1个回答
展开全部
楼主截图看的太不清楚了啊,回答者,无法看清楚图中的显示。
下面是我给楼主找到的资料。楼主参见。
1 ImeUtil.exe 是搜狗输入法辅助工具进程。
2 duospeak.exe 是多玩的歪歪语音进程。
3 QQ.exe 是腾讯OICQ主程序进程。
4 TIMPlatform.exe 是腾讯OICQ客户端相关程序。
作用是防止同一台电脑同时登陆多个QQ的,用于显示QQ音乐等状态的文件。
5 klwtblfs.exe 是卡巴斯基的网页防护进程 只有打开微软IE浏览器的时候才自动打开网页防护的这个进程。
6 iexplorer.exe 是微软IE浏览器进程。
7 liveupdate360.exe 是360的升级加速程序进程。
8 wmiprvse.exe 是微软Windows操作系统的一部分。用于通过WinMgmt.exe程序处理WMI操作。这个程序对你系统的正常运行是非常重要的。
9 svchost.exe 是对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。
Svchost.exe 组是用下面的注册表值来识别。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
每一个svchost.exe进程对应不同的程序,只不过那些程序是通过svchost.exe运行的,所以系统进程里面会有很多。而svchost.exe进程中就包含有一个关键的系统进程,是延续电脑使用的,如果您结束它,会关机倒计时。
10 nvsvc32.exe 是NVIDIA显示卡相关程序。
11 alg.exe 是WinXP Home/PRO默认安装的启动类型为手动。您可以在控制面板--管理工具--服务里面找到Application Layer Gateway Service禁用。ALG又被称为代理服务器(Proxy Server),是网络防火墙从功能面上分类的一种。当内部计算机与外部主机连结时,将由代理服务器(Proxy Server)担任内部计算机与外部主机的连结中继者。使用ALG的好处是隐藏内部主机的地址和防止外部不正常的连接,如果代理服务器上未安装针对该应用程序设计的代理程序时,任何属于这个网络服务的封包将完全无法通过防火墙。通俗点说,具体到ALG本身,它就是WinXP附带的Internet连接共享 /防火墙的具体控管程序,如果你需要启用这二者,这个服务是必备的。当然,只有一台计算机的上网家庭可以考虑禁用这个服务,不过笔者个人觉得WinXP内置的防火墙效果还是不错的,如果不是坚持要使用第三方的防火墙,还是建议开着它吧。
12 avp.exe 是卡巴斯基杀毒软件的相关程序。但如果您的系统没有安装该软件,则可能是病毒。出现两个avp.exe 可以这样理解,一个是系统托盘图标进程,一个是卡巴斯基主程序进程。出现多个则不正常,请查毒。
13 spoolsv.exe 是一个系统关键进程,用于Windows将打印机任务发送给本地打印机。
14 zhudongfangyu.exe 是360安全卫士在6.0.1.1001版本将krnl360svc.exe服务改名“ZhuDongFangYu”。如其名称一样,这是360安全卫士主动防御服务进程。
15 Rundll32.exe 是动态链接库函数启动器
经常听到有些朋友说:呀!系统的注册表启动项目有rundll32.exe,系统进程也有rundll32.exe,是不是病毒呀?其实,这是对 rundll32.exe接口不了解,它的原理非常简单,了解并掌握其原理对于我们平时的应用非常有用,如果能理解了原理,我们就能活学活用,自己挖掘 DLL参数应用技巧。
Rundll32.exe和Rundll.exe的区别
所谓Rundll.exe,可以把它分成两部分,Run(运行)和DLL(动态链接库),所以,此程序的功能是运行那些不能作为程序单独运行的 DLL文件。而Rundll32.exe则用来运行32位DLL文件。Windows 2000/XP都是NT内核系统,其代码都是纯32位的,所以在这两个系统中,就没有rundll.exe这个程序。
相反,Windows 98代码夹杂着16位和32位,所以同时具有Rundll32.exe和Rundll.exe两个程序。这就是为什么Windows 98的System文件夹为主系统文件夹,而到了Windows 2000/XP时就变成System32为主系统文件夹(这时的System文件夹是为兼容16位代码设立的)。
Rundll.exe是病毒?
无论是Rundll32.exe或Rundll.exe,独立运行都是毫无作用的,要在程序后面指定加载DLL文件。在Windows的任务管理器中,我们只能看到rundll32.exe进程,而其实质是调用的DLL。我们可以利用进程管理器等软件来查看它具体运行了哪些DLL文件。
有些木马是利用Rundll32.exe加载DLL形式运行的,但大多数情况下Rundll32.exe都是加载系统的DLL文件,不用太担心。另外要提起的是,有些病毒木马利用名字与系统常见进程相似或相同特点,瞒骗用户。所以,要确定所运行的Rundll32.exe是在% systemroot%system32目录下的,注意文件名称也没有变化。
相信大家在论坛上很常看见那些高手给出的一些参数来简化操作,如rundll32.exe shell32.dll,Control_RunDLL,取代了冗长的“开始→设置→控制面板”,作为菜鸟的我们心里一定痒痒的。他们是怎么知道答案的?我们如何自己找到答案?分析上面命令可以知道,其实就是运行Rundll32.exe程序,指定它加载shell32.dll文件,而逗号后面的则是这个 DLL的参数。了解了其原理,下面就可以自己挖掘出很多平时罕为人知的参数了。
第一步:运行eXeScope软件,打开一个某个DLL文件,例如shell32.dll。
第二步:选择“导出→SHELL32.DLL”,在右边窗口就可以看到此DLL文件的参数了。
第三步:这些参数的作用一般可以从字面上得知,所以不用专业知识。要注意的是,参数是区分大小写的,在运行时一定要正确输入,否则会出错。现在随便找一个参数,例如RestartDialog,从字面上理解应该是重启对话框。组合成一个命令,就是Rundll32.exe shell32.dll,RestartDialog ,运行后可以看见平时熟悉的Windows重启对话框。
现在,我们已经学会了利用反编译软件来获取DLL文件中的参数,所以以后看到别人的一个命令,可以从调用的DLL文件中获取更多的命令。自己摸索,你就能了解更多调用DLL文件的参数了。
16 lsass.exe 是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。
17 services.exe 是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。
18 WinLogon.exe 是Windows NT登陆管理器。它用于处理你系统的登陆和登陆过程。
19 csrss.exe 是Client/Server Runtime Server Subsystem,客户端服务子系统,用以控制Windows图形相关子系统。正常情况下系统中只有一个csrss.exe进程。
20 smss.exe 是Session Manager Subsystem,该进程为进程管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(挂起)。
21 ctfmon.exe 是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序,和微软Office XP语言条。这不是纯粹的系统程序,但是如果终止它,可能会出问题。
22 360tray.exe 是360安全卫士实时监控程序。
23 safeboxtray.exe 是360保险箱的托盘程序,用于在系统的任务栏显示该软件的图标。
24 explorer.exe 是Windows程序管理器或者Windows资源管理器,它用于管理Windows图形壳,包括开始菜单、任务栏、桌面和文件管理。删除该程序会导致Windows图形界面无法适用。
25 taskmgr.exe 是用于Windows任务管理器。它显示您系统中正在运行的进程。该程序使用Ctrl+Alt+Del打开,这不是纯粹的系统程序,但是如果终止它,可能会出问题。
26 System 是Windows页面内存管理进程,拥有0级优先权,没有它系统无法启动。 而存在于windows下的SYSTEM.EXE(注意!后面有.EXE)进程为木马病毒,要删除 。
27 System Idle Process 是系统空闲进程(直接翻译),它显示的不是某个进程占用的cpu,正相反,而是系统空闲的cpu占用率。这个进程是不可以从任务管理器中关掉的。这个进程是作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。如果占了98%以上的时间片,表示你的计算机的空置时候很大。
下面是我给楼主找到的资料。楼主参见。
1 ImeUtil.exe 是搜狗输入法辅助工具进程。
2 duospeak.exe 是多玩的歪歪语音进程。
3 QQ.exe 是腾讯OICQ主程序进程。
4 TIMPlatform.exe 是腾讯OICQ客户端相关程序。
作用是防止同一台电脑同时登陆多个QQ的,用于显示QQ音乐等状态的文件。
5 klwtblfs.exe 是卡巴斯基的网页防护进程 只有打开微软IE浏览器的时候才自动打开网页防护的这个进程。
6 iexplorer.exe 是微软IE浏览器进程。
7 liveupdate360.exe 是360的升级加速程序进程。
8 wmiprvse.exe 是微软Windows操作系统的一部分。用于通过WinMgmt.exe程序处理WMI操作。这个程序对你系统的正常运行是非常重要的。
9 svchost.exe 是对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。
Svchost.exe 组是用下面的注册表值来识别。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
每一个svchost.exe进程对应不同的程序,只不过那些程序是通过svchost.exe运行的,所以系统进程里面会有很多。而svchost.exe进程中就包含有一个关键的系统进程,是延续电脑使用的,如果您结束它,会关机倒计时。
10 nvsvc32.exe 是NVIDIA显示卡相关程序。
11 alg.exe 是WinXP Home/PRO默认安装的启动类型为手动。您可以在控制面板--管理工具--服务里面找到Application Layer Gateway Service禁用。ALG又被称为代理服务器(Proxy Server),是网络防火墙从功能面上分类的一种。当内部计算机与外部主机连结时,将由代理服务器(Proxy Server)担任内部计算机与外部主机的连结中继者。使用ALG的好处是隐藏内部主机的地址和防止外部不正常的连接,如果代理服务器上未安装针对该应用程序设计的代理程序时,任何属于这个网络服务的封包将完全无法通过防火墙。通俗点说,具体到ALG本身,它就是WinXP附带的Internet连接共享 /防火墙的具体控管程序,如果你需要启用这二者,这个服务是必备的。当然,只有一台计算机的上网家庭可以考虑禁用这个服务,不过笔者个人觉得WinXP内置的防火墙效果还是不错的,如果不是坚持要使用第三方的防火墙,还是建议开着它吧。
12 avp.exe 是卡巴斯基杀毒软件的相关程序。但如果您的系统没有安装该软件,则可能是病毒。出现两个avp.exe 可以这样理解,一个是系统托盘图标进程,一个是卡巴斯基主程序进程。出现多个则不正常,请查毒。
13 spoolsv.exe 是一个系统关键进程,用于Windows将打印机任务发送给本地打印机。
14 zhudongfangyu.exe 是360安全卫士在6.0.1.1001版本将krnl360svc.exe服务改名“ZhuDongFangYu”。如其名称一样,这是360安全卫士主动防御服务进程。
15 Rundll32.exe 是动态链接库函数启动器
经常听到有些朋友说:呀!系统的注册表启动项目有rundll32.exe,系统进程也有rundll32.exe,是不是病毒呀?其实,这是对 rundll32.exe接口不了解,它的原理非常简单,了解并掌握其原理对于我们平时的应用非常有用,如果能理解了原理,我们就能活学活用,自己挖掘 DLL参数应用技巧。
Rundll32.exe和Rundll.exe的区别
所谓Rundll.exe,可以把它分成两部分,Run(运行)和DLL(动态链接库),所以,此程序的功能是运行那些不能作为程序单独运行的 DLL文件。而Rundll32.exe则用来运行32位DLL文件。Windows 2000/XP都是NT内核系统,其代码都是纯32位的,所以在这两个系统中,就没有rundll.exe这个程序。
相反,Windows 98代码夹杂着16位和32位,所以同时具有Rundll32.exe和Rundll.exe两个程序。这就是为什么Windows 98的System文件夹为主系统文件夹,而到了Windows 2000/XP时就变成System32为主系统文件夹(这时的System文件夹是为兼容16位代码设立的)。
Rundll.exe是病毒?
无论是Rundll32.exe或Rundll.exe,独立运行都是毫无作用的,要在程序后面指定加载DLL文件。在Windows的任务管理器中,我们只能看到rundll32.exe进程,而其实质是调用的DLL。我们可以利用进程管理器等软件来查看它具体运行了哪些DLL文件。
有些木马是利用Rundll32.exe加载DLL形式运行的,但大多数情况下Rundll32.exe都是加载系统的DLL文件,不用太担心。另外要提起的是,有些病毒木马利用名字与系统常见进程相似或相同特点,瞒骗用户。所以,要确定所运行的Rundll32.exe是在% systemroot%system32目录下的,注意文件名称也没有变化。
相信大家在论坛上很常看见那些高手给出的一些参数来简化操作,如rundll32.exe shell32.dll,Control_RunDLL,取代了冗长的“开始→设置→控制面板”,作为菜鸟的我们心里一定痒痒的。他们是怎么知道答案的?我们如何自己找到答案?分析上面命令可以知道,其实就是运行Rundll32.exe程序,指定它加载shell32.dll文件,而逗号后面的则是这个 DLL的参数。了解了其原理,下面就可以自己挖掘出很多平时罕为人知的参数了。
第一步:运行eXeScope软件,打开一个某个DLL文件,例如shell32.dll。
第二步:选择“导出→SHELL32.DLL”,在右边窗口就可以看到此DLL文件的参数了。
第三步:这些参数的作用一般可以从字面上得知,所以不用专业知识。要注意的是,参数是区分大小写的,在运行时一定要正确输入,否则会出错。现在随便找一个参数,例如RestartDialog,从字面上理解应该是重启对话框。组合成一个命令,就是Rundll32.exe shell32.dll,RestartDialog ,运行后可以看见平时熟悉的Windows重启对话框。
现在,我们已经学会了利用反编译软件来获取DLL文件中的参数,所以以后看到别人的一个命令,可以从调用的DLL文件中获取更多的命令。自己摸索,你就能了解更多调用DLL文件的参数了。
16 lsass.exe 是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。
17 services.exe 是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。
18 WinLogon.exe 是Windows NT登陆管理器。它用于处理你系统的登陆和登陆过程。
19 csrss.exe 是Client/Server Runtime Server Subsystem,客户端服务子系统,用以控制Windows图形相关子系统。正常情况下系统中只有一个csrss.exe进程。
20 smss.exe 是Session Manager Subsystem,该进程为进程管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(挂起)。
21 ctfmon.exe 是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序,和微软Office XP语言条。这不是纯粹的系统程序,但是如果终止它,可能会出问题。
22 360tray.exe 是360安全卫士实时监控程序。
23 safeboxtray.exe 是360保险箱的托盘程序,用于在系统的任务栏显示该软件的图标。
24 explorer.exe 是Windows程序管理器或者Windows资源管理器,它用于管理Windows图形壳,包括开始菜单、任务栏、桌面和文件管理。删除该程序会导致Windows图形界面无法适用。
25 taskmgr.exe 是用于Windows任务管理器。它显示您系统中正在运行的进程。该程序使用Ctrl+Alt+Del打开,这不是纯粹的系统程序,但是如果终止它,可能会出问题。
26 System 是Windows页面内存管理进程,拥有0级优先权,没有它系统无法启动。 而存在于windows下的SYSTEM.EXE(注意!后面有.EXE)进程为木马病毒,要删除 。
27 System Idle Process 是系统空闲进程(直接翻译),它显示的不是某个进程占用的cpu,正相反,而是系统空闲的cpu占用率。这个进程是不可以从任务管理器中关掉的。这个进程是作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。如果占了98%以上的时间片,表示你的计算机的空置时候很大。
上海国想
2024-12-02 广告
2024-12-02 广告
作为上海国想科技发展有限公司的工作人员,对于电脑中了勒索病毒后文件的恢复,我们有以下建议:首先,立即断开网络连接,防止病毒扩散。其次,评估病毒损害范围,备份当前系统状态或受影响文件。接着,运行安全软件进行全面扫描,并寻找适用的解密工具。如果...
点击进入详情页
本回答由上海国想提供
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询