- 1基于SpringBoot2开发WebApi(六)JWT(json web token)集成_jwt getaudience
- 2进程间的通信方式(二):管道Pipe和命令管道FIFO_管道和fifo的区别
- 3什么是OOM,内存溢出和内存泄漏的区别是什么?为什么会OOM及一些解决方法
- 4java设置pdf不可编辑_禁止编辑,但允许在Java iText / PDF中进行页面提取
- 5Python爬虫——Urllib_python爬虫urllib
- 6java实现pdf文件的电子签字+盖章+二维码+水印+PDF文件加密的解决方案_seal biaozhiku
- 7git重新安装_重装git
- 8PVE8更换国内源并删除订阅弹窗_pve8换源
- 9数据库查询时报IllegalArgumentException异常是什么原因?
- 10Dell PowerEdge T140 塔式服务器-安装 Ubuntu Server 20.04.04 教程_戴尔t140安装2012
Windows运行必须的进程(计算机病毒最有可能隐藏的地方)_windows10 必须启动的进程
赞
踩
今天来做一下前几天计算机病毒课程的老师讲的有关于“Windows进程”的相关笔记。我们打开任务管理器或者是其他管理进程的软件来看看我们如今运行的进程总数(任务管理器在在性能->cpu处可观察)也可使用其他软件。如process moniter。接下来,依据老师讲的内容,我将windows在运行中不可关闭的进程罗列出来。
1、winlogon进程
Winlogon是一个登录/退出进程。winlogon在用户按下 CTRL+ALT+DEL时激活,并显示安全对话框。该进程提供了登录所需的类型控制和输入口令所需的对话框。当你输入用户 名和口令时,Winlogon将其发送给一个叫做LSASS的子进程。 如果你执行对服务器或工作站的本地登录,LSASS进程将在安 全数据库(亦即SAM)中查对有关用户名和口令。Winlogon 有两个子进程,即服务控制器和LSASS。 该进程的正常路径应是C:\Windows\System32,且是以 SYSTEM 用户运行,若不是以上路径且不以 SYSTEM 用户运行,可能是电脑中病毒了
2、Explorer.exe
在Windows系列的操作系统中,运行时都会启动一个名为 Explorer.exe的进程。这个进程主要负责显示系统桌面上的图标以及任务栏。
依据其定义,我们可知如果关闭了该进程,那么我们就没有桌面了。但还是可以通过任务管理器将其重新开启
3、csrss.exe(Client/Server Runtime Server Subsystem)
这个进程是用户模式Win32子系统的一部分,CSRSS为客户/服务器运行子系统而且是一个基本的子系统必须一直运 行。CSRSS负责控制Windows图形相关子系统,创建或者删除 线程和一些16位的虚拟MS-DOS环境
4、System Idle(在win10中已经消失了,若有错,欢迎指正)
作为单线程运行 在每个处理器上,并在系统不处理其他线程的时候分派处理器 的时间。所以,在任务管理器中,看到的“System Idle Process”的CPU资源占用恰恰是CPU资源空闲时间。
5、smss.exe
这个进程是不可以从任务管理器中关掉的,是一个会话管理子系统 ,负责启动用户会话。这个进程是通过系统进程初始化,并且对许多活动,包括正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程是正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(就是挂起)。据百度,由于是关键系统进程,所以有驱动保护无法禁用,即使禁用,该进程会在关机时重新检查自己的状态,如被禁用即立刻调用驱动回写自己的状态。
6、lsass.exe
其进程是多个 Windows 系统服务的宿主,管理 IP 安全策略以及 启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。 这是一个本地的安全 授权服务,它会为使用winlogon服务的授权用户生成一个进程。这个进 程是通过使用授权的包,例如默认的msgina.dll来执行。如果授权是成 功的,lsass就会产生用户的进入令牌,令牌被用于启动初始的shell,其 他由用户初始化的进程也会继承这个令牌(系统服务)。
7、services.exe
大多数的系统核心模式进程是作为系统进程在运行。该进程用于启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对系统的正常运行是非常重要的。注意:services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
8、spoolsv.exe 【若计算机不需要提供打印和传真服务,理论上可以将其结束进程】
缓冲(spooler)服务是管理缓冲池中的打印和传真作业, 将文件加载到内存中以便迟后打印(系统服务)。
9、svchost.exe
- svchost.exe是从动态链接库(DLL)中运行的服务的通用主机进程名称。 svchost.exe是WindowsNT核心系统的最重要的进程之一,但它本身只作为 服务宿主,提供条件让其他服务在这里被启动,而它自己却不能提供任何 服务。
- svchost.exe文件定位在系统的%systemroot%\system32文件夹下 在启动的时候,svchost.exe检查注册表中的位置来构建需要加载的服务列 表。这就会使多个svchost.exe在同一时间运行。一般地,通过在任务管理 器,我们可以看到Windows系统中存在多个“svchost”进程。 这些svchost进程提供多种系统服务,如:rpcss服务(remote procedure call )、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等。
- 工作过程
- 系统的大部分服务是以动态链接库(dll)形式实现的。如果需要使用 Svchost来启动某个DLL形式实现的服务,该DLL的载体Loader指向Svchost ,在启动服务的时候由Svchost调用该服务的DLL来实现启动的目的。使用 Svchost启动某个服务的DLL文件是由注册表中的参数来决定的,在需要启 动服务的注册表项下都有一个“Parameters”子项,其中的“ServiceDll”键 值表明该服务由哪个DLL文件负责,并且这个DLL文件必须导出一个 ServiceMain()函数,为处理服务任务提供支持。
- 要注意的是,并不是启动一个相关服务就增加一个svchost进程的,而 是根据命令参数分组,一般是一组服务就有一个svchost进程。也就是说, 每个svchost.exe会话可以包含一组服务,可以根据svchost.exe的启动方式和 位置的不同运行不同的服务。
这些就是由前人总结的windows运行所需的必要进程,关了它们的任何一个都可能对系统会有影响,而且不知道重启能不能恢复进程。,但一般在任务管理器中可以创建新进程,将其恢复,但你懂的,还是有风险。所以我们还是不要轻易去关我们如今用的系统的每一个上述讲到的进程。如果想关,可以现在虚拟机上试试,如果没问题再实施到使用的系统中去。
今天就是理论部分吧,等下周有时间,装上虚拟机,试一试关掉每个进程产生的后果。
文章中有表达不准确的地方,欢迎各位私信或评论区指正,我们互相学习,感谢啦。
