Windows7进程

bijiafeng

进程简述

    进程的概念主要有两点：第一，进程是一个实体。每一个进程都有它自己的地址空间，一般情况下，包括文本区域（text region）、数据区域（data region）和堆栈（stack region）。文本区域存储处理器执行的代码；数据区域存储变量和进程执行期间使用的动态分配的内存；堆栈区域存储着活动过程调用的指令和本地变量。第二，进程是一个“执行中的程序”。程序是一个没有生命的实体，只有处理器赋予程序生命时，它才能成为一个活动的实体，我们称其为进程。

    进程是操作系统中最基本、重要的概念。是多道程序系统出现后，为了刻画系统内部出现的动态情况，描述系统内部各道程序的活动规律引进的一个概念,所有多道程序设计操作系统都建立在进程的基础上。

简单的说：进程就是程序的执行过程。

系统中常见的进程

IM.exe *32  这个是聊天工具的主进程，一般的可以在描述中找到相关信息

360se.exe *32  这个是360浏览器的进程，一般会有多个该进程，此进程CPU、内存占用很高的时候会影响系统运行速度。

AliIM.exe *32  阿里旺旺进程

WINWORD.exe *32  微软办公软件Word进程，出现此进程时Word软件不一定正在使用，有时Word使用异常多数是由于该进程引起

Foxmail.exe *32  腾讯Foxmail邮箱客户端进程，此进程容易出的问题是明明关闭了Foxmail，但进程依然存在，此时Foxmail会工作不正常

EXCEL.exe *32  微软办公软件EXCEL进程，出现此进程时EXCEL软件不一定正在使用，有时EXCEL使用异常多数是由于该进程引起

mmvdhost.exe *32  Citrix Shell Support进程

urlproc.exe *32  360浏览器的安全红绿灯扩展程序文件，随浏览器启动

picaShell.exe *32  Citrix Shell Support进程

PicaSessionMgr.exe  Citrix服务进程

Fetion.exe *32  中国移动飞信客户端进程

picaDispMgr.exe  Citrix服务进程

VDARedirector.exe  Citrix VDA服务进程

iexplore.exe （*32）  IE浏览器进程，不是资源管理器，注意与explorer.exe区分开

QPlusDesktop.exe *32  腾讯Q+桌面进程，虚拟化中没有预装Q+桌面

QPlush.exe *32  腾讯Q+主进程

explorer.exe *32  windows资源管理器进程，无此进程将见不到桌面；注意与iexplore.exe进程区分开

csrss.exe  这是windows的核心部分之一，全称Client Server Runtime Process .客户端服务子系统，用以控制Windows图形相关子系统。有时候中病毒时此进程受到牵连

taskhost.exe *32  taskhost.exe进程是Windows7自带的一个进程,是负责Windows7运行计划的,简单的来说也可以称作计划任务程序,这个程序也是Windows7的新特色,通过此程序可以定时设置系统中的相关操作,让操作系统到时间就执行您所设置的相关操作非常方便,如果关闭此进程计划的定时任务就会失效

dwm.exe  微软Microsoft®为其Windows 7/Vista操作系统定义的系统进程，跟桌面相关

mobsync.exe  Internet Explorer相关程序，用于同步离线网页

rundll32.exe  用于在内存中运行DLL文件，它们会在应用程序中被使用。这个程序对你系统的正常运行是非常重要的

taskmgr.exe  windows任务管理器

winlogon.exe  Windows NT 用户登陆程序，管理用户登录和退出。该进程常被病毒或木马伪装，常见的病毒是大写名字。

利用进程处理问题

常见的问题有：

• Foxmail7输入收件人时无法顺利输入字符、签名丢失…..
• 软件（wps也是）双击后没反应，一般由于某个进程卡死后造成后续进程无法顺利运行
• 欢迎界面过后显示蓝（色）屏，无任务栏、无桌面图标，explorer.exe进程未启动或者该进程中病毒
  

一般的进程名称都不带数字，而且都是有含义的单词，如果发现带有阿拉伯数字的进程可以到网上查一下，看一下是不是某个程序的进程，比如ComyTool20.exe、360se.exe等。如果名称中带有32、64、86这三组数字多数是用来区分32位和64位进程的。如果出现杂乱无序的字母或数字构成的进程名字一般来讲都是病毒进程。

病毒进程隐藏三法

　　当我们确认系统中存在病毒，但是通过“任务管理器”查看系统中的进程时又找不出异样的进程，这说明病毒采用了一些隐藏措施，总结出来有三法：

1.以假乱真

　　系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发现过系统中存在这样的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下，发现区别了么？这是病毒经常使用的伎俩，目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却完全不同。又或者多一个字母或少一个字母，例如explorer.exe和iexplore.exe本来就容易搞混，再出现个iexplorer.exe就更加混乱了。如果用户不仔细，一般就忽略了，病毒的进程就逃过了一劫。

2.偷梁换柱

　　如果用户比较心细，那么上面这招就没用了，病毒会被就地正法。于是乎，病毒也学聪明了，懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe，和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢？非也，其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下（Windows2000则是C:\WINNT\system32目录），如果病毒将自身复制到“C:\WINDOWS\”中，并改名为svchost.exe，运行后，我们在“任务管理器”中看到的也是svchost.exe，和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗？

3.借尸还魂

　　除了上文中的两种方法外，病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术，将病毒运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了，除非我们借助专业的进程检测工具，否则要想发现隐藏在其中的病毒是很困难的。

rundll32.exe

　　常被病毒冒充的进程名有：rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数，系统中存在多少个Rundll32.exe进程，就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的，他可以控制系统中的一些dll文件，举个例子，在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”，回车后，系统就会快速切换到登录界面了。rundll32.exe的路径为“C:\Windows\system32”，在别的目录则可以判定是病毒。