下面針對hejb的提問，我先讓朋友們瞭解一下在任務管理器裡的進程。其實在談到進程時，還要涉及到線程的概念。 進程是指在系統中正在運

行的一個應用程序；線程是系統分配處理器時間資源的基本單元，或者說進程之內獨立執行的一個單元。對於操 作系統而言，其調度單元是線

程。一個進程至少包括一個線程，通常將該線程稱為主線程。一個進程從主線程的執行開始進而創建一個或多個附加線程，就是所謂基於多線

程的多任務。
那進程與線程的區別到底是什麼？進程是執行程序的實例。例如，當你運行記事本程序（Nodepad）時，你就創建了一個用來容納組成

Notepad.exe的代碼及其所需調用動態鏈接庫的進程。每個進程均運行在其專用且受保護的地址空間內。因此，如果你同時運行記事本的兩個拷

貝，該程序正在使用的數據在各自實例中是彼此獨立的。在記事本的一個拷貝中將無法看到該程序的第二個實例打開的數據。
我這裡以沙箱為例進行闡述。一個進程就好比一個沙箱。線程就如同沙箱中的孩子們。孩子們在沙箱子中跑來跑去，並且可能將沙子攘到別的

孩子眼中，他們會互相踢打或撕咬。但是，這些沙箱略有不同之處就在於每個沙箱完全由牆壁和頂棚封閉起來，無論箱中的孩子如何狠命地攘

沙，他們也不會影響到其它沙箱中的其他孩子。因此，每個進程就像一個被保護起來的沙箱。未經許可，無人可以進出。
實際上線程運行而進程不運行。兩個進程彼此獲得專用數據或內存的唯一途徑就是通過協議來共享內存塊。這是一種協作策略。下面讓我們分

析一下任務管理器裡的進程選項卡。
這裡的進程是指一系列進程，這些進程是由它們所運行的可執行程序實例來識別的，這就是進程選項卡中的第一列給出了映射名稱的原因。請

注意，這裡並沒有進程名稱列。進程並不擁有獨立於其所歸屬實例的映射名稱。換言之，如果你運行5個記事本拷貝，你將會看到5個稱為

Notepad.exe的進程。它們是如何彼此區別的呢？其中一種方式是通過它們的進程ID，因為每個進程都擁有其獨一無二的編碼。該進程ID由

Windows NT或Windows 2000生成，並可以循環使用。因此，進程ID將不會越編越大，它們能夠得到循環利用。

第三列是被進程中的線程所佔用的CPU時間百分比。它不是CPU的編號，而是被進程佔用的CPU時間百分比。此時我的系統基本上是空閒的。儘管

系統看上去每一秒左右都只使用一小部分CPU時間，但該系統空閒進程仍舊耗用了大約99%的CPU時間。

第四列，CPU時間，是CPU被進程中的線程累計佔用的小時、分鐘及秒數。請注意，我對進程中的線程使用佔用一詞。這並不一定意味著那就是

進程已耗用的CPU時間總和，因為，如我們一會兒將看到的，NT計時的方式是，當特定的時鐘間隔激發時，無論誰恰巧處於當前的線程中，它都

將計算到CPU週期之內。通常情況下，在大多數NT系統中，時鐘以10毫秒的間隔運行。每10毫秒NT的心臟就跳動一下。有一些驅動程序代碼片段

運行並顯示誰是當前的線程。讓我們將CPU時間的最後10毫秒記在它的帳上。因此，如果一個線程開始運行，並在持續運行8毫秒後完成，接著

，第二個線程開始運行並持續了2毫秒，這時，時鐘激發，請猜一猜這整整10毫秒的時鐘週期到底記在了哪個線程的帳上？答案是第二個線程。

因此，NT中存在一些固有的不準確性，而NT恰是以這種方式進行計時，實際情況也如是，大多數32位操作系統中都存在一個基於間隔的計時機

制。請記住這一點，因為，有時當你觀察線程所耗用的CPU總和時，會出現儘管該線程或許看上去已運行過數十萬次，但其CPU時間佔用量卻可

能是零或非常短暫的現象，那麼，上述解釋便是原因所在。上述也就是我們在任務管理器的進程選項卡中所能看到的基本信息列。

說到這裡,我想大家對進程有一定的認識了吧,最後我對平時見到的各進程項細述一下,有哪些是能關的,有哪些是不能關的........

最基本的系統進程（也就是說，這些進程是系統運行的基本條件，有了這些進程，系統就能正常運行）:
smss.exe Session Manager
csrss.exe 子系統服務器進程
winlogon.exe 管理用戶登錄
services.exe 包含很多系統服務
lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。(系統服務)
產生會話密鑰以及授予用於交互式客戶/服務器驗證的服務憑據(ticket)。(系統服務)
svchost.exe 包含很多系統服務
svchost.exe
SPOOLSV.EXE 將文件加載到內存中以便遲後打印。(系統服務)
explorer.exe 資源管理器
internat.exe 托盤區的拼音圖標
附加的系統進程（這些進程不是必要的，你可以根據需要通過服務管理器來增加或減少）:
mstask.exe 允許程序在指定時間運行。(系統服務)
regsvc.exe 允許遠程註冊表操作。(系統服務)
winmgmt.exe 提供系統管理信息(系統服務)。
inetinfo.exe 通過 Internet 信息服務的管理單元提供 FTP 連接和管理。(系統服務)
tlntsvr.exe 允許遠程用戶登錄到系統並且使用命令行運行控制台程序。(系統服務)
允許通過 Internet 信息服務的管理單元管理 Web 和 FTP 服務。(系統服務)
tftpd.exe 實現 TFTP Internet 標準。該標準不要求用戶名和密碼。遠程安裝服務的一部分。(系統服務)
termsrv.exe 提供多會話環境允許客戶端設備訪問虛擬的 Windows 2000 Professional 桌面會話以及運行在服務器上的基
於 Windows 的程序。(系統服務)
dns.exe 應答對域名系統(DNS)名稱的查詢和更新請求。(系統服務)
以下服務很少會用到，上面的服務都對安全有害，如果不是必要的應該關掉
tcpsvcs.exe 提供在 PXE 可遠程啟動客戶計算機上遠程安裝 Windows 2000 Professional 的能力。(系統服務)
支持以下 TCP/IP 服務：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系統服務)
ismserv.exe 允許在 Windows Advanced Server 站點間發送和接收消息。(系統服務)
ups.exe 管理連接到計算機的不間斷電源(UPS)。(系統服務)
wins.exe 為註冊和解析 NetBIOS 型名稱的 TCP/IP 客戶提供 NetBIOS 名稱服務。(系統服務)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多個服務器間維護文件目錄內容的文件同步。(系統服務)
RsSub.exe 控制用來遠程儲存數據的媒體。(系統服務)
locator.exe 管理 RPC 名稱服務數據庫。(系統服務)
lserver.exe 註冊客戶端許可證。(系統服務)
dfssvc.exe 管理分佈於局域網或廣域網的邏輯卷。(系統服務)
clipsrv.exe 支持「剪貼簿查看器」，以便可以從遠程剪貼簿查閱剪貼頁面。(系統服務)
msdtc.exe 並列事務，是分佈於兩個以上的數據庫，消息隊列，文件系統，或其它事務保護資源管理器。(系統服務)
faxsvc.exe 幫助您發送和接收傳真。(系統服務)
cisvc.exe Indexing Service(system service)
dmadmin.exe 磁盤管理請求的系統管理服務。(系統服務)
mnmsrvc.exe 允許有權限的用戶使用 NetMeeting 遠程訪問 Windows 桌面。(系統服務)
netdde.exe 提供動態數據交換 (DDE) 的網絡傳輸和安全特性。(系統服務)
smlogsvc.exe 配置性能日誌和警報。(系統服務)
rsvp.exe 為依賴質量服務(QoS)的程序和控制應用程序提供網絡信號和本地通信控制安裝功能。(系統服務)
RsEng.exe 協調用來儲存不常用數據的服務和管理工具。(系統服務)
RsFsa.exe 管理遠程儲存的文件的操作。(系統服務)
grovel.exe 掃瞄零備份存儲(SIS)捲上的重複文件，並且將重複文件指向一個數據存儲點，以節省磁盤空間。(系統服務)
SCardSvr.exe 對插入在計算機智能卡閱讀器中的智能卡進行管理和訪問控制。(系統服務)
snmp.exe 包含代理程序可以監視網絡設備的活動並且向網絡控制台工作站匯報。(系統服務)
snmptrap.exe 接收由本地或遠程 SNMP 代理程序產生的陷阱消息，然後將消息傳遞到運行在這台計算機上 SNMP 管理程序
。(系統服務)
UtilMan.exe 從一個窗口中啟動和配置輔助工具。(系統服務)
msiexec.exe 依據 .MSI 文件中包含的命令來安裝、修復以及刪除軟件。(系統服務)

詳細說明：

win2k運行進程
Svchost.exe
Svchost.exe文件對那些從動態連接庫中運行的服務來說是一個普通的主機進程名。Svhost.exe文件定位
在系統的%systemroot%\system32文件夾下。在啟動的時候，Svchost.exe檢查註冊表中的位置來構建需要
加載的服務列表。這就會使多個Svchost.exe在同一時間運行。每個Svchost.exe的回話期間都包含一組服務，
以至於單獨的服務必須依靠Svchost.exe怎樣和在那裡啟動。這樣就更加容易控制和查找錯誤。
Svchost.exe 組是用下面的註冊表值來識別。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每個在這個鍵下的值代表一個獨立的Svchost組，並且當你正在看活動的進程時，它顯示作為一個單獨的
例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括運行在Svchost組內的服務。每個Svchost組都包含一個
或多個從註冊表值中選取的服務名，這個服務的參數值包含了一個ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service

更多的信息
為了能看到正在運行在Svchost列表中的服務。
開始－運行－敲入cmd
然後在敲入 tlist -s （tlist 應該是win2k工具箱裡的鼕鼕）
Tlist 顯示一個活動進程的列表。開關 -s 顯示在每個進程中的活動服務列表。如果想知道更多的關於
進程的信息，可以敲 tlist pid。

Tlist 顯示Svchost.exe運行的兩個例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkstation,LmHosts,Messenger,PlugPlay,
ProtectedStorage,seclogon,TrkWks,W32Time,Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在這個例子中註冊表設置了兩個組。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess
Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs

smss.exe

csrss.exe

這個是用戶模式Win32子系統的一部分。csrss代表客戶/服務器運行子系統而且是一個基本的子系統
必須一直運行。csrss 負責控制windows，創建或者刪除線程和一些16位的虛擬MS-DOS環境。

explorer.exe
這是一個用戶的shell（我實在是不知道怎麼翻譯shell），在我們看起來就像任務條，桌面等等。這個
進程並不是像你想像的那樣是作為一個重要的進程運行在windows中，你可以從任務管理器中停掉它，或者重新啟動。
通常不會對系統產生什麼負面影響。

internat.exe

這個進程是可以從任務管理器中關掉的。
internat.exe在啟動的時候開始運行。它加載由用戶指定的不同的輸入點。輸入點是從註冊表的這個位置
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加載內容的。
internat.exe 加載「EN」圖標進入系統的圖標區，允許使用者可以很容易的轉換不同的輸入點。
當進程停掉的時候，圖標就會消失，但是輸入點仍然可以通過控制面板來改變。

lsass.exe
這個進程是不可以從任務管理器中關掉的。
這是一個本地的安全授權服務，並且它會為使用winlogon服務的授權用戶生成一個進程。這個進程是
通過使用授權的包，例如默認的msgina.dll來執行的。如果授權是成功的，lsass就會產生用戶的進入
令牌，令牌別使用啟動初始的shell。其他的由用戶初始化的進程會繼承這個令牌的。

mstask.exe
這個進程是不可以從任務管理器中關掉的。
這是一個任務調度服務，負責用戶事先決定在某一時間運行的任務的運行。

smss.exe
這個進程是不可以從任務管理器中關掉的。
這是一個會話管理子系統，負責啟動用戶會話。這個進程是通過系統進程初始化的並且對許多活動的，
包括已經正在運行的Winlogon，Win32（Csrss.exe）線程和設定的系統變量作出反映。在它啟動這些
進程後，它等待Winlogon或者Csrss結束。如果這些過程時正常的，系統就關掉了。如果發生了什麼
不可預料的事情，smss.exe就會讓系統停止響應（就是掛起）。

spoolsv.exe
這個進程是不可以從任務管理器中關掉的。
緩衝（spooler）服務是管理緩衝池中的打印和傳真作業。

service.exe
這個進程是不可以從任務管理器中關掉的。
大多數的系統核心模式進程是作為系統進程在運行。

System Idle Process
這個進程是不可以從任務管理器中關掉的。
這個進程是作為單線程運行在每個處理器上，並在系統不處理其他線程的時候分派處理器的時間。

winlogon.exe
這個進程是管理用戶登錄和推出的。而且winlogon在用戶按下CTRL+ALT+DEL時就激活了，顯示安全對話框。

winmgmt.exe
winmgmt是win2000客戶端管理的核心組件。當客戶端應用程序連接或當管理程序需要他本身的服務時這個進程初始化

taskmagr.exe
這個進程當然就是任務管理器了.不要忘喲.