解析Windows XP操作系统进程

揪出可疑进程

系统进程一般包括：基本系统进程和附加进程。基本系统进程是系统运行的必备条件，只有这些进程处于活动状态，系统才能正常运行；而附加进程则不是必需的，你可以按需新建或结束。我们就先来了解一下哪些是最基本的系统进程。

1.基本系统进程

Csrss.exe：这是子系统服务器进程，负责控制Windows创建或删除线程以及16位的虚拟DOS环境。

System Idle Process：这个进程是作为单线程运行在每个处理器上，并在系统不处理其它线程的时候分派处理器的时间。

Smss.exe：这是一个会话管理子系统，负责启动用户会话。

Services.exe：系统服务的管理工具。

Lsass.exe：本地的安全授权服务。

Explorer.exe：资源管理器。

Spoolsv.exe：管理缓冲区中的打印和传真作业。

Svchost.exe：这个进程要着重说明一下，有不少朋友都有这种错觉：若是在“任务管理器”中看到多个Svchost.exe在运行，就觉得是有病毒了。其实并不一定，系统启动的时候，Svchost.exe将检查注册表中的位置来创建需要加载的服务列表，如果多个Svchost.exe同时运行，则表明当前有多组服务处于活动状态；多个DLL文件正在调用它。

至于其它一些附加进程，大多为系统服务，是可以酌情结束运行的。由于其数量众多，我们在此也不便于一一列举。

在系统资源紧张的情况下，我们可以选择结束一些附加进程，以增加资源，起到优化系统的作用。在排除基本系统及附加进程后，新增的陌生进程就值得被大家怀疑了。

2.常见木马进程

广外女生：Diagcfg.exe进程。

WAY无赖小子：Msgsvc.exe进程。

冰河木马：Kernel32.exe进程。

BO2000木马：Umgr32.exe进程。

客观地说，目前主流的木马在配置服务器时，很多都具有自定义进程名称的功能，例如《粉色信鸽》等。因此在判定木马时，其进程名称不止一种，寄希望于通过进程名称，查找木马服务器端的方法，已不太具适用性了。所以，我们需要自己的判断，揪出进程中的“害群之马”。

3.自行分析可疑进程

软件名称：柳叶擦眼

软件版本：V4.00 Beta 1

软件大小：374KB

软件语言：简体中文

应用平台：Win9X/NT/2000/XP

下载地址

我们运行《柳叶擦眼》后，鼠标双击系统托盘中的该程序图标，即可看到主界面（图1）。在此大家将会注意到，程序已为你标示出了系统文件。因此，大家只需注意那些“定义级别”为“未知”及“危险”的进程，这样就大大缩小了我们的判定范围。当你发现有问题的进程后，选定并点击“降妖伏魔”按钮即可封杀该进程。

图 1

为了使程序更趋于我们的使用习惯，大家可以自定义设置。点击左侧视图中的“参数设置”，在右侧界面中可设定是否标示系统文件、正常文件及危险文件；是否所有程序均可运行；是否自动关闭危险文件；还可设定检测刷新时间（图2）。

图 2

我们可看到“定义文件列表”中显示的是程序预置的定义级别及其功能说明。可根据个人机器的程序运行情况，自行添加定义。例如，平日经常使用“Virtual PC”虚拟机等程序，可将它设置为“正常文件”。在“添加文件定义”弹出窗口中（图3），输入“程序名称”及“功能说明”并定义级别即可。另外，也可将已知的木马进程添加为“危险文件”。最后，点击“确定并保存设置”按钮。经过这一番定制后，哪些进程存在问题就一目了然了。

图 3