任务管理器里的基本映像名称有哪些,代表啥意思,如何从中辨别哪些是病毒进程?
3个回答
展开全部
igfxpers.exe LUCKY-是Intel 的用户界面公共处理程序,可以删除也可以保留。 hkcmd.exe LUCKY--Intel显卡相关进程,可以删除也可以保留。 igfxtray.exe LUCKY--Intel显卡配置和诊断程序,可以删除也可以保留。 agrsmsvc.exe SYSTEM--Agere调制解调器相关服务进程,建议直接删除。 igfxsrvc.exe LUCKY--Intel显示卡加速软件相关程序,可以删除也可以保留。 RTHDCPL.exe LUCKY--音频控制的进程,可以删除。 没有列出来的就是不能删除的进程。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
博阳精讯
2024-07-25 广告
流程管理软件是企业高效运作的得力助手,通过图形化界面,直观展示企业各项业务流程,简化操作,提高效率。该软件不仅支持流程的定制与优化,还能实时监控流程执行状态,确保业务运作的顺畅与规范。此外,强大的数据分析功能帮助企业洞察流程瓶颈,为决策提供...
点击进入详情页
本回答由博阳精讯提供
展开全部
你去这儿看下 ,希望对你有帮助 tech.163.com/special/000915SN/process.html
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
1.进程的概念:
进程是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括:系统管理计算机个体和完成各种操作所必需的程序;用户开启、执行的额外程序,当然也包括用户不知道,而自动运行的非法程序(它们就有可能是病毒程序)。专业地讲:进程为应用程序的运行实例,是应用程序的一次动态执行。
2.进程的分类:
按性质分有两种,一是系统进程,二是用户进程。
1)系统进程
用于完成操作系统的各种功能的进程就是系统进程,它们就是处于运行状态下的操作系统本身,他们是系统运行所必须的,例如输入法等进程。
2)用户进程
用户进程就是所有由用户启动的进程。它又可分为两种:应用程序进程和存在安全风险的进程。其中应用程序是用户选择安装的程序的总称,通常包括驱动程序的进程,看图软件、解压缩软件等通用软件的进程,而存在安全风险的进程包括:病毒、木马、蠕虫、广告软件Adware、间谍软件Spyware~
注:1.木马:
木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。
2.计算机病毒
计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图象上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染” 其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复制,具有传染性。
所以,计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。
3.蠕虫病毒
蠕虫病毒是计算机病毒的一种。它的传染机理是利用网络进行复制和传播,传染途径是通过网络和电子邮件。
比如近几年危害很大的“尼姆达”病毒就是蠕虫病毒的一种。这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
蠕虫病毒的一般防治方法是:使用具有实时监控功能的杀毒软件,并且注意不要轻易打开不熟悉的邮件附件。
4.广告软件Adware
广告软件(Adware)是指未经用户允许,下载并安装或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序。安装广告软件之后,往往造成系统运行缓慢或系统异常。
防治广告软件,应注意以下方面:
1)、不要轻易安装共享软件或“免费软件”,这些软件里往往含有广告程序、间谍软件等不良软件,可能带来安全风险。
2)、有些广告软件通过恶意网站安装,所以,不要浏览不良网站。
3)、采用安全性比较好的网络浏览器,并注意弥补系统漏洞。
5.间谍软件Spyware
间谍软件(Spyware)是能够在使用者不知情的情况下,在用户电脑上安装后门程序的软件。 用户的隐私数据和重要信息会被那些后门程序捕获, 甚至这些 “后门程序” 还能使黑客远程操纵用户的电脑。
防治间谍软件,应注意以下方面:
1)、不要轻易安装共享软件或“免费软件”,这些软件里往往含有广告程序、间谍软件等不良软件,可能带来安全风险。
2)、有些间谍软件通过恶意网站安装,所以,不要浏览不良网站。
3)、采用安全性比较好的网络浏览器,并注意弥补系统漏洞。
3.系统不可缺少的进程(系统进程)
1).smss.exe
进程文件:smss or smss.exe
进程名称:Session Manager Subsystem
描 述:该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。注意:smss.exe也可能是Win32.Ladex.a木马。(看看是不是有多个SMSS.EXE)该木马允许攻击者访问你的计算机,窃取密码和个人数据。
简 介:这是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(就是挂起)。
2).csrss.exe
进程文件:csrss or csrss.exe
进程名称:Microsoft Client/Server Runtime Server Subsystem
描 述:客户端服务子系统,用以控制Windows图形相关子系统。
介 绍:这个是用户模式Win32子系统的一部分。csrss代表客户服务器运行子系统而且是一个基本的子系统必须一直运行。csrss用于维持Windows的控制,创建或者删除线程和一些16位的虚拟MS-DOS环境。
3).winlogon.exe
进程文件:winlogon or winlogon.exe
进程名称:Windows Logon Process
描 述:Windows NT用户登陆程序。这个进程是管理用户登录和退出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了,显示安全对话框。这个进程处理登录和注销任务,事实上,这个进程是必需的,它的大小和你登录的时间有关系,我曾亲眼看见这个进程占用空间的波动情况,一个是登录一个小时左右,内存在1.2MB到8.5MB之间波动;另一个是登录了40多天,内存在1.7MB到17MB之间波动。wowexec.exe当你运行一些老的应用程序(比如一些16位的程序)或者DOS控制台下运行DOS命令行程序,你就会在进程里面发现它。
4).services.exe
进程文件:services or services.exe
进程名称:Windows Service Controller
描 述:services.exe是微软[/url]Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意:services也可能是W32.Randex.R(储存在%systemroot%system32目录)和Sober.P (储存在%systemroot%Connection WizardStatus目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。
介 绍:大多数的系统核心模式进程是作为系统进程在运行。打开管理工具中的服务,可以看到有很多服务都是在调用%systemroot%system32service.exe
5).lsass.exe
进程文件:lsass or lsass.exe
进程名称:本地安全权限服务
描 述:这个本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。
介 绍:这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个\\\"AND\\\"的请求,并发送给服务器,导致触发堆栈溢出,使Lsass.exe服务崩溃,系统在30秒内重新启动。
6).svchost.exe
进程文件:svchost or svchost.exe
进程名称:Service Host Process
描 述:Service Host Process是一个标准的动态连接库主机处理服务.
介 绍:Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。windows 2k一般有2个svchost进程,一个是RPCSS(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中,则一般有4个以上的svchost.exe服务进程,windows 2003 server中则更多。
7).spoolsv.exe
进程文件:spoolsv or spoolsv.exe
进程名称:Printer Spooler Service
描 述:Windows打印任务控制程序,用以打印机就绪。
介 绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。Spoolsv.exe是打印任务控制程序,一般会先加载以供列表机打印前的准备工作,如果占CPU资源常增高,则有可能是病毒感染所致。
8).explorer.exe
进程文件:explorer or explorer.exe
进程名称:程序管理
描 述:Windows Program Manager或者Windows Explorer用于控制Windows图形Shell,包括开始菜单、任务栏,桌面和文件管理。
介 绍:这是一个用户的shell,在我们看起来就像任务条,桌面等等。或者说它就是资源管理器,不相信你在运行里执行它看看。它对windows系统的稳定性还是比较重要的,而红码也就是找它的麻烦,在c和d根下创建explorer.exe。
9).internat.exe
进程文件:internat or internat.exe
进程名称:Input Locales
描 述:这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置HKEY_USERS.DEFAULTKeyboard LayoutPreload 加载内容的。internat.exe 加载“EN”图标进入系统的图标区,允许使用者可以很容易的转换不同的输入点。当进程停掉的时候,图标就会消失,但是输入点仍然可以通过控制面板来改变。
介 绍:这里的internat很多人会误以为是网络什么有关的,其实不然,因为他和英特网internet差一字哦,这里这个internat是输入法图标的工具,一般本机只有一个输入法的都不需要运行这个.(任务栏里面的En图标) ,它主要是用来控制输入法的,当你的任务栏没有“EN”图标,而系统有internat.exe进程,不妨结束掉该进程,在运行里执行internat命令即可。
进程是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括:系统管理计算机个体和完成各种操作所必需的程序;用户开启、执行的额外程序,当然也包括用户不知道,而自动运行的非法程序(它们就有可能是病毒程序)。专业地讲:进程为应用程序的运行实例,是应用程序的一次动态执行。
2.进程的分类:
按性质分有两种,一是系统进程,二是用户进程。
1)系统进程
用于完成操作系统的各种功能的进程就是系统进程,它们就是处于运行状态下的操作系统本身,他们是系统运行所必须的,例如输入法等进程。
2)用户进程
用户进程就是所有由用户启动的进程。它又可分为两种:应用程序进程和存在安全风险的进程。其中应用程序是用户选择安装的程序的总称,通常包括驱动程序的进程,看图软件、解压缩软件等通用软件的进程,而存在安全风险的进程包括:病毒、木马、蠕虫、广告软件Adware、间谍软件Spyware~
注:1.木马:
木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。
2.计算机病毒
计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图象上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染” 其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复制,具有传染性。
所以,计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。
3.蠕虫病毒
蠕虫病毒是计算机病毒的一种。它的传染机理是利用网络进行复制和传播,传染途径是通过网络和电子邮件。
比如近几年危害很大的“尼姆达”病毒就是蠕虫病毒的一种。这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。
蠕虫病毒的一般防治方法是:使用具有实时监控功能的杀毒软件,并且注意不要轻易打开不熟悉的邮件附件。
4.广告软件Adware
广告软件(Adware)是指未经用户允许,下载并安装或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序。安装广告软件之后,往往造成系统运行缓慢或系统异常。
防治广告软件,应注意以下方面:
1)、不要轻易安装共享软件或“免费软件”,这些软件里往往含有广告程序、间谍软件等不良软件,可能带来安全风险。
2)、有些广告软件通过恶意网站安装,所以,不要浏览不良网站。
3)、采用安全性比较好的网络浏览器,并注意弥补系统漏洞。
5.间谍软件Spyware
间谍软件(Spyware)是能够在使用者不知情的情况下,在用户电脑上安装后门程序的软件。 用户的隐私数据和重要信息会被那些后门程序捕获, 甚至这些 “后门程序” 还能使黑客远程操纵用户的电脑。
防治间谍软件,应注意以下方面:
1)、不要轻易安装共享软件或“免费软件”,这些软件里往往含有广告程序、间谍软件等不良软件,可能带来安全风险。
2)、有些间谍软件通过恶意网站安装,所以,不要浏览不良网站。
3)、采用安全性比较好的网络浏览器,并注意弥补系统漏洞。
3.系统不可缺少的进程(系统进程)
1).smss.exe
进程文件:smss or smss.exe
进程名称:Session Manager Subsystem
描 述:该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。注意:smss.exe也可能是Win32.Ladex.a木马。(看看是不是有多个SMSS.EXE)该木马允许攻击者访问你的计算机,窃取密码和个人数据。
简 介:这是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(就是挂起)。
2).csrss.exe
进程文件:csrss or csrss.exe
进程名称:Microsoft Client/Server Runtime Server Subsystem
描 述:客户端服务子系统,用以控制Windows图形相关子系统。
介 绍:这个是用户模式Win32子系统的一部分。csrss代表客户服务器运行子系统而且是一个基本的子系统必须一直运行。csrss用于维持Windows的控制,创建或者删除线程和一些16位的虚拟MS-DOS环境。
3).winlogon.exe
进程文件:winlogon or winlogon.exe
进程名称:Windows Logon Process
描 述:Windows NT用户登陆程序。这个进程是管理用户登录和退出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了,显示安全对话框。这个进程处理登录和注销任务,事实上,这个进程是必需的,它的大小和你登录的时间有关系,我曾亲眼看见这个进程占用空间的波动情况,一个是登录一个小时左右,内存在1.2MB到8.5MB之间波动;另一个是登录了40多天,内存在1.7MB到17MB之间波动。wowexec.exe当你运行一些老的应用程序(比如一些16位的程序)或者DOS控制台下运行DOS命令行程序,你就会在进程里面发现它。
4).services.exe
进程文件:services or services.exe
进程名称:Windows Service Controller
描 述:services.exe是微软[/url]Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意:services也可能是W32.Randex.R(储存在%systemroot%system32目录)和Sober.P (储存在%systemroot%Connection WizardStatus目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。
介 绍:大多数的系统核心模式进程是作为系统进程在运行。打开管理工具中的服务,可以看到有很多服务都是在调用%systemroot%system32service.exe
5).lsass.exe
进程文件:lsass or lsass.exe
进程名称:本地安全权限服务
描 述:这个本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。
介 绍:这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个\\\"AND\\\"的请求,并发送给服务器,导致触发堆栈溢出,使Lsass.exe服务崩溃,系统在30秒内重新启动。
6).svchost.exe
进程文件:svchost or svchost.exe
进程名称:Service Host Process
描 述:Service Host Process是一个标准的动态连接库主机处理服务.
介 绍:Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。windows 2k一般有2个svchost进程,一个是RPCSS(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中,则一般有4个以上的svchost.exe服务进程,windows 2003 server中则更多。
7).spoolsv.exe
进程文件:spoolsv or spoolsv.exe
进程名称:Printer Spooler Service
描 述:Windows打印任务控制程序,用以打印机就绪。
介 绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。Spoolsv.exe是打印任务控制程序,一般会先加载以供列表机打印前的准备工作,如果占CPU资源常增高,则有可能是病毒感染所致。
8).explorer.exe
进程文件:explorer or explorer.exe
进程名称:程序管理
描 述:Windows Program Manager或者Windows Explorer用于控制Windows图形Shell,包括开始菜单、任务栏,桌面和文件管理。
介 绍:这是一个用户的shell,在我们看起来就像任务条,桌面等等。或者说它就是资源管理器,不相信你在运行里执行它看看。它对windows系统的稳定性还是比较重要的,而红码也就是找它的麻烦,在c和d根下创建explorer.exe。
9).internat.exe
进程文件:internat or internat.exe
进程名称:Input Locales
描 述:这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置HKEY_USERS.DEFAULTKeyboard LayoutPreload 加载内容的。internat.exe 加载“EN”图标进入系统的图标区,允许使用者可以很容易的转换不同的输入点。当进程停掉的时候,图标就会消失,但是输入点仍然可以通过控制面板来改变。
介 绍:这里的internat很多人会误以为是网络什么有关的,其实不然,因为他和英特网internet差一字哦,这里这个internat是输入法图标的工具,一般本机只有一个输入法的都不需要运行这个.(任务栏里面的En图标) ,它主要是用来控制输入法的,当你的任务栏没有“EN”图标,而系统有internat.exe进程,不妨结束掉该进程,在运行里执行internat命令即可。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
