Svchost.exeSvchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务，以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。Svchost.exe 组是用下面的注册表值来识别。HKEY_LOCAL_MACHINE\Software\M\文多斯 NT\CurrentVersion\Svchost每个在这个键下的值代表一个独立的Svchost组，并且当你正在看活动的进程时，它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名，这个服务的参数值包含了一个ServiceDLL值。 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service更多的信息 为了能看到正在运行在Svchost列表中的服务。开始－运行－敲入cmd然后在敲入tlist-s（tlist 应该是win2k工具箱里的）Tlist显示一个活动进程的列表。开关-s显示在每个进程中的活动服务列表。如果想知道更多的关于 进程的信息，可以敲tlistpid。Tlist显示Svchost.exe运行的两个例子。0System Process8System132sMs.exe160csrss.exeTitle:180 winlogon.exeTitle:NetDDEAgent208services.exeSvcs:AppMgmt,Browser, Dhcp,dMerver,Dnscache,Eventlog,lanmanserver,LanmanWorkstation,LmHosts, Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi220 lsass.exeSvcs:Netlogon,PolicyAgent,SaMs404svchost.exeSvcs:RpcSs 452spoolsv.exeSvcs:Spooler544cisvc.exeSvcs:cisvc556 svchost.exeSvcs:EventSystem,Netman,NtMSvc,RasMan,SENS,TapiSrv580 regsvc.exeSvcs:RemoteRegistry596Mtask.exeSvcs:Schedule660 snmp.exeSvcs:SNMP728winmgmt.exeSvcs:WinMgmt852cidaemon.exe Title:OleMainThreadWndName812e扎啤lorer.exeTitle:ProgramManager1032 OSA.EXETitle:Reminder1300cmd.exeTitle:D:\WINNT5\System32\cmd.exe- tlist-s1080MAPISP32.EXETitle:WMIdle1264rundll32.exeTitle: 1000mmc.exeTitle:DeviceManager1144tlist.exe在这个例子中注册表设置了两个组。 HKEY_LOCAL_MACHINE\Software\M\文多斯NT\CurrentVersion\Svchost:netsvcs: Reg_Multi_SZ:EventSystemIasIpripIrmonNetmanNwsapagentRasautoRasman RemoteaccessSENSSharedaccessTapisrvNtMsvcrpcss:Reg_Multi_SZ:RpcSs sMs.execsrss.exe 这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss 负责控制文多斯，创建或者删除线程和一些16位的虚拟M-DOS环境。exlorer.exe 这是一个用户的shell（我实在是不知道怎么翻译shell），在我们看起来就像任务条，桌面等等。这个进程并不是像你想象的那样是作为一个重要的进程运行在文多斯中，你可以从任务管理器中停掉它，或者重新启动。通常不会对系统产生什么负面影响。 internat.exe这个进程是可以从任务管理器中关掉的。 internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置 HKEY_USERS\.DEFAULT\KeyboardLayout\Preload加载内容的。internat.exe 加载“EN”图标进入系统的图标区，允许使用者可以很容易的转换不同的输入点。当进程停掉的时候，图标就会消失，但是输入点仍然可以通过控制面板来改变。 lsass.exe这个进程是不可以从任务管理器中关掉的。 这是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的Mgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。Mtask.exe 这个进程是不可以从任务管理器中关掉的。这是一个任务调度服务，负责用户事先决定在某一时间运行的任务的运行。sMs.exe 这个进程是不可以从任务管理器中关掉的。这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，sMs.exe就会让系统停止响应（就是挂起）。spoolsv.exe这个进程是不可以从任务管理器中关掉的。 缓冲（spooler）服务是管理缓冲池中的打印和传真作业。service.exe这个进程是不可以从任务管理器中关掉的。 大多数的系统核心模式进程是作为系统进程在运行。SystemIdleProcess这个进程是不可以从任务管理器中关掉的。 这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。taskmagr.exe 这个进程是可以在任务管理器中关掉的。这个进程就是任务管理器。winlogon.exe 这个进程是管理用户登录和推出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了，显示安全对话框。 winmgmt.exe winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化。
上一篇:如何在Windows7下删除Linux分区_沈阳维修电脑
下一篇:Win2000的进程_沈阳维修电脑