正常開機的程序

正常開機的程序通常有：

（1）system Idle Process

程序檔案: [system process] or [system process]

程序名稱: Windows記憶體處理系統程序

描 述: Windows頁面記憶體管理程序，擁有0級優先。

介 紹：該程序作為單線程運作在每個處理器上，并在系統不處理其他線程的時候分派處理器的時間。它的cpu占用率越大表示可供配置設定的CPU資源越多，數字越小則表示CPU資源緊張。

（2）alg.exe

程序檔案: alg or alg.exe

程序名稱: 應用層網關服務

描 述: 這是一個應用層網關服務用于網絡共享。

介 紹：一個網關通信插件的管理器，為 “Internet連接配接共享服務”和 “Internet連接配接防火牆服務”提供第三方協定插件的支援。

（3）csrss.exe

程序檔案: csrss or csrss.exe

程序名稱: Client/Server Runtime Server Subsystem

描 述: 用戶端服務子系統，用以控制Windows圖形相關子系統。

介 紹: 這個是使用者模式Win32子系統的一部分。csrss代表客戶/伺服器運作子系統而且是一個基本的子系統必須一直運作。csrss用于維持Windows的控制，建立或者删除線程和一些16位的虛拟MS-DOS環境。

（4）ddhelp.exe

程序檔案: ddhelp or ddhelp.exe

程序名稱: DirectDraw Helper

描 述: DirectDraw Helper是DirectX這個用于圖形服務的一個組成部分。

簡 介：Directx 幫助程式

（5）dllhost.exe

程序檔案: dllhost or dllhost.exe

程序名稱: DCOM DLL Host程序

描 述: DCOM DLL Host程序支援基于COM對象支援DLL以運作Windows程式。

介 紹：com代理，系統附加的dll元件越多，則dllhost占用的cpu資源和記憶體資源就越多，而8月的“沖擊波殺手”大概讓大家對它比較熟悉吧。

（6）explorer.exe

程序檔案: explorer or explorer.exe

程序名稱: 程式管理

描 述: Windows Program Manager或者Windows Explorer用于控制Windows圖形Shell，包括開始菜單、工作列，桌面和檔案管理。

介 紹：這是一個使用者的shell，在我們看起來就像任務條，桌面等等。或者說它就是資料總管，不相信你在運作裡執行它看看。它對windows系統的穩定性還是比較重要的，而紅碼也就是找它的麻煩，在c和d根下建立explorer.exe。

（7）inetinfo.exe

程序檔案: inetinfo or inetinfo.exe

程序名稱: IIS Admin Service Helper

描 述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用于Debug調試除錯。

介 紹：IIS服務程序，藍碼正是利用的inetinfo.exe的緩沖區溢出漏洞。

（8）internat.exe

程序檔案: internat or internat.exe

程序名稱: Input Locales

描 述: 這個輸入控制圖示用于更改類似國家設定、鍵盤類型和日期格式。internat.exe在啟動的時候開始運作。它加載由使用者指定的不同的輸入點。輸入點是從系統資料庫的這個位置HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加載内容的。internat.exe 加載“EN”圖示進入系統的圖示區，允許使用者可以很容易的轉換不同的輸入點。當程序停掉的時候，圖示就會消失，但是輸入點仍然可以通過控制台來改變。

介 紹：它主要是用來控制輸入法的，當你的工作列沒有“EN”圖示，而系統有internat.exe程序，不妨結束掉該程序，在運作裡執行internat指令即可。

（9）kernel32.dll

程序檔案: kernel32 or kernel32.dll

程序名稱: Windows殼程序

描 述: Windows殼程序用于管理多線程、記憶體和資源。

介 紹：更多内容浏覽非法操作與Kernel32解讀

（10）lsass.exe

程序檔案: lsass or lsass.exe

程序名稱: 本地安全權限服務

描 述: 這個本地安全權限服務控制Windows安全機制。管理 IP 安全政策以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程式等。

介 紹：這是一個本地的安全授權服務，并且它會為使用winlogon服務的授權使用者生成一個程序。這個程序是通過使用授權的包，例如預設的msgina.dll來執行的。如果授權是成功的，lsass就會産生使用者的進入令牌，令牌别使用啟動初始的shell。其他的由使用者初始化的程序會繼承這個令牌的。而windows活動目錄遠端堆棧溢出漏洞，正是利用LDAP 3搜尋請求功能對使用者送出請求缺少正确緩沖區邊界檢查，建構超過1000個"AND"的請求，并發送給伺服器，導緻觸發堆棧溢出，使Lsass.exe服務崩潰，系統在30秒内重新啟動。

（11）mdm.exe

程序檔案: mdm or mdm.exe

程序名稱: Machine Debug Manager

描 述: Debug除錯管理用于調試應用程式和Microsoft Office中的Microsoft Script Editor腳本編輯器。

介 紹：Mdm.exe的主要工作是針對應用軟體進行排錯(Debug)，說到這裡，扯點題外話，如果你在系統見到fff開頭的0位元組檔案，它們就是mdm.exe在排錯過程中産生一些暫存檔案，這些檔案在作業系統進行關機時沒有自動被清除，是以這些fff開頭的怪檔案裡是一些字尾名為CHK的檔案都是沒有用的垃圾檔案，可勻我馍境換岫韻低巢渙加跋臁6?X系統，隻要系統中有Mdm.exe存在，就有可能産生以fff開頭的怪檔案。可以按下面的方法讓系統停止運作Mdm.exe來徹底删除以fff開頭的怪檔案：首先按“Ctrl+Alt+Del”組合鍵，在彈出的“關閉程式”視窗中選中“Mdm”，按“結束任務”按鈕來停止Mdm.exe在背景的運作，接着把Mdm.exe(在C:\Windows\System目錄下)改名為Mdm.bak。運作msconfig程式，在啟動頁中取消對“Machine Debug Manager”的選擇。這樣可以不讓Mdm.exe自啟動，然後點選“确定”按鈕，結束msconfig程式，并重新啟動電腦。另外，如果你使用IE 5.X以上版本浏覽器，建議禁用腳本調用(點選“工具→Internet選項→進階→禁用腳本調用”)，這樣就可以避免以fff開頭的怪檔案再次産生。

（12）mmtask.tsk

程序檔案: mmtask or mmtask.tsk

程序名稱: 多媒體支援程序

描 述: 這個Windows多媒體背景程式控制多媒體服務，例如MIDI。

介 紹：這是一個任務排程服務，負責使用者事先決定在某一時間運作的任務的運作。

（13）mprexe.exe

程序檔案: mprexe or mprexe.exe

程序名稱: Windows路由程序

描 述: Windows路由程序包括向适當的網絡部分發出網絡請求。

介 紹：這是Windows的32位網絡界面服務程序檔案，網絡用戶端部件啟動的核心。印象中“A-311木馬(Trojan.A-311.104)”也會在記憶體中建立mprexe.exe程序，可以通過資源管理結束程序。

（14）msgsrv32.exe

程序檔案: msgsrv32 or msgsrv32.exe

程序名稱: Windows信差服務

描 述: Windows信差服務調用Windows驅動和程式管理在啟動。

介 紹：msgsrv32.exe 一個管理資訊視窗的應用程式，win9x下如果聲霸卡或者顯示卡驅動程式配置不正确，會導緻當機或者提示msgsrv32.exe 出錯。

（15）mstask.exe

程序檔案: mstask or mstask.exe

程序名稱: Windows計劃任務

描 述: Windows計劃任務用于設定繼承在什麼時間或者什麼日期備份或者運作。

介 紹：計劃任務，它通過系統資料庫自啟動。是以，通過計劃任務程式實作自啟動的程式在系統資訊中看不到它的檔案名，一旦把它從系統資料庫中删除或禁用，那麼通過計劃任務啟動的程式全部不能自動運作。win9X下系統啟動就會開啟計劃任務，可以通過輕按兩下計劃任務圖示－進階－終止計劃任務來停止它自啟動。另外，攻擊者在攻擊過程中，也經常用到計劃任務，包括上傳檔案、提升權限、種植後門、清掃腳印等。

（16）regsvc.exe

程序檔案: regsvc or regsvc.exe

程序名稱: 遠端系統資料庫服務

描 述: 遠端系統資料庫服務用于通路在遠端計算機的系統資料庫。

（17）rpcss.exe

程序檔案: rpcss or rpcss.exe

程序名稱: RPC Portmapper

描 述: Windows 的RPC端口映射程序處理RPC調用(遠端子產品調用)然後把它們映射給指定的服務提供者。

介 紹：98它不是在裝載解釋器時或引導時啟動，如果使用中有問題，可以直接在在系統資料庫HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices添加"字元串值"，定向到"C:\WINDOWS\SYSTEM\RPCSS"即可。

（18）services.exe

程序檔案: services or services.exe

程序名稱: Windows Service Controller

描 述: 管理Windows服務。

介 紹：大多數的系統核心模式程序是作為系統程序在運作。打開管理工具中的服務，可以看到有很多服務都是在調用%systemroot%\system32\service.exe

（19）smss.exe

程序檔案: smss or smss.exe

程序名稱: Session Manager Subsystem

描 述: 該程序為會話管理子系統用以初始化系統變量，MS-DOS驅動名稱類似LPT1以及COM，調用Win32殼子系統和運作在Windows登陸過程。

簡 介：這是一個會話管理子系統，負責啟動使用者會話。這個程序是通過系統程序初始化的并且對許多活動的，包括已經正在運作的Winlogon，Win32（Csrss.exe）線程和設定的系統變量作出反映。在它啟動這些程序後，它等待Winlogon或者Csrss結束。如果這些過程時正常的，系統就關掉了。如果發生了什麼不可預料的事情，smss.exe就會讓系統停止響應（就是挂起）。

（20）snmp.exe

程序檔案: snmp or snmp.exe

程序名稱: Microsoft SNMP Agent

描 述: Windows簡單的網絡協定代理（SNMP）用于監聽和發送請求到适當的網絡部分。

簡 介：負責接收SNMP請求封包，根據要求發送響應封包并處理與WinsockAPI的接口。

（21）spool32.exe

程序檔案: spool32 or spool32.exe

程序名稱: Printer Spooler

描 述: Windows列印任務控制程式，用以列印機就緒。

（22）spoolsv.exe

程序檔案: spoolsv or spoolsv.exe

程序名稱: Printer Spooler Service

描 述: Windows列印任務控制程式，用以列印機就緒。

介 紹：緩沖（spooler）服務是管理緩沖池中的列印和傳真作業。

（23）stisvc.exe

程序檔案: stisvc or stisvc.exe

程序名稱: Still Image Service

描 述: Still Image Service用于控制掃描器和數位相機連接配接在Windows。

（24）svchost.exe

程序檔案: svchost or svchost.exe

程序名稱: Service Host Process

描 述: Service Host Process是一個标準的動态連接配接庫主機處理服務.

介 紹：Svchost.exe檔案對那些從動态連接配接庫中運作的服務來說是一個普通的主機程序名。Svhost.exe檔案定位在系統的%systemroot%\system32檔案夾下。在啟動的時候，Svchost.exe檢查系統資料庫中的位置來建構需要加載的服務清單。這就會使多個Svchost.exe在同一時間運作。每個Svchost.exe的回話期間都包含一組服務，以至于單獨的服務必須依靠Svchost.exe怎樣和在那裡啟動。這樣就更加容易控制和查找錯誤。windows 2k一般有2個svchost程序，一個是RPCSS（Remote Procedure Call）服務程序，另外一個則是由很多服務共享的一個svchost.exe。而在windows XP中，則一般有4個以上的svchost.exe服務程序，windows 2003 server中則更多。

（25）taskmon.exe

程序檔案: taskmon or taskmon.exe

程序名稱: Windows Task Optimizer

描 述: windows任務優化器監視你使用某個程式的頻率，并且通過加載那些經常使用的程式來整理優化硬碟。

介 紹：任務管理器，它的功能是監視程式的執行情況并随時報告。能夠監測所有在工作列中以視窗方式運作的程式，可打開和結束程式，還可直接調出關閉系統對話框。

（26）tcpsvcs.exe

程序檔案: tcpsvcs or tcpsvcs.exe

程序名稱: TCP/IP Services

描 述: TCP/IP Services Application支援透過TCP/IP連接配接區域網路和Internet。

（27）winlogon.exe

程序檔案: winlogon or winlogon.exe

程序名稱: Windows Logon Process

描 述: Windows NT使用者登陸程式。這個程序是管理使用者登入和退出的。而且winlogon在使用者按下CTRL+ALT+DEL時就激活了，顯示安全對話框。

（28）winmgmt.exe

程序檔案: winmgmt or winmgmt.exe

程序名稱: Windows Management Service

描 述: Windows Management Service透過Windows Management Instrumentation data WMI)技術處理來自應用用戶端的請求。

簡 介：winmgmt是win2000用戶端管理的核心元件。當用戶端應用程式連接配接或當管理程式需要他本身的服務時這個程序初始化。WinMgmt.exe（CIM對象管理器）和知識庫（Repository）是WMI兩個主要構成部分，其中知識庫是對象定義的資料庫，它是存儲所有可管理靜态資料的中心資料庫，對象管理器負責處理知識庫中對象的收集和操作并從WMI提供程式收集資訊。WinMgmt.exe在Windows 2k/NT上作為一個服務運作，而在Windows 95/98上作為一個獨立的exe程式運作。Windows 2k系統在某些計算機上出現的WMI錯誤可以通過安裝Windows 2k SP2來修正。

（29）system

程序檔案: system or system

程序名稱: Windows System Process

描 述: Microsoft Windows系統程序。

介 紹：在任務管理器中會看到這項程序，屬于正常系統程序。

在Windows2k/XP中，以下程序是必須加載的：

smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe(可以同時存在多個)、spoolsv.exe、explorer.exe、System Idle Process；

在Windows 9x中，以下程序是必須加載的：

msgsrv32.exe、mprexe.exe、mmtask.tsk、kenrel32.dll。