WINDOWS程序全解

WINDOWS程序全解最基本的系統程序（也就是說，這些程序是系統運作的基本條件，有了這些程序，系統就能正常運作）: smss.exe Session Manager csrss.exe 子系統伺服器程序 winlogon.exe 管理使用者登入 services.exe 包含很多系統服務 lsass.exe 管理 IP 安全政策以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程式。(系統服務) 産生會話密鑰以及授予用于互動式客戶/伺服器驗證的服務憑據(ticket)。(系統服務) svchost.exe 包含很多系統服務 svchost.exe SPOOLSV.EXE 将檔案加載到記憶體中以便遲後列印。(系統服務)

explorer.exe 資料總管

internat.exe 托盤區的拼音圖示

附加的系統程序（這些程序不是必要的，你可以根據需要通過服務管理器來增加或減少）:

mstask.exe 允許程式在指定時間運作。(系統服務)

regsvc.exe 允許遠端系統資料庫**作。(系統服務)

winmgmt.exe 提供系統管理資訊(系統服務)。

inetinfo.exe 通過 Internet 資訊服務的管理單元提供 FTP 連接配接和管理。(系統服務)

tlntsvr.exe 允許遠端使用者登入到系統并且使用指令行運作控制台程式。(系統服務)

允許通過 Internet 資訊服務的管理單元管理 Web 和 FTP 服務。(系統服務)

tftpd.exe 實作 TFTP Internet 标準。該标準不要求使用者名和密碼。遠端安裝服務的一部分。(系統服務)

termsrv.exe 提供多會話環境允許用戶端裝置通路虛拟的 Windows 2000 Professional 桌面會話以及運作在伺服器上的基

于 Windows 的程式。(系統服務)

dns.exe 應答對域名系統(DNS)名稱的查詢和更新請求。(系統服務)

以下服務很少會用到，上面的服務都對安全有害，如果不是必要的應該關掉

tcpsvcs.exe 提供在 PXE 可遠端啟動客戶計算機上遠端安裝 Windows 2000 Professional 的能力。(系統服務)

支援以下 TCP/IP 服務：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系統服務)

ismserv.exe 允許在 Windows Advanced Server 站點間發送和接收消息。(系統服務)

ups.exe 管理連接配接到計算機的不間斷電源(UPS)。(系統服務)

wins.exe 為注冊和解析 NetBIOS 型名稱的 TCP/IP 客戶提供 NetBIOS 名稱服務。(系統服務)

llssrv.exe License Logging Service(system service)

ntfrs.exe 在多個伺服器間維護檔案目錄内容的檔案同步。(系統服務)

RsSub.exe 控制用來遠端儲存資料的媒體。(系統服務)

locator.exe 管理 RPC 名稱服務資料庫。(系統服務)

lserver.exe 注冊用戶端許可證。(系統服務)

dfssvc.exe 管理分布于區域網路或廣域網的邏輯卷。(系統服務)

clipsrv.exe 支援“剪貼簿檢視器”，以便可以從遠端剪貼簿查閱剪貼頁面。(系統服務)

msdtc.exe 并列事務，是分布于兩個以上的資料庫，消息隊列，檔案系統，或其它事務保護資料總管。(系統服務)

faxsvc.exe 幫助您發送和接收傳真。(系統服務)

cisvc.exe Indexing Service(system service)

dmadmin.exe 磁盤管理請求的系統管理服務。(系統服務)

mnmsrvc.exe 允許有權限的使用者使用 NetMeeting 遠端通路 Windows 桌面。(系統服務)

netdde.exe 提供動态資料交換 (DDE) 的網絡傳輸和安全特性。(系統服務)

smlogsvc.exe 配置性能日志和警報。(系統服務)

rsvp.exe 為依賴品質服務(QoS)的程式和控制應用程式提供網絡信号和本地通信控制安裝功能。(系統服務)

RsEng.exe 協調用來儲存不常用資料的服務和管理工具。(系統服務)

RsFsa.exe 管理遠端儲存的檔案的**作。(系統服務)

grovel.exe 掃描零備份存儲(SIS)卷上的重複檔案，并且将重複檔案指向一個資料存儲點，以節省磁盤空間。(系統服務)

SCardSvr.exe 對插入在計算機智能卡閱讀器中的智能卡進行管理和通路控制。(系統服務)

snmp.exe 包含代理程式可以監視網絡裝置的活動并且向網絡控制台工作站彙報。(系統服務)

snmptrap.exe 接收由本地或遠端 SNMP 代理程式産生的陷阱消息，然後将消息傳遞到運作在這台計算機上 SNMP 管理程式

。(系統服務)

UtilMan.exe 從一個視窗中啟動和配置輔助工具。(系統服務)

msiexec.exe 依據 .MSI 檔案中包含的指令來安裝、修複以及删除軟體。(系統服務)

還有..

詳細說明：

win2k運作程序

Svchost.exe

Svchost.exe檔案對那些從動态連接配接庫中運作的服務來說是一個普通的主機程序名。Svhost.exe檔案定位

在系統的%systemroot%system32檔案夾下。在啟動的時候，Svchost.exe檢查系統資料庫中的位置來建構需要

加載的服務清單。這就會使多個Svchost.exe在同一時間運作。每個Svchost.exe的回話期間都包含一組服務，

以至于單獨的服務必須依靠Svchost.exe怎樣和在那裡啟動。這樣就更加容易控制和查找錯誤。

Svchost.exe 組是用下面的系統資料庫值來識别。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionSvchost

每個在這個鍵下的值代表一個獨立的Svchost組，并且當你正在看活動的程序時，它顯示作為一個單獨的

例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括運作在Svchost組内的服務。每個Svchost組都包含一個

或多個從系統資料庫值中選取的服務名，這個服務的參數值包含了一個ServiceDLL值。

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesService

更多的資訊

為了能看到正在運作在Svchost清單中的服務。

開始－運作－敲入cmd

然後在敲入 tlist -s （tlist 應該是win2k工具箱裡的冬冬）

Tlist 顯示一個活動程序的清單。開關 -s 顯示在每個程序中的活動服務清單。如果想知道更多的關于

程序的資訊，可以敲 tlist pid。

Tlist 顯示Svchost.exe運作的兩個例子。

0 System Process

8 System

132 smss.exe

160 csrss.exe title:

180 winlogon.exe title: NetDDE Agent

208services.exe

Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkstation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi

220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs

404 svchost.exe Svcs: RpcSs

452 spoolsv.exe Svcs: Spooler

544 cisvc.exe Svcs: cisvc

556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv

580 regsvc.exe Svcs: RemoteRegistry

596 mstask.exe Svcs: Schedule

660 snmp.exe Svcs: SNMP

728 winmgmt.exe Svcs: WinMgmt

852 cidaemon.exe title: OleMainThreadWndName

812 explorer.exe title: Program Manager

1032 OSA.EXE title: Reminder

1300 cmd.exe title: D:WINNT5System32cmd.exe - tlist -s

1080 MAPISP32.EXE title: WMS Idle

1264 rundll32.exe title:

1000 mmc.exe title: Device Manager

1144 tlist.exe

在這個例子中系統資料庫設定了兩個組。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionSvchost:

netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc

rpcss :Reg_Multi_SZ: RpcSs

smss.exe

csrss.exe

這個是使用者模式Win32子系統的一部分。csrss代表客戶/伺服器運作子系統而且是一個基本的子系統

必須一直運作。csrss 負責控制windows，建立或者删除線程和一些16位的虛拟MS-DOS環境。

explorer.exe

這是一個使用者的shell（我實在是不知道怎麼翻譯shell），在我們看起來就像任務條，桌面等等。這個

程序并不是像你想象的那樣是作為一個重要的程序運作在windows中，你可以從任務管理器中停掉它，或者重新啟動。

通常不會對系統産生什麼負面影響。

學習..

internat.exe

這個程序是可以從任務管理器中關掉的。

internat.exe在啟動的時候開始運作。它加載由使用者指定的不同的輸入點。輸入點是從系統資料庫的這個位置

HKEY_USERS.DEFAULTKeyboard LayoutPreload 加載内容的。

internat.exe 加載“EN”圖示進入系統的圖示區，允許使用者可以很容易的轉換不同的輸入點。

當程序停掉的時候，圖示就會消失，但是輸入點仍然可以通過控制台來改變。

lsass.exe

這個程序是不可以從任務管理器中關掉的。

這是一個本地的安全授權服務，并且它會為使用winlogon服務的授權使用者生成一個程序。這個程序是

通過使用授權的包，例如預設的msgina.dll來執行的。如果授權是成功的，lsass就會産生使用者的進入

令牌，令牌别使用啟動初始的shell。其他的由使用者初始化的程序會繼承這個令牌的。

mstask.exe

這是一個任務排程服務，負責使用者事先決定在某一時間運作的任務的運作。

這是一個會話管理子系統，負責啟動使用者會話。這個程序是通過系統程序初始化的并且對許多活動的，

包括已經正在運作的Winlogon，Win32（Csrss.exe）線程和設定的系統變量作出反映。在它啟動這些

程序後，它等待Winlogon或者Csrss結束。如果這些過程時正常的，系統就關掉了。如果發生了什麼

不可預料的事情，smss.exe就會讓系統停止響應（就是挂起）。

spoolsv.exe

緩沖（spooler）服務是管理緩沖池中的列印和傳真作業。

service.exe

大多數的系統核心模式程序是作為系統程序在運作。

System Idle Process

這個程序是作為單線程運作在每個處理器上，并在系統不處理其他線程的時候分派處理器的時間。

winlogon.exe

這個程序是管理使用者登入和推出的。而且winlogon在使用者按下CTRL+ALT+DEL時就激活了，顯示安全對話框。

winmgmt.exe

winmgmt是win2000用戶端管理的核心元件。當用戶端應用程式連接配接或當管理程式需要他本身的服務時這個程序初始化

taskmagr.exe

這個程序呀，哈哈，就是任務管理器了

WIN2K_AS安全模式啟動服務

C:WINNTSystem32WBEMWinMgmt.exe Windows Management Instrumentation 提供系統管理資訊。

C:WINNTsystem32svchost -k rpcss Remote Procedure Call (RPC) 提供終結點映射程式 (endpoint mapper) 以及其它 RPC 服務。

C:WINNTsystem32services.exe Plug and Play 管理裝置安裝以及配置，并且通知程式關于裝置更改的情況。

C:WINNTSystem32services.exe Logical Disk Manager 邏輯磁盤管理器監視狗服務

C:WINNTsystem32services.exe Event Log 記錄程式和 Windows 發送的事件消息。事件日志包含對診斷問題有所幫助的資訊。您可以在“事件檢視器”中檢視報告

該文章轉載自Pclala電腦大學營：[url]http://www.pclala.com/Pc/Learn/2007101410617.Html[/url]