系統(tǒng)進程與服務(wù).ppt

系統(tǒng)進程與服務(wù),石家莊職業(yè)技術(shù)學院 信息工程系,進程概念,進程為應(yīng)用程序的運行實例，是應(yīng)用程序的一次動態(tài)執(zhí)行。它是操作系統(tǒng)當前運行的執(zhí)行程序。 當前運行的執(zhí)行程序里包括：系統(tǒng)管理計算機個體和完成各種操作所必需的程序，你開啟或者執(zhí)行的額外程序，當然也包括你不知道，而自動運行的非法程序(如病毒等)。,進程概念,進程是程序在計算機上的一次執(zhí)行活動。當你運行一個程序，你就啟動了一個進程。顯然，程序是死的(靜態(tài)的)，進程是活的(動態(tài)的).進程可以分為系統(tǒng)進程和用戶進程。 凡是用于完成操作系統(tǒng)的各種功能的進程就是系統(tǒng)進程，病毒也常常把自己注冊成系統(tǒng)進程，用戶進程就是所有由你啟動的進程。進程是操作系統(tǒng)進行資源分配的單位，系統(tǒng)進程具有較高的優(yōu)先權(quán)來得到資源。,進程特性,動態(tài)性：進程的實質(zhì)是程序的一次執(zhí)行過程，進程是動態(tài)產(chǎn)生，動態(tài)消亡的. 并發(fā)性：任何進程都可以同其他進程一起并發(fā)執(zhí)行 獨立性：進程是一個能獨立運行的基本單位，同時也是系統(tǒng)分配資源和調(diào)度的獨立單位. 異步性：由于進程間的相互制約，使進程具有執(zhí)行的間斷性，即進程按各自獨立的，不可預(yù)知的速度向前推進.,進程實踐,打開任務(wù)管理器(按快捷鍵Ctrl+Alt+ Del)，切換到進程頁。在這里我們可以看到系統(tǒng)中所有的進程(隱藏的進程在這里看不到)，映像名稱（有時也稱為進程名），這個名字一般就是相應(yīng)程序的文件名。在左下角，你可以看到你系統(tǒng)中有多少進程了，比如圖中是29個.,任務(wù)管理器,可以修改任務(wù)管理起的顯示列。單擊查看菜單-選擇列。,我現(xiàn)在打開一個畫圖程序，可以看到在進程列表中多了一個mspaint進程，這個就是畫圖程序的進程 。,CPU 時間,在單核系統(tǒng)中，CPU同時只能處理一件事(一個進程)， 但是為什么會有這么多進程同時運行呢？ 系統(tǒng)把CPU時間分成許多的時間片，每個進程每次可以使用一個由時間片規(guī)定的CPU時間。這樣，多個進程輪流使用CPU時間，如果某個進程在規(guī)定的時間內(nèi)還沒有完成它的全部工作，這時也要把CPU讓給其他進程，等待下一輪再使用一個時間片的時間，循環(huán)輪轉(zhuǎn)，直到結(jié)束。由于CPU的執(zhí)行速度非?？欤阅憧瓷先ニ鼈兒孟袷窃谕瑫r運行的。 當進程出現(xiàn)問題并且系統(tǒng)自身無法修正時，就可能出現(xiàn)CPU占用居高不下，甚至是100%，導(dǎo)致其他進程無法占用CPU時間，這時系統(tǒng)的反映就會很慢，很卡.這時可以把有問題的進程結(jié)束掉。有些殺毒軟件的進程在掃描時也會占用較高，這是正?，F(xiàn)象。,Process Explorer 介紹,Process Explorer 是一款免費的增強型任務(wù)管理器。它能讓使用者了解看不到的在后臺執(zhí)行的處理程序，可以使用它方便地管理你的程序進程。能監(jiān)視、掛起、重啟、強行終止任何程序，包括系統(tǒng)級別的不允許隨便終止的關(guān)鍵進程和十分隱蔽的頑固病毒（木馬）。它詳盡地顯示計算機信息: CPU、內(nèi)存、I/O使用情況，可以顯示一個程序調(diào)用了哪些動態(tài)鏈接庫DLL、句柄、模塊、系統(tǒng)進程。以目錄樹的方式查看進程之間的歸屬關(guān)系，可以對進程進行調(diào)試。 可以查看進程的路徑，以及公司，版本等詳細信息。,兩個特殊PID的進程,System Idle Process：這個進程的PID為0，虛擬內(nèi)存占用為0，CPU很高，常常在90以上，事實上，它并不是真正的進程，這個稱為系統(tǒng)空閑進程，它的CPU值越高越好。該進程無法結(jié)束，沒有對應(yīng)的文件。 System： 這個進程的PID為4，該進程不能結(jié)束，它也沒有對應(yīng)的文件。并且沒有后綴名，如果你看到帶有后綴名的或是PID不是4的system，則這個進程很可能是病毒進程。如果你看到此進程正常，但CPU占用很高，則說明這個進程被注入了，大部分是木馬或病毒的行為，因為正常程序不會去搞它的.,系統(tǒng)進程分析,smss.exe ：這是系統(tǒng)中有對應(yīng)文件的第一個真正進程。文件位于c：windowssystem32smss.exe，這是一個會話管理子系統(tǒng)，負責啟動用戶會話，系統(tǒng)所有進程的初始化工作都由它來完成，當某些進程出現(xiàn)不可預(yù)知的重大錯誤時，該進程負責調(diào)節(jié)，無法調(diào)節(jié)時，系統(tǒng)將停止響應(yīng). winlogon.exe ：管理用戶登陸，注銷等。該進程是由父進程smss.exe創(chuàng)建的，正常路徑c：windowssystem32winlogon.exe，屏幕保護程序的啟動等也是由它來管理的，以system用戶來運行。 csrss.exe ： 管理系統(tǒng)圖形相關(guān)子系統(tǒng)。也是由smss.exe創(chuàng)建的，正常路徑c：windowssystem32csrss.exe,系統(tǒng)進程分析,lsass.exe ：該進程是多個Windows系統(tǒng)服務(wù)的宿主，由winlogon.exe創(chuàng)建，它控制一些服務(wù)的啟動與關(guān)閉，用于微軟Windows系統(tǒng)的安全機制。它用于本地安全和登陸策略。 services.exe ：該進程是微軟Windows操作系統(tǒng)的一部分。用于管理啟動和停止服務(wù)。該進程也會處理在計算機啟動和關(guān)機時運行的服務(wù)。路徑c：windowssystem32services.exe。,系統(tǒng)進程分析,svchost.exe ：標準的動態(tài)連接庫主機處理服務(wù)。由services.exe創(chuàng)建，該進程在啟動的時候會檢查注冊表中相應(yīng)位置來決定需要加載的服務(wù)。系統(tǒng)中常常會存在很多個svchost.exe進程，因為不同的服務(wù)可能要不同的svchost.exe進程來啟動。有的svchost.exe進程只啟動了一個服務(wù)，而有的可能啟動了好幾個服務(wù)。所以系統(tǒng)中存在多個同樣的這個進程并不奇怪。路徑c：windowssystem32svchost.exe。 alg.exe ：即Application Layer Gateway Service，應(yīng)用程序網(wǎng)關(guān)服務(wù)，為Internet連接共享和Windows防火墻提供第三方協(xié)議插件的支持。,系統(tǒng)進程分析,特殊進程：explorer.exe，這個進程是可以被結(jié)束的，結(jié)束后桌面消失，重新啟動這個進程就行了，在任務(wù)管理器中點文件，新建任務(wù)，輸入explorer.exe后確定即可。 特殊進程：taskmgr.exe，這個進程是任務(wù)管理器的進程，你結(jié)束它試一下，任務(wù)管理器關(guān)閉了。 特殊進程：MDM.exe(Michine Debug Manager), 這個進程屬于Microsoft Script Editor 的程序文件，主要針對一些應(yīng)用程序進行除錯（Debug）處理，該程序隨系統(tǒng)加載后一直處于后臺運行狀態(tài)。,系統(tǒng)進程分析,特殊進程：explorer.exe，這個進程是可以被結(jié)束的，結(jié)束后桌面消失，重新啟動這個進程就行了，在任務(wù)管理器中點文件，新建任務(wù)，輸入explorer.exe后確定即可。 特殊進程：taskmgr.exe，這個進程是任務(wù)管理器的進程，你結(jié)束它試一下，任務(wù)管理器關(guān)閉了。 特殊進程：MDM.exe(Michine Debug Manager), 這個進程屬于Microsoft Script Editor 的程序文件，主要針對一些應(yīng)用程序進行除錯（Debug）處理，該程序隨系統(tǒng)加載后一直處于后臺運行狀態(tài)。,強行關(guān)閉“殺”不了的進程,從Windows 2000開始，Windows系統(tǒng)就自帶了一個用戶調(diào)試工具ntsd，它能夠殺掉大部分進程，因為被調(diào)試器附著的進程會隨調(diào)試器一起退出，所以只要你在命令行下使用ntsd調(diào)出某進程，然后退出ntsd即可終止該進程，而且使用ntsd會自動獲得debug權(quán)限，因此ntsd能殺掉大部分的進程。 單擊“開始運行”，輸入CMD，打開命令提示符，輸入命令：ntsd -c q -p PID（把最后那個PID，改成你要終止的進程的PID）。在進程列表中你可以查到某個進