[原创]系统进程详细解说

（1）[system Idle Process]
　　进程文件: [system process] or [system process]
　　进程名称: Windows内存处理系统进程
　　描 述: Windows页面内存管理进程，拥有0级优先。
　　介 绍：该进程作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多，数字越小则表示CPU资源紧张。

　　（2）[alg.exe]
　　进程文件: alg or alg.exe
　　进程名称: 应用层网关服务
　　描 述: 这是一个应用层网关服务用于网络共享。
　　介 绍：一个网关通信插件的管理器，为 “Internet连接共享服务”和 “Internet连接防火墙服务”提供第三方协议插件的支持。

　　（3）[csrss.exe]
　　进程文件: csrss or csrss.exe
　　进程名称: Client/Server Runtime Server Subsystem
　　描 述: 客户端服务子系统，用以控制Windows图形相关子系统。
　　介 绍: 这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss用于维持Windows的控制，创建或者删除线程和一些16位的虚拟MS-DOS环境。

　　（4）[ddhelp.exe]
　　进程文件: ddhelp or ddhelp.exe
　　进程名称: DirectDraw Helper
　　描 述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。
　　简 介：Directx 帮助程序

　　（5）[dllhost.exe]
　　进程文件: dllhost or dllhost.exe
　　进程名称: DCOM DLL Host进程
　　描 述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。
　　介 绍：com代理，系统附加的dll组件越多，则dllhost占用的cpu资源和内存资源就越多，而8月的“冲击波杀手”大概让大家对它比较熟悉吧。

　　（6）[explorer.exe]
　　进程文件: explorer or explorer.exe
　　进程名称: 程序管理
　　描 述: Windows Program Manager或者Windows Explorer用于控制Windows图形Shell，包括开始菜单、任务栏，桌面和文件管理。
　　介 绍：这是一个用户的shell，在我们看起来就像任务条，桌面等等。或者说它就是资源管理器，不相信你在运行里执行它看看。它对windows系统的稳定性还是比较重要的，而红码也就是找它的麻烦，在c和d根下创建explorer.exe。

　　（7）[inetinfo.exe]
　　进程文件: inetinfo or inetinfo.exe
　　进程名称: IIS Admin Service Helper
　　描 述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用于Debug调试除错。
　　介 绍：IIS服务进程，蓝码正是利用的inetinfo.exe的缓冲区溢出漏洞。

　　（8）[internat.exe]
　　进程文件: internat or internat.exe
　　进程名称: Input Locales
　　描 述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置HKEY_USERS/.DEFAULT/Keyboard Layout/Preload 加载内容的。internat.exe 加载“EN”图标进入系统的图标区，允许使用者可以很容易的转换不同的输入点。当进程停掉的时候，图标就会消失，但是输入点仍然可以通过控制面板来改变。
　　介 绍：它主要是用来控制输入法的，当你的任务栏没有“EN”图标，而系统有internat.exe进程，不妨结束掉该进程，在运行里执行internat命令即可。

　　（9）[kernel32.dll]
　　进程文件: kernel32 or kernel32.dll
　　进程名称: Windows壳进程
　　描 述: Windows壳进程用于管理多线程、内存和资源。
　　介 绍：更多内容浏览非法操作与Kernel32解读
　（10）[lsass.exe]
　　进程文件: lsass or lsass.exe
　　进程名称: 本地安全权限服务
　　描 述: 这个本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。
　　介 绍：这是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞，正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查，构建超过1000个\"AND\"的请求，并发送给服务器，导致触发堆栈溢出，使Lsass.exe服务崩溃，系统在30秒内重新启动。

　　（11）[mdm.exe]
　　进程文件: mdm or mdm.exe
　　进程名称: Machine Debug Manager
　　描 述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft Script Editor脚本编辑器。
　　介 绍：Mdm.exe的主要工作是针对应用软件进行排错(Debug)，说到这里，扯点题外话，如果你在系统见到fff开头的0字节文件，它们就是mdm.exe在排错过程中产生一些暂存文件，这些文件在操作系统进行关机时没有自动被清除，所以这些fff开头的怪文件里是一些后缀名为CHK的文件都是没有用的垃圾文件，可匀我馍境

dongjincheng 發表於 2024-11-13 02:13
5 z' e0 Q4 ?; w7 m' |" U& u! Z1令牌

) ?- c& Z) }: m$ [' M3 f! x1

dongjincheng 發表於 2024-11-13 02:12
1

3 c2 A" g6 V, ?8 C8 q+ q3 p7 l$ d# T1令牌

壹個人回憶 發表於 2007-4-10 06:10
9 F  A* k) R: r自己顶下~~

( |# T0 f/ s) M3 M/ h0 F3 d1

怎么没人顶

d dd

自己顶下~~

3Q

1

dongjincheng 發表於 2024-11-13 02:11
1

1

dongjincheng 發表於 2024-11-13 02:12
2 x  W$ M0 f# Z6 q) R1

; f1 V8 X# C- q) k: F  i+ R* r1

1