关于进程（原创缩略版）

顽石不泪

我在任务管理器里看到一个system idle process 进程占了98%的CPU是不是病毒？
怎么我只开了一个IE窗口却有两个explorer.exe的进程？
我看到有一个名为abc.exe的进程是什么啊？
我用金山查到了一个病毒但是删不掉怎么办啊？
等等等

回答这些问题其实比较简单，但是如果深究起来却极其复杂，本人亦才疏学浅，这次先就进程问题说下。（XP平台下）

首先说说任务管理器。任务管理器确实是微软为系统配备的一个强大的工具。可以浏览所有正在运行的程序和它们创建的进程，还有它们使用的系统资源和相关参数，还包括网络连接状况和用户登陆状况等。一般来说，如果发现系统响应慢，就可以调出任务管理器查看是否有应用程序过高占用系统资源。关于任务管理器的使用方法，上篇帖子已经说了，这里主要说下进程的问题。很多人老搞不清，哪些是系统进程，能动不能动；哪些是应用程序，可以结束它；哪些是可疑进程等等。下面是一张我自己的任务管理器部分截图。


大概说下各进程。
conime.exe 是输入法编辑器进程，属于系统但不是必备进程；
csrss.exe是客户端服务子系统，用以控制Windows图形相关子系统，是系统关键进程；
Explorer.exe 是任务栏和桌面的进程,一般出现某文件非只读属性却删不掉但是又没有应用程序在使用它，那么就是这个进程在“使用”它；
iexplore.exe IE也就是网络浏览器进程，一般在IE6及以下版本如果打开一个窗口就会产生一个该进程，而在IE7版本则只有一个，这可以用来发现木马。另外注意它最有可能被劫持程序劫持，被注入木马的DLL；
lsass.exe 本地安全权限服务 系统核心进程，估计地球人都认得它。
notepad.exe 记事本程序；
QQ.exe 不用说了
services.exe 系统核心进程，用于管理和启动服务；
smss.exe 系统核心进程，用于调用系统对话子系统；
svchost.exe 最著名的系统进程，用于管理和执行DLL文件，最常被病毒木马利用。
另外很多人问，这个进程有几个才是正常。这个没有一定的，像我这样5个算比较少的，因为我关掉了很多XP的效果和服务，如果使用XP华丽的界面的话，怕有十几个...
下面这两个进程是我的笔记本触摸板驱动；
system.exe 和system idle process（系统空闲进程）均为处理系统进程的进程，不同的是system idle process其实本身不是一个进程，更多是用于显示CPU可用资源百分比情况，其占用CPU资源越高说明此时系统越闲；
taskmgr.exe 就是任务管理器本身的进程；
winlogon.exe Windows NT登陆管理器，用于处理系统的登陆和登陆过程。

需要说明的是，这些进程，特别是系统进程包括IE，很容易被木马利用，通过连接注入等手段，更改名字等。如果一个用系统名字命名的进程不是由处于一个系统目录下的程序创建的，那么肯定是木马之类可疑进程。我曾经中过一个木马，只要一开浩方平台，该平台占用系统资源就直线上升，导致整个系统崩溃。原因就是一个木马的DLL被连接到了该程序中，程序一运行木马也运行。后扫描发现该DLL，删除后一切正常。
应用中如果发现系统变慢，就调用任务管理器查看，看看是什么进程在占用系统资源。有时候你在用3D、PS或者MATLAB或者玩大游戏，那是肯定的，但是如果没有运行任何大型应用程序那么就需要查看是否有可疑进程。如果没有发现可疑进程就看看是否为某一个系统进程运行出现问题过高占用系统资源。一般来说，我碰到的情况大多是IE进程，在打开过多窗口后，其内存占用可以达到100M甚至200M以上，这似乎是IE的一个通病，建议重新启动IE，或者..或者更换浏览器。
除了系统进程外，运行的更多的就是应用程序自己创建的进程，比如杀软、QQ、MSN、QQ游戏、Q-ZONE、各种下载工具、媒体播放器、游戏、作弊工具等等....
这些进程一般比较好识别，可以通过查看源程序知道到底是什么东东。
另外还有一些其他“冷门”进程，可能是某些插件或者用户自己装的设备驱动，比如上面说的那两个名字怪异的触摸板驱动，或者其他摄相头等驱动程序，查看其源程序就可以知道是什么。

如果需要相关工具软件，可以到网上搜索下载，本版置顶帖里我也将不段添加。
关于进程先说到这，中有疏漏之处请各位高手指点。
欢迎跟帖提问。下次有时间说说关于系统优化的问题。


<a href=[[[SQ]]][[[www.wlzb.net/phpwind/read.php?tid=71046]]]></a>

荷包蛋

楼主貌似已经很专业了
还要我们来解决什么啊？
唉。。。 [s:258] [s:258]<a href=[[[SQ]]][[[www.wlzb.net/phpwind/read.php?tid=71046%26position=1]]]></a>

tigereat

不太明白。。。。。呵呵<a href=[[[SQ]]][[[www.wlzb.net/phpwind/read.php?tid=71046%26position=2]]]></a>

a19890824

system idle process 这个进程不就是系统空闲资源吗？<a href=[[[SQ]]][[[www.wlzb.net/phpwind/read.php?tid=71046%26position=3]]]></a>

落笑笑

。。。。建议大家看看，写的很认真，经常用电脑的人，起码也要能把任务管理器里的进程是搞什么的都弄清楚。
expl0rer  exp1orer之类的改某个字母的进程要看仔细了哦<a href=[[[SQ]]][[[www.wlzb.net/phpwind/read.php?tid=71046%26position=4]]]></a>

又见习习

能不能再说点。、。。

坏坏

不错～～～顶一下～版主 真负责

麦田的守望兔

每次我都喜欢在进程里面关，因为速度快。。。