SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制 。(系统服务)
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报 。(系统服务)
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序
。(系统服务)
UtilMan.exe 从一个窗口中启动和配置辅助工具 。(系统服务)
msIExec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件 。(系统服务)
详细说明:
win2k运行进程
Svchost.exe
Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名 。Svhost.exe文件定位
在系统的%systemroot%system32文件夹下 。在启动的时候,Svchost.exe检查注册表中的位置来构建需要
加载的服务列表 。这就会使多个Svchost.exe在同一时间运行 。每个Svchost.exe的回话期间都包含一组服务,
以至于单独的服务必须依靠Svchost.exe怎样和在那里启动 。这样就更加容易控制和查找错误 。
Svchost.exe 组是用下面的注册表值来识别 。
HKEY_LOCAL_MacHINESoftwareMicrosoftWindows NTCurrentVersionSvchost
每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的
例子 。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务 。每个Svchost组都包含一个
或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值 。
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesService
更多的信息
为了能看到正在运行在Svchost列表中的服务 。
开始-运行-敲入cmd
然后在敲入 tlist -s (tlist 应该是win2k工具箱里的冬冬)
Tlist 显示一个活动进程的列表 。开关 -s 显示在每个进程中的活动服务列表 。如果想知道更多的关于
进程的信息,可以敲 tlist pid 。
Tlist 显示Svchost.exe运行的两个例子 。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,
LanmanWorkstation,LmHosts,Messenger,PlugPlay,ProtectedStorage,
seclogon,TrkWks,W32Time,Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpCSS
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:WINNT5System32cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在这个例子中注册表设置了两个组 。
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionSvchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent
Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs
smss.exe
csrss.exe
这个是用户模式Win32子系统的一部分 。csrss代表客户/服务器运行子系统而且是一个基本的子系统
必须一直运行 。csrss 负责控制windows,创建或者删除线程和一些16位的虚拟MS-Dos环境 。
explorer.exe
这是一个用户的shell(我实在是不知道怎么翻译shell),在我们看起来就像任务条,桌面等等 。这个
进程并不是像你想象的那样是作为一个重要的进程运行在windows中,你可以从任务管理器中停掉它,或者重新启动 。
通常不会对系统产生什么负面影响 。
推荐阅读
- 《Undocumented Windows 2000 Secrets》翻译 --- 3
- Windows2000的日志文件详述及删除方法
- 命令篇 Windows 2000/XP的CMD命令教程 (3)
- 2 《Undocumented Windows 2000 Secrets》翻译 --- 第三章
- 如何安装/卸载 Windows 2000 的公钥证书颁发机构
- 使用 Windows 2000 备份程序备份和还原系统状态
- 8 《Undocumented Windows 2000 Secrets》翻译 --- 第四章
- Windows 2000 上配置和应用安全模板
- 如何在 Windows 2000 中启用自动登录
- 2 《Undocumented Windows 2000 Secrets》翻译 --- 第四章