系统进程初步解析

wangfakuna

先讲下系统账户（administrator或是你自己定义的用户名）中的进程：

explorer进程

Windows Program Manager或者Windows Explorer用于控制Windows图形Shell，包括开始菜单、任务栏，

桌面和文件管理(桌面程序加载项)。

wscntfy进程

wscntfy.exe是Windows安全相关策略的一部分。这个程序对你系统的正常运行是非常重要的(自动更新加

载项)。

cifmon进程

ctfmon.exe是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序，和微软Office XP语

言条（输入法进加载项）。

realsched进程

Real自动加载的realsched.exe进程项。

VTTimer进程

VTTimer.exe是VIA芯片显卡相关程序，用于显卡诊断和功能设置。

VTTrayp进程

VTtrayp.exe是S3公司显示卡相关程序，用于硬件设备配置。

taskmgr进程

这个就是进程调用程序的加载项。

wdfmgr进程

wdfmgr.exe是微软Microsoft Windows media player 10播放器的一部分。该进程用于减少兼容性问题。

svchost进程

svchost.exe是nt核心系统的非常重要的进程，对于2000、xp来说，不可或缺

alg进程

alg.exe是微软windows操作系统自带的程序。它用于处理微软windows网络连接共享和网络连接防火墙。

这个程序对你系统的正常运行是非常重要的。

smss进程

smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个

程序对你系统的正常运行是非常重要的。

csrss进程

csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的

正常运行是非常重要的。

lsass进程

lsass.exe是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。这个进

程是通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进

入令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目

录远程堆栈溢出漏洞，正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查，构建超过

1000个"AND"的请求，并发送给服务器，导致触发堆栈溢出，使Lsass.exe服务崩溃，系统在30秒内重新启

动。

services进程

Windows Service Controller，管理Windows服务。大多数的系统核心模式进程是作为系统进程在运行。

打开管理工具中的服务，可以看到有很多服务都是在调用service.exe。正常的services.exe应位于%

System%文件夹中，如果在%Windir%\Connection Wizard\Status中发现services.exe和csrss.exe、

smss.exe的话，则是中了Worm_Sober.N蠕虫病毒。

spoolsv进程

spoolsv是Windows打印任务控制程序，用以打印机就绪。（如果目前你没有自己的打印机而且不想用这台

计算机打印资料，可以在“我的电脑”右键“管理”里的“服务”项目中找到“Print Spooler（将文件

加载到内存中以便迟后打印。）”找到，停止并且禁用就可以了。）

因为每台电脑的硬软件不同，这里其它程序就不多说了。

这些进程也不一定是系统的，只能说是系统运行要用的进程，因为在这里所提及的很多进程的安全等级

以(0-5)的等级划分，多数是为0的，所以很有可能存在被病毒或是木马所利用该进程做隐蔽，其中比较明

显的症状是lsass、csrss等system账户的进程，却是被自己命名的系统用户名或administrator调用，比

较常的有冲击波病毒、Win32.Ladex.a木马，此类病毒常以一个大约48KB的应用程序来感染系统的，常以

网络、数据传输工具（MP3，U盘等）或是聊天工具的传播，只要一点击这个应用程序电脑就中招了。

lg010011

很好，很详细。
但有时木马会仿系统进程的，例如svchost、spoolsv、explorer都经常成为木马模仿的对象，防不胜防！
因此日常使用记得要装防火墙和杀软啦~~