信息系统项目管理师_2024年软考学习应考交流_信息系统项目管理师考试
标题: 一起来做一下有关WINDOWS2003(xp)进程方面的内容 [打印本页]
作者: 翔羽 时间: 2006-3-1 09:43
标题: 一起来做一下有关WINDOWS2003(xp)进程方面的内容
<p>windows系统进程管理在目前系统维护中的使用率越来越高了,但是,对于系统进程的了解还局限于专业人士。那么入门者该如何了解系统进程到底代表了什么意思,有哪些系统进程是必需的,哪些是可有可无的,哪些又是具有较高风险的,下面请跟我们一起来。我们将在这个系列中把windows系统进程作一些详细地介绍,以便于各位在使用系统中很好地维护自己的系统。</p><p>alg - alg.exe - 进程信息,该进程也可以打开控制面板—工具—服务来查看其启动状态。<br/>进程文件: alg.exe<br/>进程名称: Application Layer Gateway Service <br/>描述:为 Internet 连接共享和 Windows 防火墙提供第三方协议插件的支持<br/>可执行文件路径: C:\WINDOWS\System32\alg.exe<br/>解释: alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接的防火墙。如果关闭该进程,那么系统在连接网络运行期间将不再受到windows系统提供的网络连接安全规则的控制,系统将处于风险状态。</p><br/>无依赖于其他程序
[此贴子已经被作者于2006-3-1 10:26:56编辑过]
作者: 翔羽 时间: 2006-3-1 10:18
<p>ctfmon - ctfmon.exe - 进程信息<br/>进程文件: ctfmon 或者 ctfmon.exe</p><p><br/>进程名称: Alternative User Input Services<br/> <br/>描述:<br/>ctfmon.exe是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序,和微软Office XP语言条。这不是纯粹的系统程序,但是如果终止它,可能会导致输入法不可用或者输入法出错等问题。</p>
作者: 翔羽 时间: 2006-3-1 10:21
<p>dfssvc - dfssvc.exe - 进程信息<br/>进程文件: dfssvc 或者 dfssvc.exe</p><p><br/>进程名称: Distributed File System (DFS)<br/> <br/>描述:将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。如果这个服务被停止,用户则无法访问文件共享。如果这个服务被禁用,任何依赖它的服务将无法启动。<br/>dfssvc.exe是分布式文件系统服务。只在微软服务器版Windows上出现,该进程是重要的DFS分布式文件系统服务。微软Windows服务器版基础服务。如果你的2003系统或者xp系统需要支持分布式文件管理则需要打开该服务,多用于局域网络的点播和共享。一般直接连接在互联网上的服务器最好禁止该服务或进程,以降低系统面临的可能风险,禁止该服务后分布式文件系统管理将会失败。</p><p>与该进程存在依赖关系的进程参考如下:</p><p>
<br/></p><p> </p><p>该进程可以通过打开控制面板—管理工具—服务,找到后将其启动状态改为 禁止 ,然后停止就可以结束其进程。</p>
[此贴子已经被作者于2006-3-1 10:39:50编辑过]
作者: 翔羽 时间: 2006-3-1 10:22
<p>internat - internat.exe - 进程信息<br/>进程文件: internat 或者 internat.exe</p><p><br/>进程名称: Microsoft Input Locales<br/> <br/>描述:<br/>internat.exe是微软Windows多语言输入程序。这个程序对你系统的正常运行是非常重要的。</p><p>internatt.exe可能是Win32.Lydra.a木马的一部分。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议删除。</p><p> </p><p>注意名称的区别:一旦发现该进程,可以先将其进程从任务管理器结束掉,然后通过编辑注册表的方式将其删除,另外还需要安装系统补丁,存在该问题主要是使用xp sp1及其以前版本的操作系统/2003不含sp1的系统</p>
[此贴子已经被作者于2006-3-1 10:43:44编辑过]
作者: 翔羽 时间: 2006-3-1 10:45
<p>csrss - csrss.exe - 进程信息<br/>进程文件: csrss 或者 csrss.exe</p><p><br/>进程名称: Microsoft Client/Server Runtime Server Subsystem<br/> <br/>描述:<br/>csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。 </p><p>注意:也存在一个csrss.exe,可能是<a href="mailto:W32.Netsky.AB@mm">W32.Netsky.AB@mm</a>、W32.Webus Trojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播,当你打开附件时,即被感染。该蠕虫会在受害者机器上建立SMTP服务,用以自身传播。该病毒允许攻击者访问你的计算机,窃取木马和个人数据。这个进程的安全等级是建议立即进行删除。</p>
作者: 翔羽 时间: 2006-3-1 10:55
<p>services - services.exe - 进程信息<br/>进程文件: services 或者 services.exe<br/>进程名称: Windows Service Controller<br/> <br/>描述:<br/>services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。</p><p>注意:Services可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。<br/>注意仿冒的进程可能首字母大写,或者也可能是Servicers</p>
作者: 翔羽 时间: 2006-3-1 11:14
<h3 align="left"><font size="2">spoolsv - spoolsv.exe - 进程信息<br/>进程文件: spoolsv or spoolsv.exe<br/>进程名称: Microsoft Printer Spooler Service<br/> <br/>描述:管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。如果此服务被禁用,任何依赖于它的服务将无法启用。<br/>spoolsv.exe用于将Windows打印机任务发送给本地打印机。</font></h3><h3 align="left"><font size="2">注意spoolsv.exe/spoolsr.exe/spoolSv.exe可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全级别是建议立即删除。或者从注册表清除,并在清除后及时安装系统补丁。</font></h3><p align="left"></p>
作者: 翔羽 时间: 2006-3-2 08:56
<p>msiexec - msiexec.exe - 进程信息<br/>进程文件: msiexec 或者 msiexec.exe<br/>进程名称: Windows Installer Component<br/> <br/>进程名称: msiexec.exe是Windows Installer的一部分。用于安装Windows Installer安装包(MSI)。这个程序对你系统的正常运行是非常重要的。</p><p>对于该进程目前暂时没有发现有病毒或蠕虫仿冒的。</p>
作者: 翔羽 时间: 2006-3-2 09:01
msdtc - msdtc.exe - 进程信息<br/>进程文件: msdtc 或者 msdtc.exe<br/>进程名称: Distributed Transaction Coordinator<br/> <br/>描述:协调跨多个数据库、消息队列、文件系统等资源管理器的事务。如果停止此服务,则不会发生这些事务。如果禁用此服务,显式依赖此服务的其他服务将无法启动。 <br/>msdtc.exe是微软分布式传输协调程序。该进程调用系统Microsoft Personal Web Server和Microsoft SQL Server。该服务用于多个服务器只见的协调管理。<br/>该服务依赖于 RPC(远程过程调用),SMA(微软系统安全账户管理)服务。<br/>
作者: E网可心 时间: 2006-3-2 23:58
希望大家在这里学带更多的知识~
作者: E网可心 时间: 2006-3-3 10:05
<p>不错`</p><p>值得学习学习~</p>
作者: hemay 时间: 2006-3-16 09:46
恩,我觉得把这些所有服务搞清楚是必要的,在一些黑客教程里有详细介绍,平时可以关闭好多不必要服务来提高安全性,用的时候又知道开哪些,还有本地组策略里一些东东,起什么作用里面都有说明,建议有空多看看呵
作者: 翔羽 时间: 2006-3-24 19:18
<p>没有人参与啊</p><p>接着来吧:</p><p> AppMmgmt </p><p>Application Management 应用程序管理器</p><p>以非独立进程存在<br/>为 Active Directory 智能映像组策略程序处理安装、删除和枚举请求。如果此服务被停用,用户将无法安装、删除或枚举任何智能映像程序。如果此服务被禁用,任何依赖于它的服务将无法启动。与其他进程无依赖性。设置为手动模式可以减小 svchost.exe对系统内存的占用量。需要使用Active Directory的时候再行启动。该服务的启动在没有、缺少或者安全机制不健全的系统中具有较高的危险性。</p><p></p><p>WuauServ.exe Automatic Updates 微软自动更新服务</p><p>以非独立进程的方式保持和Windows Update网站的通讯 。当然企业用户也可能搭建有SUS服务器,那么可以更改策略,使其保持与企业的SUS服务器的通讯,一旦发现服务器上面有新的更新即自动从后台下载该更新。如果使用了盗版,最好把这个更新策略改一改,否则你可能打上某个不定以后系统就成了试用版了,微软有一个补丁就是验证系统是否属于正版的。如果此服务被禁用,计算机将不能使用 Windows Update 网站的自动更新功能。危险级别目前尚无从考证。</p>
作者: 翔羽 时间: 2006-3-29 08:38
关于组策略应用的内容我们已经在FTP上面提供了。
作者: 孤星泪 时间: 2011-7-4 22:18
呵呵,明白了
作者: 不变的信仰 时间: 2011-7-4 22:18
呵呵,找个机会...
| 欢迎光临 信息系统项目管理师_2024年软考学习应考交流_信息系统项目管理师考试 (http://bbs.tuandui.org.cn/) |
Powered by Discuz! X3.2 |