Svchost.exe 組是用下麵的注冊表值來識別。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每個在這個鍵下的值代表一個獨立的Svchost組,並且當你正在看活動的進程時,它顯示作
為一個單獨的
例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括運行在Svchost組內的服務。每個
Svchost組都包含一個
或多個從注冊表值中選取的服務名,這個服務的參數值包含了一個ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
更多的信息
為了能看到正在運行在Svchost列表中的服務。
開始-運行-敲入cmd
然後在敲入 tlist -s (tlist 應該是win2k工具箱裏的冬冬)
Tlist 顯示一個活動進程的列表。開關 -s 顯示在每個進程中的活動服務列表。如果想知道
更多的關於
進程的信息,可以敲 tlist pid。
Tlist 顯示Svchost.exe運行的兩個例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt, Browser, Dhcp, dmserver, Dnscache, Eventlog, lanmanserver,
LanmanWorkstation, LmHosts, Messenger, PlugPlay, ProtectedStorage, seclogon,
TrkWks, W32Time, Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在這個例子中注冊表設置了兩個組。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto
Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs
smss.exe
csrss.exe
這個是用戶模式Win32子係統的一部分。csrss代表客戶/服務器運行子係統而且是一個基本
的子係統
必須一直運行。csrss 負責控製windows,創建或者刪除線程和一些16位的虛擬MS-DOS環境
。
explorer.exe
這是一個用戶的shell(我實在是不知道怎麼翻譯shell),在我們看起來就像任務條,桌麵
等等。這個
進程並不是像你想象的那樣是作為一個重要的進程運行在windows中,你可以從任務管理器
中停掉它,或者重新啟動。
通常不會對係統產生什麼負麵影響。
internat.exe
這個進程是可以從任務管理器中關掉的。
internat.exe在啟動的時候開始運行。它加載由用戶指定的不同的輸入點。輸入點是從注冊
表的這個位置
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加載內容的。
internat.exe 加載“EN”圖標進入係統的圖標區,允許使用者可以很容易的轉換不同的輸
入點。
當進程停掉的時候,圖標就會消失,但是輸入點仍然可以通過控製麵板來改變。
lsass.exe
這個進程是不可以從任務管理器中關掉的。
這是一個本地的安全授權服務,並且它會為使用winlogon服務的授權用戶生成一個進程。這
個進程是
通過使用授權的包,例如默認的msgina.dll來執行的。如果授權是成功的,lsass就會產生
用戶的進入
令牌,令牌別使用啟動初始的shell。其他的由用戶初始化的進程會繼承這個令牌的。
mstask.exe
這個進程是不可以從任務管理器中關掉的。
這是一個任務調度服務,負責用戶事先決定在某一時間運行的任務的運行。
smss.exe
這個進程是不可以從任務管理器中關掉的。
這是一個會話管理子係統,負責啟動用戶會話。這個進程是通過係統進程初始化的並且對許
多活動的,
包括已經正在運行的Winlogon,Win32(Csrss.exe)線程和設定的係統變量作出反映。在它
啟動這些
進程後,它等待Winlogon或者Csrss結束。如果這些過程時正常的,係統就關掉了。如果發
生了什麼
不可預料的事情,smss.exe就會讓係統停止響應(就是掛起)。
spoolsv.exe
這個進程是不可以從任務管理器中關掉的。
緩衝(spooler)服務是管理緩衝池中的打印和傳真作業。
service.exe
這個進程是不可以從任務管理器中關掉的。
大多數的係統核心模式進程是作為係統進程在運行。
System Idle Process
這個進程是不可以從任務管理器中關掉的。
這個進程是作為單線程運行在每個處理器上,並在係統不處理其他線程的時候分派處理器的
時間。
taskmagr.exe
這個進程是可以在任務管理器中關掉的。
這個進程就是任務管理器。
winlogon.exe
這個進程是管理用戶登錄和推出的。而且winlogon在用戶按下CTRL+ALT+DEL時就激活了,顯
示安全對話框。
winmgmt.exe
winmgmt是win2000客戶端管理的核心組件。當客戶端應用程序連接或當管理程序需要他本身
的服務時這個進程初始化。
