很多朋【hěn duō péng】友在使用【yòng】XP操作系🔔统时总是抱怨速度很慢，老是死【lǎo shì sǐ】👈机👲。排除硬【pái chú yìng】🍩件上面🔍的缘故不说，就要从系统进【xì tǒng jìn】程里找🔥找毛病⛏了【le】🎮。但进程【dàn jìn chéng】那么多【nà me duō】，而且都英文字符又没有详细介绍，谁知道哪个跟😑哪个，一不小心删错了【le】🎮还会造成系统不稳定。不急🚖，今天会【jīn tiān huì】💈让你清【ràng nǐ qīng】清楚楚【qīng chǔ chǔ】🍖，明明白【míng míng bái】😯白😯。

进程🏝也就是当🥅前计算【qián jì suàn】🔷机运行的程🏝序，包括前台的和后台的【hòu tái de】。在【zài】XP中，进程主🎨要分为【yào fèn wéi】🎶关键进【guān jiàn jìn】🌪程🏝，应用程【yīng yòng chéng】🖊序进程【xù jìn chéng】🈺，服务【fú wù】进🐐程🏝以及后台程【hòu tái chéng】🏝序进程【xù jìn chéng】🈺。关键进【guān jiàn jìn】🌪程🏝也叫系【yě jiào xì】统进程🏝，是指操🈵作系统自身必须要执行的程🏝序，在一般【zài yī bān】情况下🎌不允许【bú yǔn xǔ】用户结束【shù】。应用程【yīng yòng chéng】🖊序进程【xù jìn chéng】🈺就不用📫说了⭐，当然是【dāng rán shì】指当前【zhǐ dāng qián】运行的应用程【yīng yòng chéng】🖊序。服务【fú wù】进🐐程🏝是系统进程🏝的扩展【de kuò zhǎn】📑，包括网络服务【fú wù】和本地服务【fú wù】，主要是【zhǔ yào shì】👮提供给用户方便的操作。后台程【hòu tái chéng】🏝序进程【xù jìn chéng】🈺指隐藏运行的软件【ruǎn jiàn】，什么监控软件【ruǎn jiàn】🐜啦，扫描软🅰件啦🐣，木马程👾序啦【xù lā】，病毒啦，这一类都是【dōu shì】。简单了【jiǎn dān le】解之后，将基本【jiāng jī běn】🗃进程列👠出来【chū lái】👲，供大家【gòng dà jiā】🛵研究和【yán jiū hé】参考【cān kǎo】。

System Idle Process：

Windows页面内【yè miàn nèi】存管理进程📠，该进程📠拥有【yōng yǒu】🕍0级优先。它作为单线程【dān xiàn chéng】🖕运行在每个处理器上【lǐ qì shàng】🛂，并在系【bìng zài xì】😯统不处【tǒng bú chù】理其他【lǐ qí tā】线程的🤵时候分派处理📷器的时间【jiān】。它的cpu占用率【zhàn yòng lǜ】越大表示【shì】🍿可供分配的CPU资源越多，数字越小则表🏰示【shì】🍿CPU资源紧张🖕。

ALG.EXE：

这是一个应用层网关服务用于网络【yú wǎng luò】📦共享【gòng xiǎng】🤱。它一个【tā yī gè】网关通信插件🐒的管理器，为【wéi】🦁“Internet连接共🏗享服务”和【hé】“Internet连接防火墙服【huǒ qiáng fú】🐾务”提供第👗三方协议插件【yì chā jiàn】的支持。

csrss.exe：

Client/Server Runtime ServerSubsystem，客户端👰服务子系统【xì tǒng】🔦，用以控【yòng yǐ kòng】制【zhì】Windows图形相【tú xíng xiàng】关子系统【xì tǒng】🔦。正常情💰况下在🏋WindowsNT4/2000/XP/2003系统【xì tǒng】🔦中【zhōng】🕜只有一个CSRSS.EXE进程，正常位🧘于【yú】System32文件夹【wén jiàn jiá】👢中【zhōng】🕜，若以上系统【xì tǒng】🔦中【zhōng】🕜出现两个(其中【qí zhōng】🕜一个位于【yú】Windows文件夹【wén jiàn jiá】👢中【zhōng】🕜)，或【huò】在🏊Windows 9X/Me系统【xì tǒng】🔦中【zhōng】🕜出现该进程，则是感染了Trojan.Gutta或【huò】W32.Netsky.AB@mm病毒🗞。另外👬，目前新浪利用了系统【xì tǒng】🔦漏洞传【lòu dòng chuán】播的一🦁个类似于【yú】病毒🗞的小插件【jiàn】🔼，它会产🏡生名为nmgamex.dll、sinaproc327.exe、csrss.exe三个常驻文件【zhù wén jiàn】🔹，并且在系统【xì tǒng】🔦启动项中【zhōng】🍃自动加【zì dòng jiā】😒载【zǎi】，在桌面😤产生一【chǎn shēng yī】🐄个名为【gè míng wéi】“新浪游戏总动园”的快捷💤方式【fāng shì】🐔，不仅如【bú jǐn rú】此【cǐ】，新浪还【xīn làng hái】将🐔Nmgamex.dll文件【wén jiàn】与⛪系统【xì tǒng】🔦启动文件【wén jiàn】🈁rundll32.exe进行绑🤰定【dìng】，并且伪造系统【zào xì tǒng】📧文件【wén jiàn】🈁csrss.exe，产生一【chǎn shēng yī】🐄个同名【gè tóng míng】的文件【de wén jiàn】💊与系统【xì tǒng】🔦绑定加【bǎng dìng jiā】载【zǎi】到系💁统启动项👅内【nèi】，无法直接关闭系统【xì tǒng】🔦进程后【jìn chéng hòu】删除【chú】📻。手工清【shǒu gōng qīng】除【chú】📻方法：先先修改注册表【biǎo】，清除【qīng chú】📻名为启动项👅：NMGameX.dll、csrss.exe，然后删除【chú】📻System32NMGameX.dll、System32sinaproc327.exe和WindowsNMWizardA14.exe三个文【sān gè wén】件【jiàn】🈁，再修改🔪Windows文件夹【wén jiàn jiá】👢中【zhōng】🕜的任意一个🧀文件【wén jiàn】🈁名，从新启🌌动计算机后删【jī hòu shān】除【chú】📻修改过的csrss.exe文件【wén jiàn】🈁。

ddhelp.exe：

DirectDraw Helper是DirectX这个用于图形🍄服务的🤚一个组🥞成部分【chéng bù fèn】，DirectX帮助程【bāng zhù chéng】序【xù】。

dllhost.exe：

DCOM DLL Host进程支持基于【chí jī yú】COM对象支持DLL以运行【yǐ yùn háng】🍻Windows程序。如果该进程常🈷常出错【cháng chū cuò】，那么可【nà me kě】能感染🧒Welchia病毒🥔。

explorer.exe：

Windows Explorer用于控制🍧Windows图形Shell，包括开【bāo kuò kāi】💛始菜单、任务栏，桌面和文件管理。这是一【zhè shì yī】🥂个用户【gè yòng hù】♉的【de】shell，在【zài】🎊我们看【wǒ men kàn】起来就像任【xiàng rèn】🙌务条🦏，桌面等【zhuō miàn děng】📞等。或者说它就是资源管【zī yuán guǎn】➗理器🤦，不相信【bú xiàng xìn】你在【zài】🎊运行里执🏹行它看看。它对🏓Windows系统的【xì tǒng de】稳定性还是比【hái shì bǐ】😽较重要的【de】，而红码也就是【yě jiù shì】找它的【de】麻烦，在【zài】🎊c和d根下创建explorer.exe。

inetinfo.exe：

IIS Admin Service Helper，InetInfo是Microsoft Internet Infomation Services (IIS)的一部【de yī bù】分🔬，用于【yòng yú】Debug调试除【diào shì chú】错【cuò】。IIS服务进⛑程，蓝码正🥐是利用【shì lì yòng】的inetinfo.exe的缓冲👯区溢出漏洞😮。

internat.exe：

Input Locales，它主要👔是用来🤠控制输入法的【rù fǎ de】，当你的任务栏【rèn wù lán】没有“EN”图标【tú biāo】，而系统【ér xì tǒng】😅有internat.exe进程，不妨结【bú fáng jié】束掉该🈳进程，在运行🤵里执行【lǐ zhí háng】internat命令即🚤可。这个输入控制【rù kòng zhì】图标用【tú biāo yòng】👂于更改【yú gèng gǎi】🏓类似国家设置【jiā shè zhì】、键盘类型和日期格式【qī gé shì】。internat.exe在启动⏸的时候开始运【kāi shǐ yùn】✊行。它加载【tā jiā zǎi】由用户❗指定的🍛不同的输入点【diǎn】。输入点【diǎn】是从注册表的【cè biǎo de】🌊这个位置HKEY_USERS.DEFAULTKeyboard LayoutPreload 加载【jiā zǎi】内容的。internat.exe 加载【jiā zǎi】“EN”图标【tú biāo】进入系统🧖的图标【tú biāo】区，允许使🈷用者可以很容【yǐ hěn róng】🛫易的转换不同的输入点【diǎn】。当进程停掉的👿时候，图标【tú biāo】就会消失，但是输【dàn shì shū】⛱入点【diǎn】仍然可以【rán kě yǐ】通过控【tōng guò kòng】🖕制面板🧀来改变。

lsass.exe：

本地安【běn dì ān】全权限【quán quán xiàn】🐅服务控💟制【zhì】Windows安全机制【zhì】。管理【guǎn lǐ】 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序【dòng chéng xù】🚕等。它会为使用【shǐ yòng】👭winlogon服务的【fú wù de】🕕授权用【shòu quán yòng】👭户生成🕥一个进【yī gè jìn】🕖程⛺。这个进【zhè gè jìn】🌫程⛺是通过使用【shǐ yòng】👭授权的【shòu quán de】包🦗，例如🌁默认的【de】🚤msgina.dll来执行的【de】。如🌁果授权【guǒ shòu quán】是成功的【de】🌌，lsass就会产生用【shēng yòng】👭户的【de】进入令牌，令牌别【lìng pái bié】使用【shǐ yòng】👭启动初始🌫的【de】shell。其他的【de】👜由用户📜初始化的【de】进程😑会继承这个令【zhè gè lìng】🛃牌的【de】🎁。而🌳windows活动目录远程⛺堆栈溢【duī zhàn yì】出漏洞⛲，正是利用👭LDAP 3搜索请【qǐng】求功能对用【duì yòng】👭户提交请【qǐng】🆕求缺少正确缓冲区边【chōng qū biān】界检查，构建超过1000个"AND"的【de】请【qǐng】求🥡，并发送给服务器【qì】，导致触【dǎo zhì chù】发堆栈溢【duī zhàn yì】出，使Lsass.exe服务崩【fú wù bēng】溃♋，系统在30秒内重新启动🙈。这里请【zhè lǐ qǐng】记住该进程的【de】🦐正常路【zhèng cháng lù】径为【jìng wéi】C:WINDOWSsystem32，一些病【yī xiē bìng】毒，如🌁W32.Nimos.Worm病毒会👽在其它【zài qí tā】位置模仿LSASS.EXE来运行🆔。

mdm.exe：

Machine Debug Manager，Debug除错【cuò】管理用于🤓调试应用程序【yòng chéng xù】🐖和Microsoft Office中的【de】🕚Microsoft Script Editor脚本编【jiǎo běn biān】辑器【jí qì】。Mdm.exe的【de】主要🔏工作是【gōng zuò shì】🍗针对【zhēn duì】😜应用软件【jiàn】🥋进行排错【cuò】(Debug)，说到这🧤里，扯点题外话🔸，如果你【rú guǒ nǐ】在系统【xì tǒng】见到fff开头的【kāi tóu de】🥣0字节文件【jiàn】🥋，它们就【tā men jiù】💙是🕳mdm.exe在排错【cuò】过程中【guò chéng zhōng】产生🦖一些暂【yī xiē zàn】存文件【jiàn】🥋，这些【zhè xiē】文件【jiàn】🥋在操作系统【xì tǒng】进行关机时没📰有自动【yǒu zì dòng】被清除【bèi qīng chú】🙌，所以【suǒ yǐ】🐛这些【zhè xiē】fff开头的【kāi tóu de】🥣怪文件【jiàn】🚎里是一【lǐ shì yī】🧣些后缀📚名为😤CHK的【de】🎳文件【jiàn】🥋都是没【dōu shì méi】🐃有用的【yǒu yòng de】🌿垃圾文件【jiàn】🥋，可以任【kě yǐ rèn】🏤意删除【yì shān chú】而不会对【duì】😜系统【xì tǒng】产生🦖不良影【bú liáng yǐng】响。对【duì】😜9X系统【xì tǒng】，只要系统【xì tǒng】中有🏦Mdm.exe存在，就有可🐷能产生🦖以🐛fff开头的【kāi tóu de】🥣怪文件【jiàn】🚎。可以🐛按下面的【de】🎳方法让🐽系统【xì tǒng】停📄止运行🕜Mdm.exe来彻底删除以🐛fff开头的【kāi tóu de】🥣怪文件【jiàn】🚎：首先按“Ctrl+Alt+Del”组合键🍵，在弹出的【de】🎳“关闭程序【chéng xù】”窗口中🤮选中【xuǎn zhōng】“Mdm”，按“结束任🚥务”按钮来停止Mdm.exe在后台【zài hòu tái】的【de】运行🏄，接着把Mdm.exe(在System目录下)改名为💄Mdm.bak。运行msconfig程序【chéng xù】，在启动☝页中取【yè zhōng qǔ】消对【duì】😜“Machine Debug Manager”的【de】🎳选择。这样可以🐛不让Mdm.exe自启动【zì qǐ dòng】🖊，然后点【rán hòu diǎn】击【jī】“确定🕊”按钮，结束msconfig程序【chéng xù】，并重新💵启动电脑。另外【lìng wài】，如果你【rú guǒ nǐ】使用IE 5.X以🐛上版本浏览器，建议禁【jiàn yì jìn】用脚本【yòng jiǎo běn】🥋调用【diào yòng】🕜(点击【jī】“工具【gōng jù】→Internet选项→高级【gāo jí】→禁用脚本【yòng jiǎo běn】🥋调用【diào yòng】🕜”)，这样就【zhè yàng jiù】🕺可以🐛避免以【bì miǎn yǐ】🐛fff开头的【kāi tóu de】🥣怪文件【jiàn】🚎再次产生🦖。

[page_break]

rpcss.exe：

Windows 的RPC端口映【duān kǒu yìng】射进程【shè jìn chéng】处理RPC调用(远程模🎒块调用)然后把它们映💤射给指🐛定的服🐁务提供【wù tí gòng】🤹者【zhě】。它不是【tā bú shì】🏸在装载解释器时或引导时启😐动🐓，如果使用中有问题【wèn tí】，可以直【kě yǐ zhí】接在在【jiē zài zài】⛪注册表【zhù cè biǎo】HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices添加"字符串🀄值【zhí】"，定向到"C:WINDOWSSYSTEMRPCSS"即可。

services.exe：

Windows Service Controller，管理Windows服务【fú wù】。大多数【dà duō shù】的系统核心模【hé xīn mó】式进程【shì jìn chéng】是作为系统进程在运【chéng zài yùn】💾行🎞。打开管理工具中的服【zhōng de fú】务，可以看🕞到有很🚞多服务【fú wù】都是在🐕调用🚐service.exe。

smss.exe：

Session Manager Subsystem，该进程【jìn chéng】🕸为会话🕌管理子系统用以初始化【chū shǐ huà】系统变量🦀，MS-DOS驱动名♉称类似LPT1以及🥡COM，调用【diào yòng】Win32壳子系🚎统和运【tǒng hé yùn】🔟行在🦕Windows登陆过程🕸。它是一个会话⛱管理子系统，负责启动用户会话🚆。这个进程【jìn chéng】是通🗄过系统🔚进程【jìn chéng】🕸初始化【chū shǐ huà】的【de】🤞并且对【bìng qiě duì】许多活【xǔ duō huó】动的【dòng de】🎎，包括已经正在运行的【de】🚒Winlogon，Win32(Csrss.exe)线程【xiàn chéng】🕸和设定【hé shè dìng】的【de】🎎系统变量🦀作出反【zuò chū fǎn】映。在它启动这些进程【jìn chéng】🕸后，它等待Winlogon或者Csrss结束【jié shù】。如果这些过程🛺时正常【shí zhèng cháng】的【de】🎎，系统就🥥关掉了。如果发生了什么不可预料的【de】🎎事情【shì qíng】，smss.exe就会让【jiù huì ràng】系统停止响应(挂起)。要注意【yào zhù yì】🐀：如果系🎳统中出现了不【xiàn le bú】🔬只一个【zhī yī gè】smss.exe进程【jìn chéng】🕸，而且有的【de】🎎smss.exe路径是【lù jìng shì】"%WINDIR%SMSS.EXE"，那就是😴中了【zhōng le】🗣TrojanClicker.Nogard.a病毒【bìng dú】💂，这是一种Windows下的【xià de】🎎PE病毒【bìng dú】💂，它采用【tā cǎi yòng】🚋VB6编写 ，是一个自动访🚲问某站【wèn mǒu zhàn】点的【de】木🙅马病毒【bìng dú】📶。该病毒【bìng dú】🚧会在注册表【zhù cè biǎo】中多处添⚫加自己的【de】🎎启动项🛀，还会修改系统【gǎi xì tǒng】🕊文件【wén jiàn】WIN.INI，并在♋[WINDOWS]项中加🍷入【rù】"RUN" = "%WINDIR%SMSS.EXE"。手工清除时请🚼先结束【jié shù】病毒【bìng dú】💂进程【jìn chéng】🕸smss.exe，再删除%WINDIR%下的【xià de】🎎smss.exe文件【wén jiàn】，然后清除它在注册表【zhù cè biǎo】和【hé】WIN.INI文件中【wén jiàn zhōng】的【de】🎎相关项🛀即可【jí kě】。

snmp.exe：

Microsoft SNMP Agent，Windows简单的网络协【wǎng luò xié】议代理【yì dài lǐ】🧥(SNMP)用于监听和发送请求🏕到适当📹的网络部分。负责接收💡SNMP请求报【qǐng qiú bào】文，根据要求发送响应报🔭文并处【wén bìng chù】理与【lǐ yǔ】🥖WinsockAPI的接口【de jiē kǒu】。

spool32.exe：

Printer Spooler，Windows打印任务控制🈲程序，用以打【yòng yǐ dǎ】印机就【yìn jī jiù】🎁绪。

stisvc.exe：

Still Image Service用于控【yòng yú kòng】制扫描仪和数【yí hé shù】码相机🏳连接在🔶Windows。

svchost.exe

：Service Host Process是一个【shì yī gè】🍞标准的【de】🕰动态连【dòng tài lián】🏚接库主机处理【jī chù lǐ】👦服务【fú wù】。Svchost.exe文件对那些从【nà xiē cóng】动态连【dòng tài lián】🏚接库(DLL)中运行【háng】🐳的【de】🕰服务【fú wù】来说是一个【shì yī gè】🍞普通的【de】🕰主机进程【chéng】🏳名。Svhost.exe文件定【wén jiàn dìng】🚣位在系【wèi zài xì】统的【tǒng de】🕰Windowssystem32文件夹【wén jiàn jiá】下【xià】。在启动的【de】🕰时候，Svchost.exe检查注册表中的【de】位置🚰来构建需要加载的【de】🕰服务列【fú wù liè】表。这就会⛰使多🏡个【gè】➕Svchost.exe在同一时间运【shí jiān yùn】💤行【háng】🐳。Windows 2000一般有2个【gè】➕Svchost进程【chéng】🏳，一个【yī gè】➕是RPCSS(Remote Procedure Call)服务进【fú wù jìn】程【chéng】🏳，另外一🖱个【gè】则是🥝由很多🏡服务【fú wù】共享的【de】🕰一个【yī gè】➕Svchost.exe；而在【ér zài】⬅windows XP中，则一般有4个【gè】➕以上的【de】🕰Svchost.exe服务进【fú wù jìn】程【chéng】🏳；Windows 2003 server中则更多🏡。Svchost.exe是一个【shì yī gè】🍞系统的【tǒng de】🕰核心进🤹程【chéng】💟，并不是【bìng bú shì】😴病毒进程【chéng】🏳。但由于💜Svchost.exe进程【chéng】的【de】🏔特殊性，所以病【suǒ yǐ bìng】🍧毒也会千方百计的【jì de】🕰入侵【rù qīn】Svchost.exe。通过察看Svchost.exe进程【chéng】的【de】🏔执行【háng】路⬜径可以