很多朋友在使用XP操作系統(tǒng)時總是抱怨速度很慢，老是死機(jī)。排除硬件上面的緣故不說，就要從系統(tǒng)進(jìn)程里找找毛病了。但進(jìn)程那么多，而且都英文字符又沒有詳細(xì)介紹，誰知道哪個跟哪個，一不小心刪錯了還會造成系統(tǒng)不穩(wěn)定。不急，今天會讓你清清楚楚，明明白白。

進(jìn)程也就是當(dāng)前計算機(jī)運(yùn)行的程序，包括前臺的和后臺的。在XP中，進(jìn)程主要分為關(guān)鍵進(jìn)程，應(yīng)用程序進(jìn)程，服務(wù)進(jìn)程以及后臺程序進(jìn)程。關(guān)鍵進(jìn)程也叫系統(tǒng)進(jìn)程，是指操作系統(tǒng)自身必須要執(zhí)行的程序，在一般情況下不允許用戶結(jié)束。應(yīng)用程序進(jìn)程就不用說了，當(dāng)然是指當(dāng)前運(yùn)行的應(yīng)用程序。服務(wù)進(jìn)程是系統(tǒng)進(jìn)程的擴(kuò)展，包括網(wǎng)絡(luò)服務(wù)和本地服務(wù)，主要是提供給用戶方便的操作。后臺程序進(jìn)程指隱藏運(yùn)行的軟件，什么監(jiān)控軟件啦，掃描軟件啦，木馬程序啦，病毒啦，這一類都是。簡單了解之后，將基本進(jìn)程列出來，供大家研究和參考。

System Idle Process：

Windows頁面內(nèi)存管理進(jìn)程，該進(jìn)程擁有0級優(yōu)先。它作為單線程運(yùn)行在每個處理器上，并在系統(tǒng)不處理其他線程的時候分派處理器的時間。它的cpu占用率越大表示可供分配的CPU資源越多，數(shù)字越小則表示CPU資源緊張。

ALG.EXE：

這是一個應(yīng)用層網(wǎng)關(guān)服務(wù)用于網(wǎng)絡(luò)共享。它一個網(wǎng)關(guān)通信插件的管理器，為“Internet連接共享服務(wù)”和“Internet連接防火墻服務(wù)”提供第三方協(xié)議插件的支持。

csrss.exe：

Client/Server Runtime ServerSubsystem，客戶端服務(wù)子系統(tǒng)，用以控制Windows圖形相關(guān)子系統(tǒng)。正常情況下在WindowsNT4/2000/XP/2003系統(tǒng)中只有一個CSRSS.EXE進(jìn)程，正常位于System32文件夾中，若以上系統(tǒng)中出現(xiàn)兩個(其中一個位于Windows文件夾中)，或在Windows 9X/Me系統(tǒng)中出現(xiàn)該進(jìn)程，則是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。另外，目前新浪利用了系統(tǒng)漏洞傳播的一個類似于病毒的小插件，它會產(chǎn)生名為nmgamex.dll、sinaproc327.exe、csrss.exe三個常駐文件，并且在系統(tǒng)啟動項中自動加載，在桌面產(chǎn)生一個名為“新浪游戲總動園”的快捷方式，不僅如此，新浪還將Nmgamex.dll文件與系統(tǒng)啟動文件rundll32.exe進(jìn)行綁定，并且偽造系統(tǒng)文件csrss.exe，產(chǎn)生一個同名的文件與系統(tǒng)綁定加載到系統(tǒng)啟動項內(nèi)，無法直接關(guān)閉系統(tǒng)進(jìn)程后刪除。手工清除方法：先先修改注冊表，清除名為啟動項：NMGameX.dll、csrss.exe，然后刪除System32NMGameX.dll、System32sinaproc327.exe和WindowsNMWizardA14.exe三個文件，再修改Windows文件夾中的任意一個文件名，從新啟動計算機(jī)后刪除修改過的csrss.exe文件。

ddhelp.exe：

DirectDraw Helper是DirectX這個用于圖形服務(wù)的一個組成部分，DirectX幫助程序。

dllhost.exe：

DCOM DLL Host進(jìn)程支持基于COM對象支持DLL以運(yùn)行Windows程序。如果該進(jìn)程常常出錯，那么可能感染W(wǎng)elchia病毒。

explorer.exe：

Windows Explorer用于控制Windows圖形Shell，包括開始菜單、任務(wù)欄，桌面和文件管理。這是一個用戶的shell，在我們看起來就像任務(wù)條，桌面等等?；蛘哒f它就是資源管理器，不相信你在運(yùn)行里執(zhí)行它看看。它對Windows系統(tǒng)的穩(wěn)定性還是比較重要的，而紅碼也就是找它的麻煩，在c和d根下創(chuàng)建explorer.exe。

inetinfo.exe：

IIS Admin Service Helper，InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用于Debug調(diào)試除錯。IIS服務(wù)進(jìn)程，藍(lán)碼正是利用的inetinfo.exe的緩沖區(qū)溢出漏洞。

internat.exe：

Input Locales，它主要是用來控制輸入法的，當(dāng)你的任務(wù)欄沒有“EN”圖標(biāo)，而系統(tǒng)有internat.exe進(jìn)程，不妨結(jié)束掉該進(jìn)程，在運(yùn)行里執(zhí)行internat命令即可。這個輸入控制圖標(biāo)用于更改類似國家設(shè)置、鍵盤類型和日期格式。internat.exe在啟動的時候開始運(yùn)行。它加載由用戶指定的不同的輸入點。輸入點是從注冊表的這個位置HKEY_USERS.DEFAULTKeyboard LayoutPreload 加載內(nèi)容的。internat.exe 加載“EN”圖標(biāo)進(jìn)入系統(tǒng)的圖標(biāo)區(qū)，允許使用者可以很容易的轉(zhuǎn)換不同的輸入點。當(dāng)進(jìn)程停掉的時候，圖標(biāo)就會消失，但是輸入點仍然可以通過控制面板來改變。

lsass.exe：

本地安全權(quán)限服務(wù)控制Windows安全機(jī)制。管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動程序等。它會為使用winlogon服務(wù)的授權(quán)用戶生成一個進(jìn)程。這個進(jìn)程是通過使用授權(quán)的包，例如默認(rèn)的msgina.dll來執(zhí)行的。如果授權(quán)是成功的，lsass就會產(chǎn)生用戶的進(jìn)入令牌，令牌別使用啟動初始的shell。其他的由用戶初始化的進(jìn)程會繼承這個令牌的。而windows活動目錄遠(yuǎn)程堆棧溢出漏洞，正是利用LDAP 3搜索請求功能對用戶提交請求缺少正確緩沖區(qū)邊界檢查，構(gòu)建超過1000個"AND"的請求，并發(fā)送給服務(wù)器，導(dǎo)致觸發(fā)堆棧溢出，使Lsass.exe服務(wù)崩潰，系統(tǒng)在30秒內(nèi)重新啟動。這里請記住該進(jìn)程的正常路徑為C:WINDOWSsystem32，一些病毒，如W32.Nimos.Worm病毒會在其它位置模仿LSASS.EXE來運(yùn)行。

mdm.exe：

Machine Debug Manager，Debug除錯管理用于調(diào)試應(yīng)用程序和Microsoft Office中的Microsoft Script Editor腳本編輯器。Mdm.exe的主要工作是針對應(yīng)用軟件進(jìn)行排錯(Debug)，說到這里，扯點題外話，如果你在系統(tǒng)見到fff開頭的0字節(jié)文件，它們就是mdm.exe在排錯過程中產(chǎn)生一些暫存文件，這些文件在操作系統(tǒng)進(jìn)行關(guān)機(jī)時沒有自動被清除，所以這些fff開頭的怪文件里是一些后綴名為CHK的文件都是沒有用的垃圾文件，可以任意刪除而不會對系統(tǒng)產(chǎn)生不良影響。對9X系統(tǒng)，只要系統(tǒng)中有Mdm.exe存在，就有可能產(chǎn)生以fff開頭的怪文件?？梢园聪旅娴姆椒ㄗ屜到y(tǒng)停止運(yùn)行Mdm.exe來徹底刪除以fff開頭的怪文件：首先按“Ctrl+Alt+Del”組合鍵，在彈出的“關(guān)閉程序”窗口中選中“Mdm”，按“結(jié)束任務(wù)”按鈕來停止Mdm.exe在后臺的運(yùn)行，接著把Mdm.exe(在System目錄下)改名為Mdm.bak。運(yùn)行msconfig程序，在啟動頁中取消對“Machine Debug Manager”的選擇。這樣可以不讓Mdm.exe自啟動，然后點擊“確定”按鈕，結(jié)束msconfig程序，并重新啟動電腦。另外，如果你使用IE 5.X以上版本瀏覽器，建議禁用腳本調(diào)用(點擊“工具→Internet選項→高級→禁用腳本調(diào)用”)，這樣就可以避免以fff開頭的怪文件再次產(chǎn)生。

[page_break]

rpcss.exe：

Windows 的RPC端口映射進(jìn)程處理RPC調(diào)用(遠(yuǎn)程模塊調(diào)用)然后把它們映射給指定的服務(wù)提供者。它不是在裝載解釋器時或引導(dǎo)時啟動，如果使用中有問題，可以直接在在注冊表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices添加"字符串值"，定向到"C:WINDOWSSYSTEMRPCSS"即可。

services.exe：

Windows Service Controller，管理Windows服務(wù)。大多數(shù)的系統(tǒng)核心模式進(jìn)程是作為系統(tǒng)進(jìn)程在運(yùn)行。打開管理工具中的服務(wù)，可以看到有很多服務(wù)都是在調(diào)用service.exe。

smss.exe：

Session Manager Subsystem，該進(jìn)程為會話管理子系統(tǒng)用以初始化系統(tǒng)變量，MS-DOS驅(qū)動名稱類似LPT1以及COM，調(diào)用Win32殼子系統(tǒng)和運(yùn)行在Windows登陸過程。它是一個會話管理子系統(tǒng)，負(fù)責(zé)啟動用戶會話。這個進(jìn)程是通過系統(tǒng)進(jìn)程初始化的并且對許多活動的，包括已經(jīng)正在運(yùn)行的Winlogon，Win32(Csrss.exe)線程和設(shè)定的系統(tǒng)變量作出反映。在它啟動這些進(jìn)程后，它等待Winlogon或者Csrss結(jié)束。如果這些過程時正常的，系統(tǒng)就關(guān)掉了。如果發(fā)生了什么不可預(yù)料的事情，smss.exe就會讓系統(tǒng)停止響應(yīng)(掛起)。要注意：如果系統(tǒng)中出現(xiàn)了不只一個smss.exe進(jìn)程，而且有的smss.exe路徑是"%WINDIR%SMSS.EXE"，那就是中了TrojanClicker.Nogard.a病毒，這是一種Windows下的PE病毒，它采用VB6編寫 ，是一個自動訪問某站點的木馬病毒。該病毒會在注冊表中多處添加自己的啟動項，還會修改系統(tǒng)文件WIN.INI，并在[WINDOWS]項中加入"RUN" = "%WINDIR%SMSS.EXE"。手工清除時請先結(jié)束病毒進(jìn)程smss.exe，再刪除%WINDIR%下的smss.exe文件，然后清除它在注冊表和WIN.INI文件中的相關(guān)項即可。

snmp.exe：

Microsoft SNMP Agent，Windows簡單的網(wǎng)絡(luò)協(xié)議代理(SNMP)用于監(jiān)聽和發(fā)送請求到適當(dāng)?shù)木W(wǎng)絡(luò)部分。負(fù)責(zé)接收SNMP請求報文，根據(jù)要求發(fā)送響應(yīng)報文并處理與WinsockAPI的接口。

spool32.exe：

Printer Spooler，Windows打印任務(wù)控制程序，用以打印機(jī)就緒。

stisvc.exe：

Still Image Service用于控制掃描儀和數(shù)碼相機(jī)連接在Windows。

svchost.exe

：Service Host Process是一個標(biāo)準(zhǔn)的動態(tài)連接庫主機(jī)處理服務(wù)。Svchost.exe文件對那些從動態(tài)連接庫(DLL)中運(yùn)行的服務(wù)來說是一個普通的主機(jī)進(jìn)程名。Svhost.exe文件定位在系統(tǒng)的Windowssystem32文件夾下。在啟動的時候，Svchost.exe檢查注冊表中的位置來構(gòu)建需要加載的服務(wù)列表。這就會使多個Svchost.exe在同一時間運(yùn)行。Windows 2000一般有2個Svchost進(jìn)程，一個是RPCSS(Remote Procedure Call)服務(wù)進(jìn)程，另外一個則是由很多服務(wù)共享的一個Svchost.exe；而在windows XP中，則一般有4個以上的Svchost.exe服務(wù)進(jìn)程；Windows 2003 server中則更多。Svchost.exe是一個系統(tǒng)的核心進(jìn)程，并不是病毒進(jìn)程。但由于Svchost.exe進(jìn)程的特殊性，所以病毒也會千方百計的入侵Svchost.exe。通過察看Svchost.exe進(jìn)程的執(zhí)行路徑可以