高手教你看进程

一,占用CPU 95%的"超级病毒"-system IDle process (图1)
刚接触电脑不久的朋友肯定会想,为什么这个进程占用CPU有90%多,而且常常看到都是这么多的,病毒绝对是超级病毒

真相是:
System Idle Process SYSTEM 不是一个真正的进程，是内核虚拟出来的，多任务操作系统都有的！在没有可用的进程时，系统处于空运行状态，此时就是System Idle Process SYSTEM在运行！故它占用95%CPU时间，说明你的机器负荷很轻！你用WINZIP解压一个大的文件时，就可看到，System Idle Process SYSTEM占用CPU时间变化。 System Idle Process SYSTEM是表示你系统剩余的CPU资源！ 不要想去结束它！ 要是他占的CPU资源为0估计你该重新启动了 ,总之,这个家伙越占CPU说明,你的系统可用资源就越多,这个要多多益善的

相关图片1




二,真真假假 SVCHOST.EXE (图2)为什么,会有这么多相同的进程啊,这回总是病毒了吧
真相是:
SVCHOST.EXE是NT核心系统(win2000/xp/2003)特有的并十分重要的进程,SVCHOST其实就是"Service host(服务宿主的意思)",
现在我们看看微软对它的解释"svchost.exe是从动态链接库(DLL)中运行服务的通用主机进程名Svchost.exe 文件位于 %SystemRoot%\System32 文件夹中。启动时，Svchost.exe 将检查注册表的服务部分，以构建需要加载的服务的列表。Svchost.exe 的多个实例可同时运行。每个 Svchost.exe 会话可以包含一组服务，以便可以根据 Svchost.exe 的启动方式和位置的不同运行不同的服务。这样可以更好地进行控制，且更加便于调试。 Svchost.exe 组由以下注册表项标识：
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost (图3)
此注册表项下的每个值都代表单独的 Svchost 组，并在您查看活动进程时作为单独的实例显示。每个值均为 REG_MULTI_SZ 值，并且包含在该 Svchost 组下面运行的服务。每个 Svchost 组都可以包含一个或多个从以下注册表项提取的服务名称，该注册表项的参数项包含一个 ServiceDLL 值： (图4)
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\服务
要查看在 Svchost 中运行的服务的列表，请执行以下操作：
1. 单击 Windows 任务栏上的开始，然后单击运行。
2. 在打开框中，键入 CMD，然后按 ENTER 键。
3. 键入 Tasklist /SVC，然后按 ENTER 键。
Tasklist 命令显示活动进程的列表。/SVC 命令开关显示每个进程中活动服务的列表。有关进程的详细信息，请键入以下命令，然后按 ENTER 键：
Tasklist /FI "PID eq 进程 ID"（带引号）
以下的 Tasklist 命令输出示例显示正在运行的 Svchost.exe 的三个实例。 (图5)

相关图片2



   

相关图片5





三,似是而非RUNDLL32.exe
经常听到有些朋友说:我的娘啊！系统的注册表启动项目有rundll32.exe，系统进程也有rundll32.exe，是不是病毒呀？
真相是:
RUNDLL32.exe是其实是windows重要的系统文件,.run (运行.),dll(动态链接库) ----运行动态链接库,它的功能就是调用或者执行那些不能作为可执行文件单独运行的dll来实现某种功能,每一个可执行的dll都需要一个rundll32.exe进程去调用.因此我们常常可以在进程管理器中看到多个RUNDLL32.exe进程,,这个进程常常在软件安装,系统设置,系统升级的时候出现,大多数情况下,进程中出现rundll32.exe还是很可疑的,3721就需要调用这个进程,我们如何去分辨呢,可以通过process xp 查看它的命令行,比如这个rundll32.exe调用的"C:\WINDOWS\system32\rundll32.exe" netplwiz.dll,UsersRunDll (系统帐号的设置)


四,不请自来 conime.exe
为什么,这个进程我没有运行它他就孙猴子似的冒了出来,百度下conime.exe可能是一个bfghost1.0远程控制后门程序。此程序允许攻击者访问你的计算机，窃取密码和个人数据。建议立即删除此进程。conime.exe是输入法编辑器相关程序 到底我应该听那个
真相是:
好,让我们来还原真相,开始---运行 输入 cmd 然后回车,看看进程列表里面是不是冒出来一个conime.exe,关闭以后再试试,^_^其实conime是命令行下输入法控制程序,一般只在非英文操作系统被调用,来实现命令行下的中文输入,试试把它结束掉,是不是不能通过ctrl+enter调出中文输入法了.当然没有运行cmd的时候出现这个进程那是大大的可疑,忘了告诉你了 运行过cmd以后 这个进程可不会随着cmd的结束而结束哦



Windows XP 常见的进程列表 (你可以通过以下网站获取更多的进程信息)
http://www.processlib.net
http://www.dofile.com/
http://www.myprocess.cn/

alg.exe
进程文件: alg or alg.exe
进程名称: 应用层网关服务
描述: 这是一个应用层网关服务用于网络共享。
是否为系统进程: 是
csrss.exe
进程文件: csrss or csrss.exe
进程名称: Client/Server Runtime Server Subsystem
描述: 客户端服务子系统，用以控制Windows图形相关子系统。
是否为系统进程: 是
lsass.exe
进程文件: lsass or lsass.exe
进程名称: 本地安全权限服务
描述: 这个本地安全权限服务控制Windows安全机制。
是否为系统进程: 是
services.exe
进程文件: services or services.exe
进程名称: Windows Service Controller
描述: 管理Windows服务。
是否为系统进程: 是
smss.exe
进程文件: smss or smss.exe
进程名称: Session Manager Subsystem
描述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。
是否为系统进程: 是

spool32.exe
进程文件: spool32 or spool32.exe
进程名称: Printer Spooler
描述: Windows打印任务控制程序，用以打印机就绪。
是否为系统进程: 是
winlogon.exe
进程文件: winlogon or winlogon.exe
进程名称: Windows Logon Process
描述: Windows NT用户登陆程序。
是否为系统进程: 是

userinit.exe
进程文件: userinit or userinit.exe
进程名称: UserInit Process
描述: UserInit程序运行登陆脚本，建立网络连接和启动Shell壳。
是否为系统进程: 否
ctfmon.exe
进程文件: ctfmon or ctfmon.exe
进程名称: Alternative User Input Services
描述: 控制Alternative User Input Text Processor (TIP)和Microsoft Office语言条。Ctfmon.exe提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。
是否为系统进程: 否
mmc.exe
进程文件: mmmc or mmc.exe
进程名称: Microsoft Management Console
描述: Microsoft Management Console管理控制程序集成了很多的系统控制选项。例如设备管理（系统、硬件
）或者计算机权限控制（Administrative管理工具）。
是否为系统进程: 否
msiexec.exe
进程文件: msiexec or msiexec.exe
进程名称: Windows Installer Component
描述: Windows Installer的一部分。用来帮助Windows Installer package files (MSI)格式的安装文件。
是否为系统进程: 否

mspaint.exe
进程文件: mspaint or mspaint.exe
进程名称: Microsoft Paint
描述: Microsoft Paint画图是一个图像编辑器包括在Microsoft Windows，它能够编辑bmp图像。
是否为系统进程: 否
ntvdm.exe
进程文件: ntvdm or ntvdm.exe
进程名称: Windows 16-bit Virtual Machine
描述: Windows Virtual Machine是为了兼容旧的16位Windows和DOS程序而设置的虚拟机。
是否为系统进程: 否
wowexec.exe
进程文件: wowexec or wowexec.exe
进程名称: Windows On Windows Execution Process
描述: Windows On Windows Execution Support Process和ntvdm.exe作用类似，为了兼容16位应用程序。
是否为系统进程: 否