(dòng)這些進(jìn)程后，它等待Winlogon或者Csrss結(jié)束。如果這些過程時(shí)正常的，系統(tǒng)就關(guān)掉了。如果發(fā)生了什么不可預(yù)料的事情，smss.exe就會(huì)讓系統(tǒng)停止響應(yīng)(掛起)。要注意：如果系統(tǒng)中出現(xiàn)了不只一個(gè)smss.exe進(jìn)程，而且有的smss.exe路徑是"%WINDIR%SMSS.EXE"，那就是中了TrojanClicker.Nogard.a病毒，這是一種Windows下的PE病毒，它采用VB6編寫 ，是一個(gè)自動(dòng)訪問某站點(diǎn)的木馬病毒。該病毒會(huì)在注冊(cè)表中多處添加自己的啟動(dòng)項(xiàng)，還會(huì)修改系統(tǒng)文件WIN.INI，并在[WINDOWS]項(xiàng)中加入"RUN" = "%WINDIR%SMSS.EXE"。手工清除時(shí)請(qǐng)先結(jié)束病毒進(jìn)程smss.exe，再刪除%WINDIR%下的smss.exe文件，然后清除它在注冊(cè)表和WIN.INI文件中的相關(guān)項(xiàng)即可。

snmp.exe：

Microsoft SNMP Agent，Windows簡(jiǎn)單的網(wǎng)絡(luò)協(xié)議代理(SNMP)用于監(jiān)聽和發(fā)送請(qǐng)求到適當(dāng)?shù)木W(wǎng)絡(luò)部分。負(fù)責(zé)接收SNMP請(qǐng)求報(bào)文，根據(jù)要求發(fā)送響應(yīng)報(bào)文并處理與WinsockAPI的接口。

spool32.exe：

Printer Spooler，Windows打印任務(wù)控制程序，用以打印機(jī)就緒。

stisvc.exe：

Still Image Service用于控制掃描儀和數(shù)碼相機(jī)連接在Windows。

svchost.exe

：Service Host Process是一個(gè)標(biāo)準(zhǔn)的動(dòng)態(tài)連接庫主機(jī)處理服務(wù)。Svchost.exe文件對(duì)那些從動(dòng)態(tài)連接庫(DLL)中運(yùn)行的服務(wù)來說是一個(gè)普通的主機(jī)進(jìn)程名。Svhost.exe文件定位在系統(tǒng)的Windowssystem32文件夾下。在啟動(dòng)的時(shí)候，Svchost.exe檢查注冊(cè)表中的位置來構(gòu)建需要加載的服務(wù)列表。這就會(huì)使多個(gè)Svchost.exe在同一時(shí)間運(yùn)行。Windows 2000一般有2個(gè)Svchost進(jìn)程，一個(gè)是RPCSS(Remote Procedure Call)服務(wù)進(jìn)程，另外一個(gè)則是由很多服務(wù)共享的一個(gè)Svchost.exe；而在windows XP中，則一般有4個(gè)以上的Svchost.exe服務(wù)進(jìn)程；Windows 2003 server中則更多。Svchost.exe是一個(gè)系統(tǒng)的核心進(jìn)程，并不是病毒進(jìn)程。但由于Svchost.exe進(jìn)程的特殊性，所以病毒也會(huì)千方百計(jì)的入侵Svchost.exe。通過察看Svchost.exe進(jìn)程的執(zhí)行路徑可以