工作管理員的程序和程序解釋?

帶星的是必須載入的（1）[system Idle Process] *（2）[alg.EⅩE] （3）[csrss.EⅩE]*（4）[ddhelp.EⅩE] （5）[dllhost.EⅩE] （6）[explorer.EⅩE]* （7）[inetinfo.EⅩE] （8）[internat.EⅩE] （9）[kernel32.dll] （10）[lsass.EⅩE]*（11）[mdm.EⅩE] （12）[mmtask.tsk]（13）[mprexe.EⅩE]（14）[msgsrv32.EⅩE] （15）[mstask.EⅩE]（16）[regsvc.EⅩE]（17）[rpcss.EⅩE]（18）[services.EⅩE]*（19）[smss.EⅩE]*（20）[snmp.EⅩE] （21）[spool32.EⅩE] （22）[spoolsv.EⅩE]*（23）[stisvc.EⅩE] （24）[svchost.EⅩE]*（25）[taskmon.EⅩE] （26）[tcpsvcs.EⅩE]（27）[winlogon.EⅩE]*（28）[winmgmt.EⅩE] （29）[system]（1）[system Idle Process] 程序檔案: [system process] or [system process] 程序名稱: Windows記憶體處理系統程序 描 述: Windows頁面記憶體管理程序，擁有0級優先。 介 紹：該程序作為單執行緒執行在每個處理器上，並在系統不處理其他執行緒的時候分派處理器的時間。它的cpu佔用率越大表示可供分配的CPU資源越多，數字越小則表示CPU資源緊張。

（2）[alg.EⅩE] 程序檔案: alg or alg.EⅩE 程序名稱: 應用層閘道器服務 描 述: 這是一個應用層閘道器服務用於網路共享。 介 紹：一個閘道器通訊外掛的管理器，為 “Internet連線共享服務”和 “Internet連線防火牆服務”提供第三方協議外掛的支援。

（3）[csrss.EⅩE] 程序檔案: csrss or csrss.EⅩE 程序名稱: Client/Server Runtime Server Subsystem 描 述: 客戶端服務子系統，用以控制Windows圖形相關子系統。 介 紹: 這個是使用者模式Win32子系統的一部分。csrss代表客戶/伺服器執行子系統而且是一個基本的子系統必須一直執行。csrss用於維持Windows的控制，建立或者刪除執行緒和一些16位的虛擬MS-DOS環境。

（4）[ddhelp.EⅩE]

程序檔案: ddhelp or ddhelp.EⅩE 程序名稱: DirectDraw Helper 描 述: DirectDraw Helper是DirectX這個用於圖形服務的一個組成部分。 簡 介：Directx 幫助程式

（5）[dllhost.EⅩE] 程序檔案: dllhost or dllhost.EⅩE 程序名稱: DCOM DLL Host程序 描 述: DCOM DLL Host程序支援基於COM物件支援DLL以執行Windows程式。 介 紹：com代理，系統附加的dll元件越多，則dllhost佔用的cpu資源和記憶體資源就越多，而8月的“衝擊波殺手”大概讓大家對它比較熟悉吧。

（6）[explorer.EⅩE] 程序檔案: explorer or explorer.EⅩE 程序名稱: 程式管理 描 述: Windows Program Manager或者Windows Explorer用於控制Windows圖形Shell，包括開始選單、工作列，桌面和檔案管理。 介 紹：這是一個使用者的shell，在我們看起來就像任務條，桌面等等。或者說它就是資源管理器，不相信你在執行裡執行它看看。它對windows系統的穩定性還是比較重要的，而紅碼也就是找它的麻煩，在c和d根下建立explorer.EⅩE。

（7）[inetinfo.EⅩE] 程序檔案: inetinfo or inetinfo.EⅩE 程序名稱: IIS Admin Service Helper 描 述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用於Debug除錯除錯。 介紹：IIS服務程序，藍碼正是利用的inetinfo.EⅩE的緩衝區溢位漏洞。

（8）[internat.EⅩE] 程序檔案: internat or internat.EⅩE 程序名稱: Input Locales 描 述: 這個輸入控制圖示用於更改類似國家設定、鍵盤型別和日期格式。internat.EⅩE在啟動的時候開始執行。它載入由使用者指定的不同的輸入點。輸入點是從登錄檔的這個位置HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 載入內容的。internat.EⅩE 載入“EN”圖示進入系統的圖示區，允許使用者可以很容易的轉換不同的輸入點。當程序停掉的時候，圖示就會消失，但是輸入點仍然可以通過控制面板來改變。 介 紹：它主要是用來控制輸入法的，當你的工作列沒有“EN”圖示，而系統有internat.EⅩE程序，不妨結束掉該程序，在執行裡執行internat命令即可。

（9）[kernel32.dll] 程序檔案: kernel32 or kernel32.dll 程序名稱: Windows殼程序 描 述: Windows殼程序用於管理多執行緒、記憶體和資源。 介 紹：更多內容瀏覽非法操作與Kernel32解讀

（10）[lsass.EⅩE] 程序檔案: lsass or lsass.EⅩE 程序名稱: 本地安全許可權服務 描 述: 這個本地安全許可權服務控制Windows安全機制。管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程式等。 介 紹：這是一個本地的安全授權服務，並且它會為使用winlogon服務的授權使用者生成一個程序。這個程序是通過使用授權的包，例如預設的msgina.dll來執行的。如果授權是成功的，lsass就會產生使用者的進入令牌，令牌別使用啟動初始的shell。其他的由使用者初始化的程序會繼承這個令牌的。而windows活動目錄遠端堆疊溢位漏洞，正是利用LDAP 3搜尋請求功能對使用者提交請求缺少正確緩衝區邊界檢查，構建超過1000個"AND"的請求，併發送給伺服器，導致觸發堆疊溢位，使Lsass.EⅩE服務崩潰，系統在30秒內重新啟動。

（11）[mdm.EⅩE] 程序檔案: mdm or mdm.EⅩE 程序名稱: Machine Debug Manager 描 述: Debug除錯管理用於除錯應用程式和Microsoft Office中的Microsoft Script Editor指令碼編輯器。 介 紹：Mdm.EⅩE的主要工作是針對應用軟體進行排錯(Debug)，說到這裡，扯點題外話，如果你在系統見到fff開頭的0位元組檔案，它們就是mdm.EⅩE在排錯過程中產生一些暫存檔案，這些檔案在作業系統進行關機時沒有自動被清除，所以這些fff開頭的怪檔案裡是一些字尾名為CHK的檔案都是沒有用的垃圾檔案，可勻我饃境 換岫韻低巢 渙加跋臁６?X系統，只要系統中有Mdm.EⅩE存在，就有可能產生以fff開頭的怪檔案。可以按下面的方法讓系統停止執行Mdm.EⅩE來徹底刪除以fff開頭的怪檔案：首先按“Ctrl+Alt+Del”組合鍵，在彈出的“關閉程式”視窗中選中“Mdm”，按“結束任務”按鈕來停止Mdm.EⅩE在後臺的執行，接著把Mdm.EⅩE(在C:\Windows\System目錄下)改名為Mdm.bak。執行msconfig程式，在啟動頁中取消對“Machine Debug Manager”的選擇。這樣可以不讓Mdm.EⅩE自啟動，然後點選“確定”按鈕，結束msconfig程式，並重新啟動電腦。另外，如果你使用IE 5.X以上版本瀏覽器，建議禁用指令碼呼叫(點選“工具→Internet選項→高階→禁用指令碼呼叫”)，這樣就可以避免以fff開頭的怪檔案再次產生。

（12）[mmtask.tsk] 程序檔案: mmtask or mmtask.tsk 程序名稱: 多媒體支援程序 描 述: 這個Windows多媒體後臺程式控制多媒體服務，例如MIDI。 介 紹：這是一個任務排程服務，負責使用者事先決定在某一時間執行的任務的執行。

（13）[mprexe.EⅩE] 程序檔案: mprexe or mprexe.EⅩE 程序名稱: Windows路由程序 描 述: Windows路由程序包括向適當的網路部分發出網路請求。 介 紹：這是Windows的32位網路介面服務程序檔案，網路客戶端部件啟動的核心。印象中“A-311木馬(Trojan.A-311.104)”也會在記憶體中建立mprexe.EⅩE程序，可以通過資源管理結束程序。

（14）[msgsrv32.EⅩE] 程序檔案: msgsrv32 or msgsrv32.EⅩE 程序名稱: Windows信使服務 描 述: Windows信使服務呼叫Windows驅動和程式管理在啟動。 介 紹：msgsrv32.EⅩE 一個管理資訊視窗的應用程式，win9x下如果音效卡或者顯示卡驅動程式配置不正確，會導致宕機或者提示msgsrv32.EⅩE 出錯。

（15）[mstask.EⅩE] 程序檔案: mstask or mstask.EⅩE 程序名稱: Windows計劃任務 描 述: Windows計劃任務用於設定繼承在什麼時間或者什麼日期備份或者執行。 介 紹：計劃任務，它通過登錄檔自啟動。因此，通過計劃任務程式實現自啟動的程式在系統資訊中看不到它的檔名，一旦把它從登錄檔中刪除或禁用，那麼通過計劃任務啟動的程式全部不能自動執行。win9X下系統啟動就會開啟計劃任務，可以通過雙擊計劃任務圖示－高階－終止計劃任務來停止它自啟動。另外，攻擊者在攻擊過程中，也經常用到計劃任務，包括上傳檔案、提升許可權、種植後門、清掃腳印等。

（16）[regsvc.EⅩE] 程序檔案: regsvc or regsvc.EⅩE 程序名稱: 遠端登錄檔服務 描 述: 遠端登錄檔服務用於訪問在遠端計算機的登錄檔。

（17）[rpcss.EⅩE] 程序檔案: rpcss or rpcss.EⅩE 程序名稱: RPC Portmapper 描 述: Windows 的RPC埠對映程序處理RPC呼叫(遠端模組呼叫)然後把它們對映給指定的服務提供者。 介 紹：98它不是在裝載直譯器時或引導時啟動，如果使用中有問題，可以直接在在登錄檔HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices新增"字串值"，定向到"C:\WINDOWS\SYSTEM\RPCSS"即可。

（18）[services.EⅩE] 程序檔案: services or services.EⅩE 程序名稱: Windows Service Controller 描 述: 管理Windows服務。 介 紹：大多數的系統核心模式程序是作為系統程序在執行。開啟管理工具中的服務，可以看到有很多服務都是在呼叫%systemroot%\system32\service.EⅩE

（19）[smss.EⅩE] 程序檔案: smss or smss.EⅩE 程序名稱: Session Manager Subsystem 描 述: 該程序為會話管理子系統用以初始化系統變數，MS-DOS驅動名稱類似LPT1以及COM，呼叫Win32殼子系統和執行在Windows登陸過程。 簡 介：這是一個會話管理子系統，負責啟動使用者會話。這個程序是通過系統程序初始化的並且對許多活動的，包括已經正在執行的Winlogon，Win32（Csrss.EⅩE）執行緒和設定的系統變數作出反映。在它啟動這些程序後，它等待Winlogon或者Csrss結束。如果這些過程時正常的，系統就關掉了。如果發生了什麼不可預料的事情，smss.EⅩE就會讓系統停止響應（就是掛起）。

（20）[snmp.EⅩE] 程序檔案: snmp or snmp.EⅩE 程序名稱: Microsoft SNMP Agent 描 述: Windows簡單的網路協議代理（SNMP）用於禁用詞語和傳送請求到適當的網路部分。 簡 介：負責接收SNMP請求報文，根據要求傳送響應報文並處理與WinsockAPI的介面。

（21）[spool32.EⅩE] 程序檔案: spool32 or spool32.EⅩE 程序名稱: Printer Spooler 描 述: Windows列印任務控制程式，用以印表機就緒。

（22）[spoolsv.EⅩE]

程序檔案: spoolsv or spoolsv.EⅩE 程序名稱: Printer Spooler Service 描 述: Windows列印任務控制程式，用以印表機就緒。 介 紹：緩衝（spooler）服務是管理緩衝池中的列印和傳真作業。

（23）[stisvc.EⅩE] 程序檔案: stisvc or stisvc.EⅩE 程序名稱: Still Image Service 描 述: Still Image Service用於控制掃描器和數碼相機連線在Windows。

（24）[svchost.EⅩE] 程序檔案: svchost or svchost.EⅩE 程序名稱: Service Host Process 描 述: Service Host Process是一個標準的動態連線庫主機處理服務. 介 紹：Svchost.EⅩE檔案對那些從動態連線庫中執行的服務來說是一個普通的主機程序名。Svhost.EⅩE檔案定位在系統的%systemroot%\system32資料夾下。在啟動的時候，Svchost.EⅩE檢查登錄檔中的位置來構建需要載入的服務列表。這就會使多個Svchost.EⅩE在同一時間執行。每個Svchost.EⅩE的回話期間都包含一組服務，以至於單獨的服務必須依靠Svchost.EⅩE怎樣和在那裡啟動。這樣就更加容易控制和查詢錯誤。windows 2k一般有2個svchost程序，一個是RPCSS（Remote Procedure Call）服務程序，另外一個則是由很多服務共享的一個svchost.EⅩE。而在windows XP中，則一般有4個以上的svchost.EⅩE服務程序，windows 2003 server中則更多。

（25）[taskmon.EⅩE] 程序檔案: taskmon or taskmon.EⅩE 程序名稱: Windows Task Optimizer 描 述: windows任務優化器監視你使用某個程式的頻率，並且通過載入那些經常使用的程式來整理優化硬碟。 介 紹：工作管理員，它的功能是監視程式的執行情況並隨時報告。能夠監測所有在工作列中以視窗方式執行的程式，可開啟和結束程式，還可直接調出關閉系統對話方塊。

（26）[tcpsvcs.EⅩE] 程序檔案: tcpsvcs or tcpsvcs.EⅩE 程序名稱: TCP/IP Services 描 述: TCP/IP Services Application支援透過TCP/IP連線區域網和Internet。

（27）[winlogon.EⅩE] 程序檔案: winlogon or winlogon.EⅩE 程序名稱: Windows Logon Process 描 述: Windows NT使用者登陸程式。這個程序是管理使用者登入和退出的。而且winlogon在使用者按下CTRL+ALT+DEL時就激活了，顯示安全對話方塊。

（28）[winmgmt.EⅩE] 程序檔案: winmgmt or winmgmt.EⅩE 程序名稱: Windows Management Service 描 述: Windows Management Service透過Windows Management Instrumentation data WMI)技術處理來自應用客戶端的請求。 簡 介：winmgmt是win2000客戶端管理的核心元件。當客戶端應用程式連線或當管理程式需要他本身的服務時這個程序初始化。WinMgmt.EⅩE（CIM物件管理器）和知識庫（Repository）是WMI兩個主要構成部分，其中知識庫是物件定義的資料庫，它是儲存所有可管理靜態資料的中心資料庫，物件管理器負責處理知識庫中物件的收集和操作並從WMI提供程式收集資訊。WinMgmt.EⅩE在Windows 2k/NT上作為一個服務執行，而在Windows 95/98上作為一個獨立的exe程式執行。Windows 2k系統在某些計算機上出現的WMI錯誤可以通過安裝Windows 2k SP2來修正。

（29）[system] 程序檔案: system or system 程序名稱: Windows System Process 描 述: Microsoft Windows系統程序。 介 紹：在工作管理員中會看到這項程序，屬於正常系統程序。 系統程序就介紹到這裡。 在Windows2k/XP中，以下程序是必須載入的： smss.EⅩE、csrss.EⅩE、winlogon.EⅩE、services.EⅩE、lsass.EⅩE、svchost.EⅩE(可以同時存在多個)、spoolsv.EⅩE、explorer.EⅩE、System Idle Process； 在Windows 9x中，一下程序是必須載入的： msgsrv32.EⅩE、mprexe.EⅩE、mmtask.tsk、kenrel32.dll