Windows XP 系統(tǒng)進程詳解 一、正常啟動下應(yīng)有的進程： 1．可終止的： Svchost.exe 僅位于x：windowssytem32下。啟動時，依據(jù)以下注冊表來加載：HKEY_LOCAL_M

Windows XP 系統(tǒng)進程詳解
一、正常啟動下應(yīng)有的進程：
1．可終止的：
Svchost.exe 僅位于x：windowssytem32下。啟動時，依據(jù)以下注冊表來加載：HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWS NTCURRENTVERSIONSCHOST, 每個鍵值都是REG_MULTI_SZ類型，包括多個運行服務(wù)。
Explorer.exe 資源管理器，一旦終止會自動重新加載，否則會呈死機狀態(tài)。
Ctfmon.exe（internat.exe）是輸入法圖標(biāo)。
2．不可終止的：
Lsass.exe是本地安全授權(quán)服務(wù)。為winlogon所產(chǎn)生的用戶生成一個進程。
Csrss.exe 子服務(wù)器進程。使用戶模式Win32的一部分，負(fù)責(zé)控制創(chuàng)建和終止線程和16位MS-DOS。
Smss.exe 會話管理子系統(tǒng)。為系統(tǒng)變量做出反應(yīng)。
Spoolsv.exe 緩沖服務(wù)。管理緩沖池中打印和傳真作業(yè)。
Service.exe 核心系統(tǒng)服務(wù)。大多數(shù)系統(tǒng)核心進程包含于此。
System idle process 處理器分派。于每一個CPU上作為單線程。（支持多處理器的Windows系統(tǒng)和單處理器的系統(tǒng)區(qū)別就在此）
Winlogon.exe 用戶登陸管理。這是XP盜版的破解之處，管理登陸和注銷。

二、附加進程：
Alg.exe Internet防火墻：為家庭或小型辦公網(wǎng)絡(luò)提供網(wǎng)絡(luò)地址轉(zhuǎn)換，定址以及名稱解析和/或防止入侵服務(wù)。
Dns.exe 解析和緩沖域名服務(wù)：為此計算機解析和緩沖域名系統(tǒng) (DNS) 名稱。如果此服務(wù)被停止，計算機將不能解析 DNS 名稱并定位 Active Directory 域控制器。如果此服務(wù)被禁用，任何明確依賴它的服務(wù)將不能啟動。
Locator.exe遠(yuǎn)程過程調(diào)用 (RPC)： 管理 RPC 名稱服務(wù)數(shù)據(jù)庫。一種能允許分布式應(yīng)用程序調(diào)用網(wǎng)絡(luò)上不同計算機的可用服務(wù)的消息傳遞實用程序。在計算機的遠(yuǎn)程管理期間使用。
Mnmsrvc.exe NetMeeting 遠(yuǎn)程桌面共享：允許經(jīng)過授權(quán)的用戶用 NetMeeting 在公司 intranet 上遠(yuǎn)程訪問這臺計算機。如果服務(wù)被停止，遠(yuǎn)程桌面共享將不可用。如果服務(wù)被禁用，依賴這個服務(wù)的任何服務(wù)都會無法啟動。
Mstask.exe 計劃任務(wù)：使用戶能在此計算機上配置和制定自動任務(wù)的日程。如果此服務(wù)被終止，這些任務(wù)將無法在日程時間里運行。如果此服務(wù)被禁用，任何依賴它的服務(wù)將無法啟動。
Regsvc.exe 遠(yuǎn)程注冊表：使遠(yuǎn)程用戶能修改此計算機上的注冊表設(shè)置。如果此服務(wù)被終止，只有此計算機上的用戶才能修改注冊表。如果此服務(wù)被禁用，任何依賴它的服務(wù)將無法啟動。
Smlogsvc.exe 配置性能日志和警報：啟用在事件查看器查看基于 Windows 的程序和組件頒發(fā)的事件日志消息。無法終止此服務(wù)。
Tlntsvc.exe 遠(yuǎn)程登錄：允許遠(yuǎn)程用戶登錄到此計算機并運行程序，并支持多種 TCP/IP Telnet 客戶，包括基于 UNIX 和 Windows 的計算機。如果此服務(wù)停止，遠(yuǎn)程用戶就不能訪問程序，