Windows 2000程式細述. (轉)

Windows 2000程式細述. (轉)[@more@]

許多朋友問，這個程式是什麼呀，那個程式是什麼呀，它是不是呀等等諸如此類的問題，下面來介紹一下常見的程式。

最基本的程式（也就是說，這些程式是系統執行的基本條件，有了這些程式，系統就能正常執行）:
smss.exe Session Manager
csrss.exe 子系統程式
winlogon.exe 管理登入
services.exe 包含很多系統服務
ls.exe 管理 策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全。(系統服務)
產生會話金鑰以及授予用於互動式客戶/伺服器驗證的服務憑據(ticket)。(系統服務)
svchost.exe 包含很多系統服務
svchost.exe
SPOOLSV.EXE 將載入到中以便遲後列印。(系統服務)
explorer.exe
internat.exe 托盤區的拼音圖示
附加的系統程式（這些程式不是必要的，你可以根據需要透過服務管理器來增加或減少）:
mstask.exe 允許程式在指定時間執行。(系統服務)
regsvc.exe 允許登錄檔操作。(系統服務)
winmgmt.exe 提供資訊(系統服務)。
info.exe 透過 Internet 資訊服務的管理單元提供 連線和管理。(系統服務)
tlntsvr.exe 允許遠端使用者登入到系統並且使用命令列執行控制檯程式。(系統服務)
允許透過 Internet 資訊服務的管理單元管理 和 FTP 服務。(系統服務)
tftpd.exe 實現 TFTP Internet 標準。該標準不要求使用者名稱和密碼。遠端服務的一部分。(系統服務)
termsrv.exe 提供多會話環境允許客戶端裝置訪問虛擬的 2000 Professional 桌面會話以及執行在伺服器上的基
於 Windows 的程式。(系統服務)
.exe 應答對域名系統(DNS)名稱的查詢和請求。(系統服務)
以下服務很少會用到，上面的服務都對安全有害，如果不是必要的應該關掉
tcpsvcs.exe 提供在 PXE 可遠端啟動客戶上遠端安裝 Professional 的能力。(系統服務)
支援以下 服務：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系統服務)
ismserv.exe 允許在 Windows Advanced Server 站點間傳送和接收訊息。(系統服務)
ups.exe 管理連線到計算機的不間斷電源(UPS)。(系統服務)
wins.exe 為註冊和解析 Net 型名稱的 TCP/IP 客戶提供 NetBI名稱服務。(系統服務)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多個伺服器間維護檔案目錄內容的檔案同步。(系統服務)
RsSub.exe 控制用來遠端儲存資料的。(系統服務)
locator.exe 管理 RPC 名稱服務。(系統服務)
lserver.exe 註冊客戶端許可證。(系統服務)
dfssvc.exe 管理分佈於或的邏輯卷。(系統服務)
clipsrv.exe 支援“剪貼簿檢視器”，以便可以從遠端剪貼簿查閱剪貼頁面。(系統服務)
msdtc.exe 並列事務，是分佈於兩個以上的資料庫，訊息佇列，檔案系統，或其它事務保護資源管理器。(系統服務)
faxsvc.exe 幫助您傳送和接收傳真。(系統服務)
cisvc.exe Indexing Service(system service)
dmadmin.exe 管理請求的系統管理服務。(系統服務)
mnmsrvc.exe 允許有的使用者使用 NetMeeting 遠端訪問 Windows 桌面。(系統服務)
netdde.exe 提供動態資料 (DDE) 的傳輸和安全特性。(系統服務)
smlogsvc.exe 日誌和警報。(系統服務)
rsvp.exe 為依賴質量服務(QoS)的程式和控制應用程式提供網路訊號和本地通訊控制安裝功能。(系統服務)
RsEng.exe 協來儲存不常用資料的服務和管理工具。(系統服務)
Rsa.exe 管理遠端儲存的檔案的操作。(系統服務)
grovel.exe 掃描零(SIS)捲上的重複檔案，並且將重複檔案指向一個資料儲存點，以節省磁碟空間。(系統服務)
SCardSvr.exe 對插入在計算機智慧卡閱讀器中的智慧卡進行管理和訪問控制。(系統服務)
snmp.exe 包含程式可以監視的活動並且向網路控制檯工作站彙報。(系統服務)
snmptrap.exe 接收由本地或遠端 SNMP 代理程式產生的陷阱訊息，然後將訊息傳遞到執行在這臺計算機上 SNMP 管理程式
。(系統服務)
UtilMan.exe 從一個視窗中啟動和配置輔助工具。(系統服務)
msiexec.exe 依據 .MSI 檔案中包含的命令來安裝、修復以及刪除。(系統服務)



詳細說明：


執行程式
Svchost.exe
Svchost.exe檔案對那些從動態連線庫中執行的服務來說是一個普通的主機程式名。Svhost.exe檔案定位
在系統的%system%system32資料夾下。在啟動的時候，Svchost.exe檢查登錄檔中的位置來構建需要
載入的服務列表。這就會使多個Svchost.exe在同一時間執行。每個Svchost.exe的回話期間都包含一組服務，
以至於單獨的服務必須依靠Svchost.exe怎樣和在那裡啟動。這樣就更加容易控制和查詢錯誤。
Svchost.exe 組是用下面的登錄檔值來識別。

HKEY_LOCAL_MACHINESoftwareCurrentVersionSvchost
每個在這個鍵下的值代表一個獨立的Svchost組，並且當你正在看活動的程式時，它顯示作為一個單獨的
例子。每個鍵值都是REG_MULTI_SZ型別的值而且包括執行在Svchost組內的服務。每個Svchost組都包含一個
或多個從登錄檔值中選取的服務名，這個服務的引數值包含了一個ServiceDLL值。
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesService

更多的資訊
為了能看到正在執行在Svchost列表中的服務。
開始－執行－敲入cmd
然後在敲入 tlist -s （tlist 應該是win2k工具箱裡的鼕鼕）
Tlist 顯示一個活動程式的列表。開關 -s 顯示在每個程式中的活動服務列表。如果想知道更多的關於
程式的資訊，可以敲 tlist pid。

Tlist 顯示Svchost.exe執行的兩個例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkstation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: Rp
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cis
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:WINNT5System32cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在這個例子中登錄檔設定了兩個組。
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionSvchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs

smss.exe

csrss.exe

這個是使用者子系統的一部分。csrss代表客戶/伺服器執行子系統而且是一個基本的子系統
必須一直執行。csrss 負責控制windows，建立或者刪除執行緒和一些16位的虛擬MS-DOS環境。

explorer.exe
這是一個使用者的（我實在是不知道怎麼翻譯shell），在我們看起來就像任務條，桌面等等。這個
程式並不是像你想象的那樣是作為一個重要的程式執行在windows中，你可以從工作管理員中停掉它，或者重新啟動。
通常不會對系統產生什麼負面影響。

internat.exe

這個程式是可以從工作管理員中關掉的。
internat.exe在啟動的時候開始執行。它載入由使用者指定的不同的輸入點。輸入點是從登錄檔的這個位置
HKEY_USERS.DEFAULTKeyboard LayoutPreload 載入內容的。
internat.exe 載入“EN”圖示進入系統的圖示區，允許使用者可以很容易的轉換不同的輸入點。
當程式停掉的時候，圖示就會消失，但是輸入點仍然可以透過控制皮膚來改變。

lsass.exe
這個程式是不可以從工作管理員中關掉的。
這是一個本地的安全授權服務，並且它會為使用winlogon服務的授權使用者生成一個程式。這個程式是
透過使用授權的包，例如預設的msgina.dll來的。如果授權是成功的，lsass就會產生使用者的進入
令牌，令牌別使用啟動初始的shell。其他的由使用者初始化的程式會繼承這個令牌的。

mstask.exe
這個程式是不可以從工作管理員中關掉的。
這是一個任務排程服務，負責使用者事先決定在某一時間執行的任務的執行。

smss.exe
這個程式是不可以從工作管理員中關掉的。
這是一個會話管理子系統，負責啟動使用者會話。這個程式是透過系統程式初始化的並且對許多活動的，
包括已經正在執行的Winlogon，Win32（Csrss.exe）執行緒和設定的系統變數作出反映。在它啟動這些
程式後，它等待Winlogon或者Csrss結束。如果這些過程時正常的，系統就關掉了。如果發生了什麼
不可預料的事情，smss.exe就會讓系統停止響應（就是掛起）。

spoolsv.exe
這個程式是不可以從工作管理員中關掉的。
緩衝（spooler）服務是管理緩衝池中的列印和傳真作業。

service.exe
這個程式是不可以從工作管理員中關掉的。
大多數的系統核心模式程式是作為系統程式在執行。

System Idle Process
這個程式是不可以從工作管理員中關掉的。
這個程式是作為單執行緒執行在每個上，並在系統不處理其他執行緒的時候分派處理器的時間。 


winlogon.exe
這個程式是管理使用者登入和推出的。而且winlogon在使用者按下CTRL+ALT+DEL時就啟用了，顯示安全對話方塊。

winmgmt.exe
winmgmt是客戶端管理的核心。當客戶端應用程式連線或當管理程式需要他本身的服務時這個程式初始化

taskmagr.exe
這個程式呀，哈哈，就是工作管理員了

若有什麼不周之處，還望指正.

---

 DuGu_Niu
to:sdjkx@163.com">sdjkx@163.com