|
鹰是世界上寿命最长的鸟类,它一生的年龄可达70岁。要活那么长的寿命,它在40岁时必须做出困难却重要的决定。这时,它的喙变得又长又弯,几乎碰到胸脯;它的爪子开始老化,无法有效地捕捉猎物;它的羽毛长得又浓又厚,翅膀变得十分沉重,使得飞翔十分吃力。此时的鹰只有两种选择:要么等死,要么经过一个十分痛苦的更新过程——150天漫长的蜕变。它必须很努力地飞到山顶,在悬崖上筑巢,并停留在那里,不得飞翔。鹰首先用它的喙击打岩石,直到其完全脱落,然后静静地等待新的喙长出来。鹰会用新长出的喙把爪子上老化的趾甲一根一根拔掉,鲜血一滴滴洒落。当新的趾甲长出来后,鹰便用新的趾甲把身上的羽毛一根一根拔掉。5个月以后,新的羽毛长出来了,鹰重新开始飞翔,重新再度过30年的岁月! |
| 时 间 记 忆 |
| « | August 2025 | » | | 日 | 一 | 二 | 三 | 四 | 五 | 六 | | | | | | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | | | | | | | |
|
| blog 信 息 |
|
blog名称:思考的大脑
日志总数:131
评论数量:269
留言数量:33
访问次数:587530
建立时间:2004年11月9日 | |
| |
|
| |
 [计算机技术]windows 进程 |
| Explorer.exe进程详解凡是Windows系列的操作系统,运行时都会启动一个名为Explorer.exe的进程。这个进程主要负责显示系统桌面上的图标以及任务栏,它在不同的系统中有不同的妙用。
Windows 9x中的应用
在Windows 9x中,这个进程是运行系统时所必需的。如果用“结束任务”的方法来结束Explorer.exe进程,系统就会刷新桌面,并更新注册表。所以,我们也可以利用此方法来快速更新注册表。方法如下:
按下Ctrl+Alt+Del组合键,出现“结束任务”对话框。在该对话框中选择“Explorer”选项,然后单击“结束任务”按钮,将出
现“关闭Windows”对话框。单击“否”按钮,系统过一会儿将出现另一个对话框,告诉你该程序没有响应,询问是否结束任务。单击“结束任务”按钮,则
更新注册表并返回Windows 9x系统环境中。这比起烦琐的重新启动过程要方便多了?
Windows 2000/XP中的应用
在Windows 2000/XP和其他Windows
NT内核的系统中,Explorer.exe进程并不是系统运行时所必需的,所以可以用任务管理器来结束它,并不影响系统的正常工作。打开你需要运行的程
序,如记事本。然后右击任务栏,选择“任务管理器”,选中“进程”选项卡,在窗口中选择Explorer.exe进程,单击“结束进程”按钮,,接下来桌
面上除了壁纸(活动桌面Active Desktop的壁纸除外),所有图标和任务栏都消失了。此时你仍可以像平常一样操作一切软件。
如果你想运行其他软件,但此时桌面上空无一物,怎么办?别着急,下面有两种可以巧妙地打开其他软件:
第一种方法:按下Ctrl+Alt+Del组合键,出现“Windows安全”对话框,单击“任务管理器”按钮(或是直接按下Ctrl+
Shift+Esc组合键),在任务管理器窗口中选中“应用程序”选项卡,单击“新任务”,在弹出的“创建新任务”的对话框中,输入你想要打开的软件的路
径和名称即可。
你还可以在正在运行的软件上,选择“文件→打开”,在“打开”对话框中,点击“文件类型”下拉列表,选择“所有文件”,再浏览到你想打开的软
件,右击它,在快捷菜单中选择“打开”命令,就可以启动你需要的软件了。注意,此时不能够通过单击“打开”按钮来打开软件,此种方法适用于大多数软件,
Office系列除外。
通过结束Explorer.exe进程,还可以减少4520KB左右的系统已使用内存,无疑会加快系统的运行速度,为资源紧张的用户腾出了宝贵的空间。
提示:重新启动Explorer.exe进程后,有些软件在任务栏系统托盘的小图标会消息,但该软件还是在正常运行当中。如果觉得有些不方便,可以再次打开该软件来显示小图标。svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。所以,深入了解这个程序,是玩电脑的必修课之一。
大家对windows操作系统一定不陌生,但你是否注意到系统中“svchost.exe”这个文件呢?细心的朋友会发现windows中存在
多个
“svchost”进程(通过“ctrl+alt+del”键打开任务管理器,这里的“进程”标签中就可看到了),为什么会这样呢?下面就来揭开它神秘的
面纱。svchost.exe
发现
在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理
器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个
这种进程,千万别立即判定系统有病毒了哟),而win2003
server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remote procedure
call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等。
如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看,该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。
svchost中可以包含多个服务
深入
windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot%
system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由
svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却
不能给用户提供任何服务。那这些服务是如何实现的呢?
原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向
svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服
务在注册表中设置的参数来实现。下面就以rpcss(remote procedure call)服务为例,进行讲解。
从启动参数中可见服务是靠svchost来启动的。
实例
以windows xp为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“remote
procedure call”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost
-k rpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。
在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[hkey_local_machine
systemcurrentcontrolsetservicesrpcss]项,找到类型为“reg_expand_sz”的键“magepath”,
其键值为“%systemroot%system32svchost -k
rpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“servicedll”的键,其值为“%
systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样
svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。
解惑
因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波
变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?
这里仅举一例来说明。
假设windows
xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下,如果发现该
文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中,因此使用
进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第
三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路
径为不平常的位置就应该马上进行检测和处理。
由于篇幅的关系,不能对svchost全部功能进行详细介绍,这是一个windows中的一个特殊进程,有兴趣的可参考有关技术资料进一步去了解它。wmiprvse.exe进程文件: wmiprvse or wmiprvse.exe
进程名称: Microsoft Windows Management Instrumentation
描述:
wmiprvse.exe是微软Windows操作系统的一部分。用于通过WinMgmt.exe程序处理WMI操作。这个程序对你系统的正常运行是非常重要的。
出品者: Microsoft
属于: Microsoft Windows Operating System
系统进程: 是
后台程序: 是
使用网络: 否
硬件相关: 否inetinfo.exeInetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用于Debug调试除错。介绍:IIS服务进程,蓝码正是利用的inetinfo.exe的缓冲区溢出漏洞。inetinfo.exe占用了100%的cpu解决方案当我们在使用iis时,如果这时错误关机(停电等),重启机器后,再次使用iis,经常发现inetinfo.exe占用了100%的cpu,重装iis后,还是没用这个问题很多人的解决方案就是重装机器,之前我也是那么做的,只是我是从ghost恢复,但老这样做,似乎很麻烦。终无我忍无可忍(这样的情况太多了,而且我的同时也经常碰到这样的问题)我就想,既然国内资料没法找到解决方案,国外的也可以试试吧。经过两个多小时的努力,找到了解决方法:其实很简单,使用windows update更新一下电脑一下就行原文在:http://www.eggheadcafe.com/ng/microsoft.public.inetserver.misc/post210106.aspinetinfo.exe进程占用高达100%进程文件: inetinfo or inetinfo.exe进程名称: IIS Admin Service HelperInetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用于Debug调试除错。可能原因很多:1、IIS溢出入侵默认情况下,IIS 5.0服务器存
在一个后缀为"printer"的应用程序映射,这个映射使用位于WINNTSystem32下的名为 msw3prt.dll
的动态库文件。这个功能是用于基于Web控制的网络打印的,是Windows2000为Internet Printing
Protocol(IPP)协议而设置的应用程序功能。不幸的是,这个映射存在一个缓冲区溢出错误,可以导致inetinfo.exe出错解决方法:删除printer的应用程序映射2、shtml.dll在Frontpage Extention Server/Windows2000 Server上输入一个不存在的文件将可以得到web目录的本地路径信息:http://www.victim.com/_vti_bin/shtml.dll/something.html这样将返回以下信息:Cannot open "d:inetpubwwwrootpostinfo1.html": no such file or folder.但是如果我们请求并非HTML、SHTML或者ASP后缀的文件,我们将会得到不同的信息:http://207.69.190.42/_vti_bin/shtml.dll/something.exehtml.dll对较长的带html后缀的文件名都会进行识别和处理,利用这一点,可以对IIS服务器执行DOS攻击,使目标服务器的CPU占用率达到 100%解决方法:禁用Frontpage扩展。Inetinfo.exe 进程停止响应http://support.microsoft.com/default.aspx?scid=kb;zh-cn;311517csrss.exe csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。
注意:csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus
Trojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播,当你打开附件时,即被感染。该蠕虫会在受害者机器上建立
SMTP服务,用以自身传播。该病毒允许攻击者访问你的计算机,窃取木马和个人数据。这个进程的安全等级是建议立即进行删除。 看你的情况:win2000中csrss.exe是一个木马程序,它仿造系统中的CSRSS.exe,此程序的进程不可被删除, 一旦冻结此进程,系统的键盘和鼠标都不可用,而且系统再重启的话会不断主动重启.无法 进入系统. 这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统 必须一直运行。csrss 负责控制windows,创建或者删除线程和一些16位的虚拟MS-DOS环境 斯达变种CK(Trojan.StartPage.ck)木马病毒,通过网络传播,依赖系统:WIN9X/NT/2000/XP. 运行之后,病毒会把自己复制到"Windows"目录下,文件名为"CSRSS.EXE",修改注册表实 现自启动.修改系统文件"WIN.INI"增加自身的运行机会修改注册表中有关IE的数据项,使 用户每次打开IE浏览器都会访问病毒指定的网站.rundll32.exe顾名思意,“执行32位的DLL文件”。它的作用是执行DLL文件中的内部函数,这样在进程当中,只会有Rundll32.exe,而不会有DLL后门的
进程,这样,就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe,不必惊慌,这证明用Rundll32.exe启动了多少个的DLL文
件。当然,这些Rundll32.exe执行的DLL文件是什么,我们都可以从系统自动加载的地方找到。ZCfgSvc.exezcfgsvc.exe是Intel零配置MFC程序,与网络相关设备安装。lsass.exe这个本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。
介 绍:这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的
msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承
这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP
3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个"AND"的请求,并发送给服务器,导致触发堆栈溢出,使Lsass.exe服
务崩溃,系统在30秒内重新启动。 今天一种名为avserver.exe的病毒开始在互联网上流传,传播方式类似于blast病毒,该病毒利用微软windows漏洞传播,请各位及时搭好windows补丁 中病毒后症状 和RPC的那种差不多 连着网一开机过一会就出现一个对话框(和XP里面强行关掉某个程序后出现的那种对话框差不多)说 LSA Shell(Export Version)出现问题,叫我选择调试/发送错误报告/不发送错误报告 不管选哪个一会就出现一个类似RPC一分钟关机的对话框:说C:\Windows\System32\lsass.exe引起错误需要关机,状态码是-1073741819 ,然后重启的时候如果仍然连着网线,登陆XP时还说我密码错误!!断网就可以登陆了~~ 进程里面有xxxxx_up.exe ,lsass.exe ,avserver.exe 不停的往外建立tcp连接,使得打开ftp的时候说 no buffer space available 病毒会在windows\system32\下建立一个名为XXXXX_UP.exe文件,在windows目录下建立avserver.exe 中毒后暂时的解决办法: 1.解除关机倒计时窗口:调整系统时间为5.1之前的时间,如4.1号;在运行(run)里边运行shutdown -a 2.在系统进程中关闭有xxxx_up.exe avserver.exe进程,拔掉网线,安装网络防火墙或者打开windows自带的防火墙,关闭445端口的通信 3.重启到安全模式,手动删除windows\system32\下的一个名为XXXXX_UP.exe文件,在windows目录下的avserver.exe,以及启动项中的键值 4.安装系统补丁 ,还可以使用Windows自动更新 lsass.exe出乎意料终止,几分钟关机 http://www.chinaitlab.com/www/news/article_show.asp?id=32293 基于 Windows 2000 Server 的域控制器上的 Lsass.exe 进程的内存使用量 http://support.microsoft.com/default.aspx?scid=kb;zh-cn;308356winlogon.exewinlogon.exe是windows域登陆管理器。它用于处理你登陆和退出系统过程。该进程在你系统的作用是非常重要的。注意:
winlogon.exe也可能是w32.netsky.d@mm蠕虫病毒。该病毒通过email邮件传播,当你打开病毒发送的附件时,即会被感染。该病
毒会创建smtp引擎在受害者的计算机上,群发邮件进行传播。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。请注意此进程所在的文件夹,正常的进
程应该是在windows的system32下面alg.exealg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的。 smss.exe进程名称: Session Manager Subsystem 描 述: 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。
简 介:这是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,
Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常
的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(就是挂起)。ctfmon.exe进程名称: Alternative User Input Services描述: 控制Alternative User Input Text Processor (TIP)和Microsoft Office语言条。Ctfmon.exe提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。VPTray.exe进程名称: Norton AntiVirus
描述: Norton Anti-Virus扫描你的文件和email中的病毒。
更多进程介绍:http://www.oixiaomi.net/vptray.html | |
|
|
---------------------------------------------------------------------------------------------------------- | | |
|
