(1) [Proceso inactivo del sistema] Archivo de proceso: [proceso del sistema] o [proceso del sistema] Nombre del proceso: proceso del sistema de procesamiento de memoria de Windows Descripción: proceso de administración de memoria de la página de Windows, con prioridad de nivel 0. Introducción: este proceso se ejecuta como un único subproceso en cada procesador y distribuye el tiempo del procesador cuando el sistema no está procesando otros subprocesos. Cuanto mayor sea el uso de la CPU, más recursos de la CPU estarán disponibles para su asignación y cuanto menor sea el número, más limitados serán los recursos de la CPU.
(2) [alg.exe] Archivo de proceso: alg o alg.exe Nombre del proceso: Servicio de puerta de enlace de la capa de aplicación Descripción: Este es un servicio de puerta de enlace de la capa de aplicación para compartir redes. Introducción: un administrador de complementos de comunicación de puerta de enlace que brinda soporte para complementos de protocolos de terceros para el "Servicio premium de conexión a Internet" y el "Servicio de firewall de conexión a Internet".
(3) [csrss.exe] Archivo de proceso: csrss o csrss.exe Nombre del proceso: Subsistema de servidor de ejecución cliente/servidor Descripción: Subsistema de servicio de cliente, utilizado para controlar los subsistemas relacionados con gráficos de Windows. Introducción: esto es parte del subsistema Win32 en modo de usuario. csrss representa el subsistema operativo cliente/servidor y es un subsistema básico que debe estar ejecutándose en todo momento. csrss se utiliza para mantener el control de Windows, crear o eliminar subprocesos y algunos entornos virtuales de MS-DOS de 16 bits.
(4) [ddhelp.exe] Archivo de proceso: ddhelp o ddhelp.exe Nombre del proceso: DirectDraw Helper Descripción: DirectDraw Helper es un componente de DirectX, que se utiliza para servicios de gráficos. Introducción: Directx Helper
(5) [dllhost.exe] Archivo de proceso: dllhost o dllhost.exe Nombre del proceso: DCOM DLL Descripción del proceso del host: DCOM DLL El proceso del host admite DLL basado en objetos COM para ejecutar programas de Windows . Introducción: proxy com, cuantos más componentes dll conectados al sistema, más recursos de CPU y recursos de memoria ocupará dllhost. El "Shock Wave Killer" de agosto probablemente hizo que todos se familiarizaran con él.
(6) [explorer.exe] Archivo de proceso: explorer o explorer.exe Nombre del proceso: Descripción de la administración del programa: El Administrador de programas de Windows o el Explorador de Windows se utiliza para controlar el shell gráfico de Windows, incluido el menú de inicio y barra de tareas. Gestión de archivos y escritorio. Introducción: Este es el shell de un usuario, que para nosotros parece una barra de tareas, un escritorio, etc. En otras palabras, es el administrador de recursos. No creo que puedas ejecutarlo y echarle un vistazo. Sigue siendo relativamente importante para la estabilidad del sistema Windows, y el código rojo le causará problemas. Cree explorer.exe en las raíces cyd.
(7) [inetinfo.exe] Archivo de proceso: inetinfo o inetinfo.exe Nombre del proceso: IIS Admin Service Helper Descripción: InetInfo es parte de Microsoft Internet Infomation Services (IIS), que se utiliza para depurar y depurar. Introducción: proceso de servicio IIS, el código azul explota la vulnerabilidad de desbordamiento del búfer de inetinfo.exe.
(8) [internat.exe] Archivo de proceso: internat o internat.exe Nombre del proceso: Configuraciones regionales de entrada Descripción: Este ícono de control de entrada se usa para cambiar configuraciones como el país, el tipo de teclado y el formato de fecha. internat.exe comienza a ejecutarse al inicio. Carga diferentes puntos de entrada especificados por el usuario. El punto de entrada carga contenido desde la ubicación del registro HKEY_USERS\.DEFAULT\Keyboard Layout\Preload. internat.exe carga el ícono "EN" en el área de íconos del sistema, lo que permite al usuario cambiar fácilmente entre diferentes puntos de entrada. Cuando se detiene el proceso, el icono desaparece, pero el punto de entrada aún se puede cambiar a través del panel de control. Introducción: se utiliza principalmente para controlar el método de entrada. Cuando su barra de tareas no tiene el ícono "EN" y el sistema tiene el proceso internat.exe, es posible que desee finalizar el proceso y ejecutar el comando internat en el tiempo de ejecución.
(9) [kernel32.dll] Archivo de proceso: kernel32 o kernel32.dll Nombre del proceso: proceso de shell de Windows Descripción: el proceso de shell de Windows se utiliza para administrar subprocesos múltiples, memoria y recursos. Introducción: Más contenido de exploración de operaciones ilegales e interpretación de Kernel32
(10) [lsass.exe] Archivo de proceso: lsass o lsass.exe Nombre del proceso: Descripción del servicio de autoridad de seguridad local: Este servicio de autoridad de seguridad local controla la seguridad de Windows mecanismo. Administre las políticas de seguridad de IP y habilite ISAKMP/Oakley (IKE) y controladores de seguridad de IP, etc. Introducción: este es un servicio de autorización de seguridad local y generará un proceso para los usuarios autorizados que utilizan el servicio winlogon. Este proceso se realiza utilizando paquetes autorizados, como el predeterminado msgina.dll. Si la autorización tiene éxito, lsass generará el token de acceso del usuario, que no se utiliza para iniciar el shell inicial. Otros procesos iniciados por el usuario heredarán este token. La vulnerabilidad de desbordamiento de pila remota de Windows Active Directory utiliza la función de solicitud de búsqueda LDAP 3 para carecer de comprobaciones correctas de los límites del búfer en las solicitudes enviadas por los usuarios, construye más de 1000 solicitudes "Y" y las envía al servidor, lo que provoca que se desencadene un desbordamiento de pila. y Lsass El servicio .exe falló y el sistema se reinició en 30 segundos.
(11)[mdm.exe] Archivo de proceso: mdm o mdm.exe Nombre del proceso: Machine Debug Manager Descripción: La administración de depuración se utiliza para depurar aplicaciones y editar scripts con Microsoft Script Editor en dispositivos Microsoft Office.
Introducción: El trabajo principal de Mdm.exe es depurar el software de la aplicación. Hablando de eso, hagamos una digresión. Si ve archivos de 0 bytes que comienzan con fff en el sistema, son mdm.exe en el proceso de depuración. generados en el sistema operativo Estos archivos no se borran automáticamente cuando se apaga el sistema operativo. Por lo tanto, entre estos archivos extraños que comienzan con fff hay algunos archivos con el sufijo CHK, que son archivos basura inútiles. Si cambia al sistema Xiuyun Low Chao? Huanjia Ba Zhen 6?X, siempre que exista Mdm.exe en el sistema, se pueden generar archivos extraños que comiencen con fff. Puede utilizar el siguiente método para evitar que el sistema ejecute Mdm.exe y eliminar por completo los archivos extraños que comienzan con fff: primero presione la combinación de teclas "Ctrl Alt Supr", seleccione "Mdm" en la ventana emergente "Cerrar programa", y presione el botón "Finalizar tarea" para detener la ejecución de Mdm.exe en segundo plano y luego cambie el nombre de Mdm.exe (en el directorio C:\Windows\System) a Mdm.bak. Ejecute el programa msconfig y cancele la selección de "Machine Debug Manager" en la página de inicio. Esto evitará que Mdm.exe se inicie automáticamente, luego haga clic en el botón "Aceptar" para finalizar el programa msconfig y reiniciar la computadora. Además, si utiliza IE 5.
(12)[mmtask.tsk] Archivo de proceso: mmtask o mmtask.tsk Nombre del proceso: Proceso de soporte multimedia Descripción: Este programa multimedia en segundo plano de Windows controla servicios multimedia, como MIDI. Introducción: Este es un servicio de programación de tareas que se encarga de ejecutar las tareas que el usuario decide ejecutar en un momento determinado de antemano.
(13) [mprexe.exe] Archivo de proceso: mpreexe o mpreexe.exe Nombre del proceso: proceso de enrutamiento de Windows Descripción: El proceso de enrutamiento de Windows incluye la emisión de solicitudes de red a la parte de red apropiada. Introducción: este es el archivo de proceso de servicio de interfaz de red de Windows de 32 bits, el núcleo del inicio del componente del cliente de red. En mi impresión, el "Trojan A-311 (Trojan.A-311.104)" también creará el proceso mprexe.exe en la memoria y el proceso se puede finalizar mediante la administración de recursos.
(14)[msgsrv32.exe] Archivo de proceso: msgsrv32 o msgsrv32.exe Nombre del proceso: Servicio Windows Messenger Descripción: El servicio Windows Messenger llama a la administración de programas y controladores de Windows al inicio. Introducción: msgsrv32.exe es una aplicación que administra ventanas de información. Si el controlador de la tarjeta de sonido o de la tarjeta gráfica no está configurado correctamente en win9x, provocará un bloqueo o indicará un error de msgsrv32.exe.
(15) [mstask.exe] Archivo de proceso: mstask o mstask.exe Nombre del proceso: Tarea programada de Windows Descripción: La tarea programada de Windows se utiliza para establecer la hora o fecha para realizar la copia de seguridad o ejecutar la herencia. Introducción: Tarea programada, que se inicia automáticamente a través del registro. Por lo tanto, el nombre de archivo de un programa que se inicia automáticamente mediante la tarea programada no se puede ver en la información del sistema. Una vez que se elimina o deshabilita del registro, todos los programas iniciados mediante la tarea programada no podrán ejecutarse automáticamente. . La tarea programada se iniciará cuando el sistema se inicie en win9X. Puede detener su inicio haciendo doble clic en el icono de la tarea programada - Avanzado - Finalizar la tarea programada.
Además, los atacantes suelen utilizar tareas planificadas durante el proceso de ataque, incluida la carga de archivos, la elevación de privilegios, la instalación de puertas traseras, la limpieza de huellas, etc.
(16) [regsvc.exe] Archivo de proceso: regsvc o regsvc.exe Nombre del proceso: Servicio de registro remoto Descripción: El servicio de registro remoto se utiliza para acceder al registro en una computadora remota.
(17) [rpcss.exe] Archivo de proceso: rpcss o rpcss.exe Nombre del proceso: RPC Portmapper Descripción: El proceso de mapeo de puertos RPC de Windows procesa llamadas RPC (llamadas a módulos remotos) y luego las asigna a el proveedor de servicios especificado. Introducción: 98 no se inicia al cargar el intérprete o al iniciar. Si hay problemas durante el uso, puede agregarlo directamente al registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices. "Valor de cadena", dirigido a "C:\WINDOWS\SYSTEM\RPCSS".
(18) [services.exe] Archivo de proceso: servicios o servicios.exe Nombre del proceso: Controlador de servicios de Windows Descripción: Administra los servicios de Windows. Introducción: la mayoría de los procesos del modo central del sistema se ejecutan como procesos del sistema. Abra el servicio en la herramienta de administración y podrá ver que muchos servicios están llamando a systemroot\system32\service.exe
(19) [smss.exe] Archivo de proceso: smss o smss.exe Nombre del proceso: Descripción del subsistema del administrador de sesiones: este proceso se utiliza para inicializar las variables del sistema para el subsistema de administración de sesiones. Los nombres del controlador MS-DOS son similares a LPT1 y COM, llaman al subsistema de shell Win32 y se ejecutan en el proceso de inicio de sesión de Windows. Introducción: este es un subsistema de gestión de sesiones responsable de iniciar sesiones de usuario. Este proceso es inicializado por el proceso del sistema y refleja muchas actividades, incluidas las que ya están ejecutando subprocesos de Winlogon, Win32 (Csrss.exe) y la configuración de variables del sistema. Después de iniciar estos procesos, espera a que finalice Winlogon o Csrss. Si estos procesos son normales, el sistema se apaga. Si sucede algo inesperado, smss.exe hará que el sistema deje de responder (es decir, se cuelgue). (20) [snmp.exe] Archivo de proceso: snmp o snmp.exe Nombre del proceso: Agente SNMP de Microsoft Descripción: El Agente de protocolo de red simple (SNMP) de Windows se utiliza para escuchar y enviar solicitudes a la parte de red adecuada. Introducción: Responsable de recibir mensajes de solicitud SNMP, enviar mensajes de respuesta según sea necesario y procesar la interfaz con WinsockAPI.
(21)[spool32.exe] Archivo de proceso: spool32 o spool32.exe Nombre del proceso: Printer Spooler Descripción: Programa de control de tareas de impresión de Windows, utilizado para preparar la impresora.
(22) [spoolsv.exe] Archivo de proceso: spoolsv o spoolsv.exe Nombre del proceso: Servicio de cola de impresión Descripción: Programa de control de tareas de impresión de Windows, utilizado para preparar la impresora. Introducción: el servicio de cola de impresión administra los trabajos de impresión y fax en el grupo de búfer.
(23) [stisvc.exe] Archivo de proceso: stisvc o stisvc.exe Nombre del proceso: Servicio de imágenes fijas Descripción: El Servicio de imágenes fijas se utiliza para controlar escáneres y cámaras digitales conectadas en Windows.
(24)[svchost.exe] Archivo de proceso: svchost o svchost.exe Nombre del proceso: Service Host Descripción del proceso: Service Host Process es un servicio de procesamiento de host de biblioteca de vínculos dinámicos estándar Introducción: Svchost.exe. file es un nombre de proceso de host común para servicios que se ejecutan desde bibliotecas de vínculos dinámicos. El archivo Svhost.exe se encuentra en la carpeta systemroot\system32 del sistema. Al inicio, Svchost.exe busca ubicaciones en el registro para crear una lista de servicios que deben cargarse. Esto hará que se ejecuten varios Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe contiene un conjunto de servicios, por lo que los servicios individuales deben depender de cómo y dónde se inicia Svchost.exe. Esto hace que sea más fácil controlar y encontrar errores. Windows 2k generalmente tiene dos procesos svchost, uno es el proceso de servicio RPCSS (llamada a procedimiento remoto) y el otro es svchost.exe compartido por muchos servicios. En Windows XP, generalmente hay más de 4 procesos de servicio svchost.exe y hay más en el servidor de Windows 2003.
(25) [taskmon.exe] Archivo de proceso: taskmon o taskmon.exe Nombre del proceso: Optimizador de tareas de Windows Descripción: El Optimizador de tareas de Windows monitorea la frecuencia con la que usa un programa y carga los programas usados frecuentemente para organizar y Optimice su disco duro. Introducción: Administrador de tareas, su función es monitorear la ejecución de los programas e informar en cualquier momento. Puede monitorear todos los programas que se ejecutan en modo ventana en la barra de tareas, abrir y finalizar programas y abrir directamente el cuadro de diálogo de apagado del sistema.
(26)[tcpsvcs.exe] Archivo de proceso: tcpsvcs o tcpsvcs.exe Nombre de proceso: Servicios TCP/IP Descripción: La aplicación de servicios TCP/IP admite la conexión a LAN e Internet a través de TCP/IP.
(27)[winlogon.exe] Archivo de proceso: winlogon o winlogon.exe Nombre del proceso: Inicio de sesión de Windows Descripción del proceso: Programa de inicio de sesión de usuario de Windows NT. Este proceso gestiona el inicio y cierre de sesión del usuario. Además, winlogon se activa cuando el usuario presiona CTRL ALT DEL y muestra el cuadro de diálogo de seguridad.
(28) [winmgmt.exe] Archivo de proceso: winmgmt o winmgmt.exe Nombre del proceso: Servicio de administración de Windows Descripción: El Servicio de administración de Windows procesa solicitudes de clientes de aplicaciones a través de la tecnología de datos del Instrumental de administración de Windows (WMI). Introducción: winmgmt es el componente central de la gestión de clientes de win2000. Este proceso se inicializa cuando se conecta una aplicación cliente o cuando el hipervisor requiere sus propios servicios. WinMgmt.exe (Administrador de objetos CIM) y la base de conocimientos (repositorio) son los dos componentes principales de WMI. La base de conocimientos es una base de datos de definiciones de objetos. Es la base de datos central que almacena todos los datos estáticos manejables. Procesamiento de conocimientos. Recolección y manipulación de objetos en la biblioteca y recopilación de información de proveedores WMI. WinMgmt.exe se ejecuta como un servicio en Windows 2k/NT y como un programa exe independiente en Windows 95/98. Los errores de WMI que ocurren en algunas computadoras con sistemas Windows 2k se pueden corregir instalando Windows 2k SP2.
(29)[sistema] Archivo de proceso: sistema o sistema Nombre del proceso: Sistema Windows Descripción del proceso: Proceso del sistema Microsoft Windows. Introducción: Verá este proceso en el administrador de tareas, que es un proceso normal del sistema.