很多朋友在使用XP操作係統時總是（shì）抱怨速度很慢，老是死機。排除（chú）硬件上麵的緣故不說，就要從係統（tǒng）進程裏找找毛病（bìng）了。但進（jìn）程那麽（me）多，而（ér）且都英文字符又沒有詳細介紹，誰知道哪個跟哪個，一不小心刪錯了還會造成係（xì）統不穩定。不急，今天會讓你清清楚楚，明明白白。

進程也就是當（dāng）前（qián）計算機運行（háng）的程序，包括前台（tái）的和後台的。在XP中，進程主要分為關鍵進程，應用程序進程，服務進（jìn）程以（yǐ）及後台程（chéng）序進程。關（guān）鍵進（jìn）程也叫係統進程，是指（zhǐ）操作係統自身必須要執行的程序，在一般（bān）情況下不允許用戶結束。應用程序進程就不（bú）用說了，當然是指當前運行的應用程（chéng）序。服務進（jìn）程是係統進程的擴展（zhǎn），包括網絡服務和本地服務，主要是提供給用戶方便的操作。後台程序進程指（zhǐ）隱藏運（yùn）行（háng）的軟件，什麽監控軟件啦，掃（sǎo）描軟件啦，木馬程序啦，病毒啦，這一類都是。簡單（dān）了解之後，將基本進程列出來，供大家研究和參考。

System Idle Process：

Windows頁麵內存管（guǎn）理進程，該進程擁有0級優先。它作為單線程（chéng）運行在每個處理器上，並在係統不處理其他（tā）線程的時（shí）候分派處理器的時間。它的cpu占用率（lǜ）越大表示可供分配的（de）CPU資源越多，數字越小則表（biǎo）示CPU資源（yuán）緊張。

ALG.EXE：

這（zhè）是一個應用層網關（guān）服務用於網絡共享。它一個網關通信插件的管（guǎn）理器，為“Internet連接共（gòng）享服務”和（hé）“Internet連接防火牆服務”提供第三（sān）方協議插件的支持。

csrss.exe：

Client/Server Runtime ServerSubsystem，客戶端服務子（zǐ）係統，用以控製Windows圖形相關子係統。正常情況下在WindowsNT4/2000/XP/2003係統中隻有一個CSRSS.EXE進程，正常位於System32文件夾中，若以上係統中出現兩個(其中一個（gè）位於Windows文件夾中)，或在Windows 9X/Me係統中出現該進程，則是感（gǎn）染（rǎn）了Trojan.Gutta或W32.Netsky.AB@mm病毒。另外，目前新浪利用了係統漏洞傳播的一個類似於病毒的小插（chā）件，它（tā）會（huì）產生名為nmgamex.dll、sinaproc327.exe、csrss.exe三個常駐文件，並且在係統啟動項中自動加載，在桌麵產生一個名（míng）為“新浪（làng）遊戲總動園”的快捷方式，不（bú）僅如此，新浪（làng）還將Nmgamex.dll文件與係統啟動文件rundll32.exe進行（háng）綁定，並且偽造係統文件csrss.exe，產生（shēng）一個同名的文件（jiàn）與係統綁（bǎng）定加載到係統啟動項內，無法直接關（guān）閉係統進程後刪除。手（shǒu）工清除方法：先先修改注冊表（biǎo），清除名為啟動項：NMGameX.dll、csrss.exe，然後刪除System32NMGameX.dll、System32sinaproc327.exe和WindowsNMWizardA14.exe三個（gè）文件，再修改Windows文件（jiàn）夾中的任意一個文件名，從（cóng）新啟動計算機後刪除（chú）修改過的csrss.exe文（wén）件。

ddhelp.exe：

DirectDraw Helper是DirectX這個用於（yú）圖形服務的一個（gè）組成部分，DirectX幫助程序。

dllhost.exe：

DCOM DLL Host進（jìn）程支（zhī）持基於COM對象支持DLL以運行Windows程序。如果該進程常常出錯，那麽可能感染Welchia病（bìng）毒（dú）。

explorer.exe：

Windows Explorer用於控（kòng）製Windows圖形Shell，包括開始菜單、任務欄（lán），桌麵和文件管理。這是一（yī）個用戶的shell，在我們看起來就像任（rèn）務條（tiáo），桌麵等等。或者說它就是資源管理器，不相信你在運行裏執行它看看。它對Windows係統（tǒng）的穩定性還是（shì）比較（jiào）重要的，而紅碼（mǎ）也就是找它（tā）的麻煩，在c和d根下創建explorer.exe。

inetinfo.exe：

IIS Admin Service Helper，InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用於Debug調試除錯。IIS服（fú）務進程，藍（lán）碼正是利用的（de）inetinfo.exe的緩衝（chōng）區溢出漏洞（dòng）。

internat.exe：

Input Locales，它主要（yào）是用來（lái）控製輸（shū）入法的，當你的任（rèn）務欄沒有“EN”圖標，而係統有internat.exe進程，不妨結束掉該進程，在運行裏執行internat命令即可。這個輸入控（kòng）製圖標用於更改類似國家設置、鍵盤類型和日期格式。internat.exe在啟動的時候開始運行。它加載由用戶指定的（de）不同的輸（shū）入點（diǎn）。輸入點是從注冊表的這個位（wèi）置HKEY_USERS.DEFAULTKeyboard LayoutPreload 加載內容的。internat.exe 加載“EN”圖標進入係（xì）統的圖標區，允許（xǔ）使用者可以（yǐ）很容易的轉換不同的輸入點。當（dāng）進程停掉的時候，圖標就會消（xiāo）失，但是輸入點仍然可以通過控製麵板來改變。

lsass.exe：

本地安（ān）全權限服務控製Windows安全機製。管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序等。它會為使用winlogon服務的授權用戶生成一個進程。這個進程（chéng）是通過使用授權的包，例如默認的msgina.dll來執（zhí）行（háng）的。如果授（shòu）權是成功的，lsass就會產生用戶的進入令牌，令牌別使用啟動初始的shell。其（qí）他的（de）由（yóu）用戶（hù）初始化的進程會繼承這個令牌的。而windows活動目（mù）錄遠程（chéng）堆棧溢出漏洞，正是利用LDAP 3搜索請求功能對用戶提交請求缺少正確（què）緩衝區邊界（jiè）檢（jiǎn）查，構建超過1000個"AND"的請求（qiú），並發送給服務器，導致觸發堆棧溢（yì）出，使Lsass.exe服務崩潰，係統在30秒內重新啟動。這裏請記住該進程的正常路徑（jìng）為C:WINDOWSsystem32，一些（xiē）病毒，如（rú）W32.Nimos.Worm病毒會在其它位置模（mó）仿LSASS.EXE來運行。

mdm.exe：

Machine Debug Manager，Debug除錯管理用於調試應用程序和Microsoft Office中的（de）Microsoft Script Editor腳本編輯器。Mdm.exe的主要工作（zuò）是針對應用軟件進行排錯（cuò）(Debug)，說到這（zhè）裏，扯點題外話，如果你在係統見到fff開頭的0字節文件，它們就是mdm.exe在排錯過程中產生一些暫（zàn）存文件，這些文（wén）件在操作係統進行關機時沒有自動被清除，所以（yǐ）這些fff開頭的怪文件裏是一些後綴名（míng）為CHK的（de）文件都是沒有用的垃圾文件，可以任意刪除而（ér）不會對係統產生不良影響。對9X係（xì）統，隻要係統中有Mdm.exe存在，就有可能產生（shēng）以fff開（kāi）頭的怪文件。可以（yǐ）按下麵的方法讓係統停止運（yùn）行Mdm.exe來徹底刪除（chú）以fff開頭的怪文件：首先按“Ctrl+Alt+Del”組合鍵，在彈出的“關（guān）閉程序（xù）”窗口中選中“Mdm”，按“結束任務”按鈕來停止Mdm.exe在後台的運行，接著把Mdm.exe(在System目錄下)改名為Mdm.bak。運行msconfig程序，在啟動頁中取消對“Machine Debug Manager”的選擇。這樣可以不讓Mdm.exe自啟動，然後點擊“確定”按鈕，結束msconfig程序，並重新啟動電腦。另外，如果（guǒ）你使用IE 5.X以（yǐ）上版本瀏覽器（qì），建（jiàn）議禁用腳本調用(點擊“工具→Internet選項→高級→禁用腳本調用”)，這（zhè）樣就可以避免以fff開頭的怪文件再次產生。

[page_break]

rpcss.exe：

Windows 的RPC端口映射進程處理RPC調用(遠程模塊（kuài）調用)然後把它們映（yìng）射給指定的服務提（tí）供者。它（tā）不（bú）是在裝載解釋器時或引導時啟動，如果使用中有問題，可以直接在在注冊表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices添加"字符串值"，定向（xiàng）到"C:WINDOWSSYSTEMRPCSS"即可。

services.exe：

Windows Service Controller，管理Windows服務。大多數的（de）係統核心模式進程是作為係統進程在運行。打開管（guǎn）理工具中的服務，可以（yǐ）看到有很多服務都是在調用service.exe。

smss.exe：

Session Manager Subsystem，該（gāi）進程為會話管理子係統用以（yǐ）初（chū）始化係（xì）統變量（liàng），MS-DOS驅（qū）動名稱類似（sì）LPT1以及COM，調用Win32殼子係統和運行在Windows登陸過程。它是一個會話管理子係統（tǒng），負責啟動用戶會話。這個進程是通過係統進程初始化的並且對許多活動的，包括（kuò）已經正在運行的Winlogon，Win32(Csrss.exe)線程和（hé）設定的係統變量作出反映。在它啟動這些進程後，它等待Winlogon或者Csrss結束。如果這些過程時正常的，係統就關掉了。如果發生了（le）什麽不可預料的事情，smss.exe就會讓係統停止響應(掛起)。要注意：如果係統（tǒng）中出現了不隻一個smss.exe進程，而且有的smss.exe路徑是（shì）"%WINDIR%SMSS.EXE"，那（nà）就是中了TrojanClicker.Nogard.a病毒，這是一種Windows下的PE病毒，它采用VB6編寫 ，是（shì）一個自動訪問某站點的木馬病毒。該病毒會在注冊表（biǎo）中多處添加自己的啟動（dòng）項，還會修改係統文（wén）件WIN.INI，並在[WINDOWS]項中（zhōng）加入"RUN" = "%WINDIR%SMSS.EXE"。手工清除時請先結束病毒進程smss.exe，再刪除%WINDIR%下的smss.exe文件，然後清（qīng）除它在（zài）注冊表和WIN.INI文件中的相關項即可。

snmp.exe：

Microsoft SNMP Agent，Windows簡單的網絡協議代理(SNMP)用於監聽和發送請求到適當的（de）網絡部分。負責接收SNMP請求報文，根據要求發送（sòng）響應報文並處（chù）理與（yǔ）WinsockAPI的接口。

spool32.exe：

Printer Spooler，Windows打印任（rèn）務控製（zhì）程序，用以（yǐ）打印（yìn）機就緒。

stisvc.exe：

Still Image Service用於控製掃描儀（yí）和數碼相（xiàng）機連接在Windows。

svchost.exe

：Service Host Process是一個標（biāo）準的動（dòng）態連接庫主（zhǔ）機（jī）處（chù）理服務。Svchost.exe文件（jiàn）對那些從動態連（lián）接（jiē）庫(DLL)中（zhōng）運行的服務來說是一個普通的主機進程名（míng）。Svhost.exe文（wén）件定位在係（xì）統的Windowssystem32文件夾下。在啟動的時候，Svchost.exe檢查注（zhù）冊表（biǎo）中的位置來（lái）構建需要加載（zǎi）的（de）服務列（liè）表。這就會使多個Svchost.exe在同（tóng）一時間運行。Windows 2000一般有（yǒu）2個Svchost進程，一個是RPCSS(Remote Procedure Call)服務進程，另外一個則是由很多服務共享的一個Svchost.exe；而在windows XP中，則一般有4個以上的Svchost.exe服務進程；Windows 2003 server中則更多（duō）。Svchost.exe是一（yī）個係統的核心進程，並不是病毒進（jìn）程。但由於Svchost.exe進程的特殊性，所以（yǐ）病毒也會千方百計的入侵Svchost.exe。通（tōng）過察看Svchost.exe進程的執行路徑可以