I、最基本的系統(tǒng)進程

I、最基本的系統(tǒng)進程II、附加的系統(tǒng)進程III、應該關掉的服務IV、模塊一覽V、WIN2000的常用服務列表一、最基本的系統(tǒng)進程(系統(tǒng)運行的基本條件，有了這些進程，系統(tǒng)就能正常運行）SystemIdleProcess這個進程是作為單線程運行在每個處理器上，并在系統(tǒng)不處理其他線程的時候分派處理器的時間。smss。exeSessionManager這是一個會話管理子系統(tǒng)，負責啟動用戶會話.這個進程是通過系統(tǒng)進程初始化的，并且對許多活動的,包括已經正在運行的Winlogon，Win32（Csrss。exe）線程和設定的系統(tǒng)變量作出反映.在它啟動這些進程后，它等待Winlogon或者Csrss結束.如果這些過程時正常的,系統(tǒng)就關掉了.如果發(fā)生了什么不可預料的事情，smss。exe就會讓系統(tǒng)停止響應（就是掛起）。csrss。exe子系統(tǒng)服務器進程，負責控制windows,創(chuàng)建或者刪除線程和一些16位的虛擬MS—DOS環(huán)境。winlogon.exe這個進程是管理用戶登錄和推出的。而且winlogon在用戶按下CTRL+ALT+DEL時就激活了，顯示安全對話框services。exe包含很多系統(tǒng)服務lsass。exe這是一個本地的安全授權服務，管理IP安全策略以及啟動ISAKMP/Oakley（IKE)和IP安全驅動程序。并且它會為使用winlogon服務的授權用戶生成一個進程.這個進程是通過使用授權的包，例如默認msgina.dll來執(zhí)行的.如果授權是成功的，lsass就會產生用戶的進入令牌，令牌別使用啟動初始的shell。其他的由用戶初始化的進程會繼承這個令牌的。svchost.exe在啟動的時候，Svchost.exe檢查注冊表中的位置來構建需要加載的服務列表.多個Svchost.exe可以在同一時間運行；每個Svchost。exe的會話期間都包含一組服務,單獨的服務必須依靠Svchost.exe獲知怎樣和在那里啟動。SPOOLSV。EXE管理緩沖池中的打印和傳真作業(yè)。(系統(tǒng)服務）explorer.exe資源管理器。internat.exe托盤區(qū)的輸入法圖標.二、附加的系統(tǒng)進程（不是必要的，可以根據需要通過服務管理器來增加或減少）mstask.exe允許程序在指定時間運行。(系統(tǒng)服務）regsvc.exe允許遠程注冊表操作。（系統(tǒng)服務)winmgmt.exe提供系統(tǒng)管理信息(系統(tǒng)服務)。它是win2000客戶端管理的核心組件。當客戶端應用程序連接或當管理程序需要他本身的服務時這個進程初始化.inetinfo.exe通過Internet信息服務的管理單元提供FTP連接和管理。(系統(tǒng)服務）tlntsvr.exe允許遠程用戶登錄到系統(tǒng)并且使用命令行運行控制臺程序.（系統(tǒng)服務)允許通過Internet信息服務的管理單元管理Web和FTP服務。（系統(tǒng)服務）tftpd.exe實現(xiàn)TFTPInternet標準。該標準不要求用戶名和密碼。遠程安裝服務的一部分。（系統(tǒng)服務)termsrv。exe提供多會話環(huán)境允許客戶端設備訪問虛擬的Windows2000Professional桌面會話以及運行在服務器上的基于Windows的程序。（系統(tǒng)服務)dns。exe應答對域名系統(tǒng)(DNS)名稱的查詢和更新請求。（系統(tǒng)服務）三、應該關掉的服務（里面的服務很少會用到,可能對安全有害）tcpsvcs。exe提供在PXE可遠程啟動客戶計算機上遠程安裝Windows2000Professional的能力。(系統(tǒng)服務)支持以下TCP/IP服務：CharacterGenerator，Daytime，Discard,Echo,以及QuoteoftheDay。(系統(tǒng)服務)ismserv。exe允許在WindowsAdvancedServer站點間發(fā)送和接收消息。（系統(tǒng)服務)ups。exe管理連接到計算機的不間斷電源（UPS）。(系統(tǒng)服務）wins.exe為注冊和解析NetBIOS型名稱的TCP/IP客戶提供NetBIOS名稱服務。(系統(tǒng)服務)llssrv.exeLicenseLoggingService(systemservice）ntfrs。exe在多個服務器間維護文件目錄內容的文件同步。（系統(tǒng)服務）RsSub.exe控制用來遠程儲存數(shù)據的媒體。(系統(tǒng)服務)locator.exe管理RPC名稱服務數(shù)據庫.(系統(tǒng)服務）lserver.exe注冊客戶端許可證。（系統(tǒng)服務)dfssvc。exe管理分布于局域網或廣域網的邏輯卷。（系統(tǒng)服務)clipsrv。exe支持“剪貼簿查看器”，以便可以從遠程剪貼簿查閱剪貼頁面。(系統(tǒng)服務）msdtc。exe并列事務，是分布于兩個以上的數(shù)據庫,消息隊列，文件系統(tǒng),或其它事務保護資源管理器。（系統(tǒng)服務）faxsvc。exe幫助您發(fā)送和接收傳真。（系統(tǒng)服務）cisvc。exeIndexingService（systemservice)dmadmin。exe磁盤管理請求的系統(tǒng)管理服務。（系統(tǒng)服務)mnmsrvc。exe允許有權限的用戶使用NetMeeting遠程訪問Windows桌面.（系統(tǒng)服務）netdde。exe提供動態(tài)數(shù)據交換（DDE）的網絡傳輸和安全特性。(系統(tǒng)服務)smlogsvc。exe配置性能日志和警報。(系統(tǒng)服務）rsvp。exe為依賴質量服務(QoS）的程序和控制應用程序提供網絡信號和本地通信控制安裝功能。（系統(tǒng)服務)RsEng.exe協(xié)調用來儲存不常用數(shù)據的服務和管理工具.(系統(tǒng)服務)RsFsa。exe管理遠程儲存的文件的操作。(系統(tǒng)服務）grovel。exe掃描零備份存儲（SIS）卷上的重復文件,并且將重復文件指向一個數(shù)據存儲點，以節(jié)省磁盤空間。（系統(tǒng)服務）SCardSvr。exe對插入在計算機智能卡閱讀器中的智能卡進行管理和訪問控制。（系統(tǒng)服務)snmp。exe包含代理程序可以監(jiān)視網絡設備的活動并且向網絡控制臺工作站匯報。（系統(tǒng)服務）snmptrap。exe接收由本地或遠程SNMP代理程序產生的陷阱消息，然后將消息傳遞到運行在這臺計算機上SNMP管理程序。（系統(tǒng)服務)UtilMan.exe從一個窗口中啟動和配置輔助工具。（系統(tǒng)服務)msiexec。exe依據.MSI文件中包含的命令來安裝、修復以及刪除軟件。(系統(tǒng)服務)四、模塊一覽:名稱模塊所在位置何時被啟動/加載由誰啟動hal.dll硬件抽象層系統(tǒng)啟動時系統(tǒng)ntoskrnl。exe微內核和執(zhí)行體系統(tǒng)啟動時系統(tǒng)kernel32.dllwin32子系統(tǒng)。dll系統(tǒng)啟動時系統(tǒng)gdi32。dllwin32子系統(tǒng).dll系統(tǒng)啟動時系統(tǒng)user32。dllwin32子系統(tǒng).dll系統(tǒng)啟動時系統(tǒng)advapi32。dllwin32子系統(tǒng).dll系統(tǒng)啟動時系統(tǒng)smss。exe會話管理器系統(tǒng)啟動時系統(tǒng)win32k.syswin32的內核模式部分系統(tǒng)啟動時smss.execsrss。exewin32子系統(tǒng)進程系統(tǒng)啟動時smss。exewinlogon.exewindows登陸進程系統(tǒng)啟動時smss。exemsgina.dll缺省gina系統(tǒng)啟動時winlogon。exelsass。exe本地安全性鑒別服務器系統(tǒng)啟動時winlogon.exentdll.dll支持函數(shù)和到執(zhí)行體的接口系統(tǒng)啟動時smss.exeservices.exe服務控制器和大多數(shù)系統(tǒng)服務系統(tǒng)啟動時smss.exeos2ss。exeos/2子系統(tǒng)進程根據需要smss。exepsxdll。dllposix子系統(tǒng).dll根據需要smss。exepsxss.exeposix子系統(tǒng)進程根據需要smss.exe五、WIN2000的常用服務列表服務名稱：Alerter顯示名稱：Alerter描述：通知所選用戶和計算機有關系統(tǒng)管理級警報。可執(zhí)行文件的路徑：C：WINNTSystem32services。exe(假設系統(tǒng)在C盤,以下同）服務名稱：AppMgmt顯示名稱：ApplicationManagement描述:提供軟件安裝服務，諸如分派,發(fā)行以及刪除.可執(zhí)行文件的路徑：C：WINNTsystem32services.exe服務名稱：AtiHotKeyPoller顯示名稱:AtiHotKeyPoller描述：［]可執(zhí)行文件的路徑：C:WINNTSystem32Ati2evxx.exe服務名稱：ClipSrv顯示名稱：ClipBook描述:支持“剪貼簿查看器”,以便可以從遠程剪貼簿查閱剪貼頁面?？蓤?zhí)行文件的路徑：C：WINNTsystem32clipsrv.exe服務名稱:EventSystem顯示名稱：COM+EventSystem描述:提供事件的自動發(fā)布到訂閱COM組件?？蓤?zhí)行文件的路徑：C:WINNTSystem32svchost.exe-knetsvcs服務名稱:Browser顯示名稱：ComputerBrowser描述:維護網絡上計算機的最新列表以及提供這個列表給請求的程序?？蓤?zhí)行文件的路徑：C：WINNTSystem32services.exe服務名稱：Dhcp顯示名稱：DHCPClient描述：通過注冊和更改IP地址以及DNS名稱來管理網絡配置。可執(zhí)行文件的路徑：C:WINNTSystem32services。exe服務名稱：TrkWks顯示名稱:DistributedLinkTrackingClient描述：當文件在網絡域的NTFS卷中移動時發(fā)送通知?？蓤?zhí)行文件的路徑：C:WINNTsystem32services.exe服務名稱：MSDTC顯示名稱：DistributedTransactionCoordinator描述：并列事務,是分布于兩個以上的數(shù)據庫,消息隊列，文件系統(tǒng),或其它事務保護資源管理器?？蓤?zhí)行文件的路徑：C:WINNTSystem32msdtc.exe服務名稱：Dnscache顯示名稱：DNSClient描述：解析和緩沖域名系統(tǒng)(DNS）名稱.可執(zhí)行文件的路徑：C：WINNTSystem32services.exe服務名稱：Eventlog顯示名稱：EventLog描述：記錄程序和Windows發(fā)送的事件消息。事件日志包含對診斷問題有所幫助的信息.您可以在“事件查看器”中查看報告.可執(zhí)行文件的路徑：C:WINNTsystem32services.exe服務名稱：Fax顯示名稱:FaxService描述：幫助您發(fā)送和接收傳真可執(zhí)行文件的路徑：C：WINNTsystem32faxsvc.exe服務名稱:MSFTPSVC顯示名稱:FTPPublishingService描述：通過Internet信息服務的管理單元提供FTP連接和管理?？蓤?zhí)行文件的路徑：C:WINNTSystem32inetsrvinetinfo.exe服務名稱:IISADMIN顯示名稱：IISAdminService描述：允許通過Internet信息服務的管理單元管理Web和FTP服務.可執(zhí)行文件的路徑:C：WINNTSystem32inetsrvinetinfo。exe服務名稱：cisvc顯示名稱：IndexingService描述：本地和遠程計算機上文件的索引內容和屬性;通過靈活查詢語言提供文件快速訪問?？蓤?zhí)行文件的路徑：C:WINNTSystem32cisvc。exe服務名稱：Irmon顯示名稱：InfraredMonitor描述:支持安裝在這臺計算機上的紅外設備并且檢測在有效范圍內的其它紅外設備?？蓤?zhí)行文件的路徑：C:WINNTSystem32svchost.exe—knetsvcs服務名稱：SharedAccess顯示名稱：InternetConnectionSharing描述：為通過撥號網絡連接的家庭網絡中所有計算機提供網絡地址轉換、定址以及名稱解析服務?？蓤?zhí)行文件的路徑:C：WINNTSystem32svchost。exe-knetsvcs服務名稱:PolicyAgent顯示名稱：IPSECPolicyAgent描述：管理IP安全策略以及啟動ISAKMP/Oakley(IKE)和IP安全驅動程序。可執(zhí)行文件的路徑：C：WINNTSystem32lsass.exe服務名稱：dmserver顯示名稱：LogicalDiskManager描述：邏輯磁盤管理器監(jiān)視狗服務可執(zhí)行文件的路徑：C：WINNTSystem32services.exe服務名稱:dmadmin顯示名稱：LogicalDiskManagerAdministrativeService描述：磁盤管理請求的系統(tǒng)管理服務可執(zhí)行文件的路徑：C：WINNTSystem32dmadmin.exe/com服務名稱:Messenger顯示名稱：Messenger描述：發(fā)送和接收系統(tǒng)管理員或者“警報器”服務傳遞的消息?？蓤?zhí)行文件的路徑：C：WINNTSystem32services.exe服務名稱：MSUpdate顯示名稱：MicrosoftWindowsUpdateService描述：Microsoft（R）WindowsUpdate可執(zhí)行文件的路徑:C:WINNTSystem32wupdmgr32.exe服務名稱：Netlogon顯示名稱:NetLogon描述：支持網絡上計算機pass—through帳戶登錄身份驗證事件?？蓤?zhí)行文件的路徑:C：WINNTSystem32lsass.exe服務名稱：mnmsrvc顯示名稱:NetMeetingRemoteDesktopSharing描述：允許有權限的用戶使用NetMeeting遠程訪問Windows桌面。可執(zhí)行文件的路徑:C:WINNTSystem32mnmsrvc.exe服務名稱：Netman顯示名稱：NetworkConnections描述：管理“網絡和撥號連接”文件夾中對象，在其中您可以查看局域網和遠程連接。可執(zhí)行文件的路徑：C:WINNTSystem32svchost。exe-knetsvcs服務名稱：NetDDE顯示名稱：NetworkDDE描述：提供動態(tài)數(shù)據交換(DDE）的網絡傳輸和安全特性。可執(zhí)行文件的路徑：C：WINNTsystem32netdde。exe服務名稱：NetDDEdsdm顯示名稱：NetworkDDEDSDM描述:管理網絡DDE的共享動態(tài)數(shù)據交換可執(zhí)行文件的路徑：C:WINNTsystem32netdde.exe服務名稱：NtLmSsp顯示名稱：NTLMSecuritySupportProvider描述：為使用傳輸協(xié)議而不是命名管道的遠程過程調用(RPC)程序提供安全機制?？蓤?zhí)行文件的路徑：C:WINNTSystem32lsass.exe服務名稱：SysmonLog顯示名稱：PerformanceLogsandAlerts描述：配置性能日志和警報?？蓤?zhí)行文件的路徑：C:WINNTsystem32smlogsvc。exe服務名稱：PlugPlay顯示名稱：PlugandPlay描述:管理設備安裝以及配置，并且通知程序關于設備更改的情況.可執(zhí)行文件的路徑：C:WINNTsystem32services.exe服務名稱：Spooler顯示名稱：PrintSpooler描述：將文件加載到內存中以便遲后打印.可執(zhí)行文件的路徑：C：WINNTsystem32spoolsv。exe服務名稱：ProtectedStorage顯示名稱:ProtectedStorage描述:提供對敏感數(shù)據(如私鑰)的保護性存儲，以便防止未授權的服務，過程或用戶對其的非法訪問?？蓤?zhí)行文件的路徑：C：WINNTsystem32services.exe服務名稱:RSVP顯示名稱:QoSRSVP描述：為依賴質量服務(QoS）的程序和控制應用程序提供網絡信號和本地通信控制安裝功能。可執(zhí)行文件的路徑：C:WINNTSystem32rsvp.exe—s服務名稱:RasAuto顯示名稱：RemoteAccessAutoConnectionManager描述：無論什么時候當某個程序引用一個遠程DNS或NetBIOS名或者地址就創(chuàng)建一個到遠程網絡的連接?？蓤?zhí)行文件的路徑:C:WINNTSystem32svchost。exe—knetsvcs服務名稱：RasMan顯示名稱：RemoteAccessConnectionManager描述：創(chuàng)建網絡連接。可執(zhí)行文件的路徑：C:WINNTSystem32svchost.exe-knetsvcs服務名稱：RpcSs顯示名稱：RemoteProcedureCall(RPC）描述：提供終結點映射程序（endpointmapper）以及其它RPC服務。可執(zhí)行文件的路徑：C:WINNTsystem32svchost—krpcss服務名稱:RpcLocator顯示名稱：RemoteProcedureCall（RPC）Locator描述：管理RPC名稱服務數(shù)據庫.可執(zhí)行文件的路徑：C：WINNTSystem32locator。exe服務名稱：RemoteRegistry顯示名稱：RemoteRegistryService描述：允許遠程注冊表操作.可執(zhí)行文件的路徑：C:WINNTsystem32regsvc.exe服務名稱:NtmsSvc顯示名稱：RemovableStorage描述：管理可移動媒體、驅動程序和庫?？蓤?zhí)行文件的路徑:C:WINNTSystem32svchost。exe—knetsvcs服務名稱:RemoteAccess顯示名稱：RoutingandRemoteAccess描述：在局域網以及廣域網環(huán)境中為企業(yè)提供路由服務.可執(zhí)行文件的路徑：C：WINNTSystem32svchost.exe-knetsvcs服務名稱：seclogon顯示名稱：RunAsService描述:在不同憑據下啟用啟動過程可執(zhí)行文件的路徑：C:WINNTsystem32services.exe服務名稱：SamSs顯示名稱:SecurityAccountsManager描述：存儲本地用戶帳戶的安全信息。可執(zhí)行文件的路徑：C:WINNTsystem32lsass。exe服務名稱：lanmanserver顯示名稱：Server描述：提供RPC支持、文件、打印以及命名管道共享。可執(zhí)行文件的路徑：C:WINNTSystem32services。exe服務名稱:ServiceSupport顯示名稱：ServiceSupport描述：WindowsServiceSupport可執(zhí)行文件的路徑：C：WINNTSystem32srvsupp.exe服務名稱:SMTPSVC顯示名稱：SimpleMailTransportProtocol（SMTP）描述:跨網傳送電子郵件可執(zhí)行文件的路徑:C：WINNTSystem32inetsrvinetinfo.exe服務名稱：SCardSvr顯示名稱:SmartCard描述：對插入在計算機智能卡閱讀器中的智能卡進行管理和訪問控制?？蓤?zhí)行文件的路徑：C:WINNTSystem32SCardSvr。exe服務名稱：SCardDrv顯示名稱：SmartCardHelper描述：提供對連接到計算機上舊式智能卡的支持。可執(zhí)行文件的路徑:C:WINNTSystem32SCardSvr.exe服務名稱：SENS顯示名稱：SystemEventNotification描述：跟蹤系統(tǒng)事件,如登錄Windows，網絡以及電源事件等.將這些事件通知給COM+事件系統(tǒng)“訂閱者(subscriber）"?？蓤?zhí)行文件的路徑：C:WINNTsystem32svchost。exe—knetsvcs服務名稱：Schedule顯示名稱：TaskScheduler描述：允許程序在指定時間運行?？蓤?zhí)行文件的路徑:C：WINNTsystem32MSTask。exe服務名稱：LmHosts顯示名稱：TCP/IPNetBIOSHelperService描述：允許對“TCP/IP上NetBIOS(NetBT)”服務以及NetBIOS名稱解析的支持?？蓤?zhí)行文件的路徑：C:WINNTSystem32services.exe服務名稱：TapiSrv顯示名稱：Telephony描述：提供TAPI的支持，以便程序控制本地計算機，服務器以及LAN上的電話設備和基于IP的語音連接?？蓤?zhí)行文件的路徑：C：WINNTSystem32svchost。exe—knetsvcs服務名稱:TlntSvr顯示名稱：Telnet描述:允許遠程用戶登錄到系統(tǒng)并且使用命令行運行控制臺程序?？蓤?zhí)行文件的路徑：C:WINNTsystem32tlntsv