很多朋友在使用XP操作系統(tǒng)時總是抱怨速度很慢，老是死機。排除硬件上面的緣故不說，就要從系統(tǒng)進程里找找毛病了。但進程那么多，而且都英文字符又沒有詳細介紹，誰知道哪個跟哪個，一不小心刪錯了還會造成系統(tǒng)不穩(wěn)定。不急，今天會讓你清清楚楚，明明白白。

進程也就是當前計算機運行的程序，包括前臺的和后臺的。在XP中，進程主要分為關鍵進程，應用程序進程，服務進程以及后臺程序進程。關鍵進程也叫系統(tǒng)進程，是指操作系統(tǒng)自身必須要執(zhí)行的程序，在一般情況下不允許用戶結束。應用程序進程就不用說了，當然是指當前運行的應用程序。服務進程是系統(tǒng)進程的擴展，包括網絡服務和本地服務，主要是提供給用戶方便的操作。后臺程序進程指隱藏運行的軟件，什么監(jiān)控軟件啦，掃描軟件啦，木馬程序啦，病毒啦，這一類都是。簡單了解之后，將基本進程列出來，供大家研究和參考。

System Idle Process：

Windows頁面內存管理進程，該進程擁有0級優(yōu)先。它作為單線程運行在每個處理器上，并在系統(tǒng)不處理其他線程的時候分派處理器的時間。它的cpu占用率越大表示可供分配的CPU資源越多，數字越小則表示CPU資源緊張。

ALG.EXE：

這是一個應用層網關服務用于網絡共享。它一個網關通信插件的管理器，為“Internet連接共享服務”和“Internet連接防火墻服務”提供第三方協(xié)議插件的支持。

csrss.exe：

Client/Server Runtime ServerSubsystem，客戶端服務子系統(tǒng)，用以控制Windows圖形相關子系統(tǒng)。正常情況下在WindowsNT4/2000/XP/2003系統(tǒng)中只有一個CSRSS.EXE進程，正常位于System32文件夾中，若以上系統(tǒng)中出現兩個(其中一個位于Windows文件夾中)，或在Windows 9X/Me系統(tǒng)中出現該進程，則是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。另外，目前新浪利用了系統(tǒng)漏洞傳播的一個類似于病毒的小插件，它會產生名為nmgamex.dll、sinaproc327.exe、csrss.exe三個常駐文件，并且在系統(tǒng)啟動項中自動加載，在桌面產生一個名為“新浪游戲總動園”的快捷方式，不僅如此，新浪還將Nmgamex.dll文件與系統(tǒng)啟動文件rundll32.exe進行綁定，并且偽造系統(tǒng)文件csrss.exe，產生一個同名的文件與系統(tǒng)綁定加載到系統(tǒng)啟動項內，無法直接關閉系統(tǒng)進程后刪除。手工清除方法：先先修改注冊表，清除名為啟動項：NMGameX.dll、csrss.exe，然后刪除System32NMGameX.dll、System32sinaproc327.exe和WindowsNMWizardA14.exe三個文件，再修改Windows文件夾中的任意一個文件名，從新啟動計算機后刪除修改過的csrss.exe文件。

ddhelp.exe：

DirectDraw Helper是DirectX這個用于圖形服務的一個組成部分，DirectX幫助程序。

dllhost.exe：

DCOM DLL Host進程支持基于COM對象支持DLL以運行Windows程序。如果該進程常常出錯，那么可能感染Welchia病毒。

explorer.exe：

Windows Explorer用于控制Windows圖形Shell，包括開始菜單、任務欄，桌面和文件管理。這是一個用戶的shell，在我們看起來就像任務條，桌面等等。或者說它就是資源管理器，不相信你在運行里執(zhí)行它看看。它對Windows系統(tǒng)的穩(wěn)定性還是比較重要的，而紅碼也就是找它的麻煩，在c和d根下創(chuàng)建explorer.exe。

inetinfo.exe：

IIS Admin Service Helper，InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用于Debug調試除錯。IIS服務進程，藍碼正是利用的inetinfo.exe的緩沖區(qū)溢出漏洞。

internat.exe：

Input Locales，它主要是用來控制輸入法的，當你的任務欄沒有“EN”圖標，而系統(tǒng)有internat.exe進程，不妨結束掉該進程，在運行里執(zhí)行internat命令即可。這個輸入控制圖標用于更改類似國家設置、鍵盤類型和日期格式。internat.exe在啟動的時候開始運行。它加載由用戶指定的不同的輸入點。輸入點是從注冊表的這個位置HKEY_USERS.DEFAULTKeyboard LayoutPreload 加載內容的。internat.exe 加載“EN”圖標進入系統(tǒng)的圖標區(qū)，允許使用者可以很容易的轉換不同的輸入點。當進程停掉的時候，圖標就會消失，但是輸入點仍然可以通過控制面板來改變。

lsass.exe：

本地安全權限服務控制Windows安全機制。管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序等。它會為使用winlogon服務的授權用戶生成一個進程。這個進程是通過使用授權的包，例如默認的msgina.dll來執(zhí)行的。如果授權是成功的，lsass就會產生用戶的進入令牌，令牌別使用啟動初始的shell。其他的由用戶初始化的進程會繼承這個令牌的。而windows活動目錄遠程堆棧溢出漏洞，正是利用LDAP 3搜索請求功能對用戶提交請求缺少正確緩沖區(qū)邊界檢查，構建超過1000個"AND"的請求，并發(fā)送給服務器，導致觸發(fā)堆棧溢出，使Lsass.exe服務崩潰，系統(tǒng)在30秒內重新啟動。這里請記住該進程的正常路徑為C:WINDOWSsystem32，一些病毒，如W32.Nimos.Worm病毒會在其它位置模仿LSASS.EXE來運行。

mdm.exe：

Machine Debug Manager，Debug除錯管理用于調試應用程序和Microsoft Office中的Microsoft Script Editor腳本編輯器。Mdm.exe的主要工作是針對應用軟件進行排錯(Debug)，說到這里，扯點題外話，如果你在系統(tǒng)見到fff開頭的0字節(jié)文件，它們就是mdm.exe在排錯過程中產生一些暫存文件，這些文件在操作系統(tǒng)進行關機時沒有自動被清除，所以這些fff開頭的怪文件里是一些后綴名為CHK的文件都是沒有用的垃圾文件，可以任意刪除而不會對系統(tǒng)產生不良影響。對9X系統(tǒng)，只要系統(tǒng)中有Mdm.exe存在，就有可能產生以fff開頭的怪文件?？梢园聪旅娴姆椒ㄗ屜到y(tǒng)停止運行Mdm.exe來徹底刪除以fff開頭的怪文件：首先按“Ctrl+Alt+Del”組合鍵，在彈出的“關閉程序”窗口中選中“Mdm”，按“結束任務”按鈕來停止Mdm.exe在后臺的運行，接著把Mdm.exe(在System目錄下)改名為Mdm.bak。運行msconfig程序，在啟動頁中取消對“Machine Debug Manager”的選擇。這樣可以不讓Mdm.exe自啟動，然后點擊“確定”按鈕，結束msconfig程序，并重新啟動電腦。另外，如果你使用IE 5.X以上版本瀏覽器，建議禁用腳本調用(點擊“工具→Internet選項→高級→禁用腳本調用”)，這樣就可以避免以fff開頭的怪文件再次產生。

[page_break]

rpcss.exe：

Windows 的RPC端口映射進程處理RPC調用(遠程模塊調用)然后把它們映射給指定的服務提供者。它不是在裝載解釋器時或引導時啟動，如果使用中有問題，可以直接在在注冊表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices添加"字符串值"，定向到"C:WINDOWSSYSTEMRPCSS"即可。

services.exe：

Windows Service Controller，管理Windows服務。大多數的系統(tǒng)核心模式進程是作為系統(tǒng)進程在運行。打開管理工具中的服務，可以看到有很多服務都是在調用service.exe。

smss.exe：

Session Manager Subsystem，該進程為會話管理子系統(tǒng)用以初始化系統(tǒng)變量，MS-DOS驅動名稱類似LPT1以及COM，調用Win32殼子系統(tǒng)和運行在Windows登陸過程。它是一個會話管理子系統(tǒng)，負責啟動用戶會話。這個進程是通過系統(tǒng)進程初始化的并且對許多活動的，包括已經正在運行的Winlogon，Win32(Csrss.exe)線程和設定的系統(tǒng)變量作出反映。在它啟動這些進程后，它等待Winlogon或者Csrss結束。如果這些過程時正常的，系統(tǒng)就關掉了。如果發(fā)生了什么不可預料的事情，smss.exe就會讓系統(tǒng)停止響應(掛起)。要注意：如果系統(tǒng)中出現了不只一個smss.exe進程，而且有的smss.exe路徑是"%WINDIR%SMSS.EXE"，那就是中了TrojanClicker.Nogard.a病毒，這是一種Windows下的PE病毒，它采用VB6編寫 ，是一個自動訪問某站點的木馬病毒。該病毒會在注冊表中多處添加自己的啟動項，還會修改系統(tǒng)文件WIN.INI，并在[WINDOWS]項中加入"RUN" = "%WINDIR%SMSS.EXE"。手工清除時請先結束病毒進程smss.exe，再刪除%WINDIR%下的smss.exe文件，然后清除它在注冊表和WIN.INI文件中的相關項即可。

snmp.exe：

Microsoft SNMP Agent，Windows簡單的網絡協(xié)議代理(SNMP)用于監(jiān)聽和發(fā)送請求到適當的網絡部分。負責接收SNMP請求報文，根據要求發(fā)送響應報文并處理與WinsockAPI的接口。

spool32.exe：

Printer Spooler，Windows打印任務控制程序，用以打印機就緒。

stisvc.exe：

Still Image Service用于控制掃描儀和數碼相機連接在Windows。

svchost.exe

：Service Host Process是一個標準的動態(tài)連接庫主機處理服務。Svchost.exe文件對那些從動態(tài)連接庫(DLL)中運行的服務來說是一個普通的主機進程名。Svhost.exe文件定位在系統(tǒng)的Windowssystem32文件夾下。在啟動的時候，Svchost.exe檢查注冊表中的位置來構建需要加載的服務列表。這就會使多個Svchost.exe在同一時間運行。Windows 2000一般有2個Svchost進程，一個是RPCSS(Remote Procedure Call)服務進程，另外一個則是由很多服務共享的一個Svchost.exe；而在windows XP中，則一般有4個以上的Svchost.exe服務進程；Windows 2003 server中則更多。Svchost.exe是一個系統(tǒng)的核心進程，并不是病毒進程。但由于Svchost.exe進程的特殊性，所以病毒也會千方百計的入侵Svchost.exe。通過察看Svchost.exe進程的執(zhí)行路徑可以