《系统进程与服务.ppt》由会员分享,可在线阅读,更多相关《系统进程与服务.ppt(22页珍藏版)》请在三一办公上搜索。
1、系统进程与服务,石家庄职业技术学院信息工程系,进程概念,进程为应用程序的运行实例,是应用程序的一次动态执行。它是操作系统当前运行的执行程序。当前运行的执行程序里包括:系统管理计算机个体和完成各种操作所必需的程序,你开启或者执行的额外程序,当然也包括你不知道,而自动运行的非法程序(如病毒等)。,进程概念,进程是程序在计算机上的一次执行活动。当你运行一个程序,你就启动了一个进程。显然,程序是死的(静态的),进程是活的(动态的).进程可以分为系统进程和用户进程。凡是用于完成操作系统的各种功能的进程就是系统进程,病毒也常常把自己注册成系统进程,用户进程就是所有由你启动的进程。进程是操作系统进行资源分配
2、的单位,系统进程具有较高的优先权来得到资源。,进程特性,动态性:进程的实质是程序的一次执行过程,进程是动态产生,动态消亡的.并发性:任何进程都可以同其他进程一起并发执行独立性:进程是一个能独立运行的基本单位,同时也是系统分配资源和调度的独立单位.异步性:由于进程间的相互制约,使进程具有执行的间断性,即进程按各自独立的,不可预知的速度向前推进.,进程实践,打开任务管理器(按快捷键Ctrl+Alt+Del),切换到进程页。在这里我们可以看到系统中所有的进程(隐藏的进程在这里看不到),映像名称(有时也称为进程名),这个名字一般就是相应程序的文件名。在左下角,你可以看到你系统中有多少进程了,比如图中是
3、29个.,任务管理器,可以修改任务管理起的显示列。单击查看菜单-选择列。,我现在打开一个画图程序,可以看到在进程列表中多了一个mspaint进程,这个就是画图程序的进程。,CPU 时间,在单核系统中,CPU同时只能处理一件事(一个进程),但是为什么会有这么多进程同时运行呢?系统把CPU时间分成许多的时间片,每个进程每次可以使用一个由时间片规定的CPU时间。这样,多个进程轮流使用CPU时间,如果某个进程在规定的时间内还没有完成它的全部工作,这时也要把CPU让给其他进程,等待下一轮再使用一个时间片的时间,循环轮转,直到结束。由于CPU的执行速度非常快,所以你看上去它们好像是在同时运行的。当进程出现
4、问题并且系统自身无法修正时,就可能出现CPU占用居高不下,甚至是100%,导致其他进程无法占用CPU时间,这时系统的反映就会很慢,很卡.这时可以把有问题的进程结束掉。有些杀毒软件的进程在扫描时也会占用较高,这是正常现象。,Process Explorer 介绍,Process Explorer 是一款免费的增强型任务管理器。它能让使用者了解看不到的在后台执行的处理程序,可以使用它方便地管理你的程序进程。能监视、挂起、重启、强行终止任何程序,包括系统级别的不允许随便终止的关键进程和十分隐蔽的顽固病毒(木马)。它详尽地显示计算机信息:CPU、内存、I/O使用情况,可以显示一个程序调用了哪些动态链接
5、库DLL、句柄、模块、系统进程。以目录树的方式查看进程之间的归属关系,可以对进程进行调试。可以查看进程的路径,以及公司,版本等详细信息。,两个特殊PID的进程,System Idle Process:这个进程的PID为0,虚拟内存占用为0,CPU很高,常常在90以上,事实上,它并不是真正的进程,这个称为系统空闲进程,它的CPU值越高越好。该进程无法结束,没有对应的文件。System:这个进程的PID为4,该进程不能结束,它也没有对应的文件。并且没有后缀名,如果你看到带有后缀名的或是PID不是4的system,则这个进程很可能是病毒进程。如果你看到此进程正常,但CPU占用很高,则说明这个进程被注
6、入了,大部分是木马或病毒的行为,因为正常程序不会去搞它的.,系统进程分析,smss.exe:这是系统中有对应文件的第一个真正进程。文件位于c:windowssystem32smss.exe,这是一个会话管理子系统,负责启动用户会话,系统所有进程的初始化工作都由它来完成,当某些进程出现不可预知的重大错误时,该进程负责调节,无法调节时,系统将停止响应.winlogon.exe:管理用户登陆,注销等。该进程是由父进程smss.exe创建的,正常路径c:windowssystem32winlogon.exe,屏幕保护程序的启动等也是由它来管理的,以system用户来运行。csrss.exe:管理系统图
7、形相关子系统。也是由smss.exe创建的,正常路径c:windowssystem32csrss.exe,系统进程分析,lsass.exe:该进程是多个Windows系统服务的宿主,由winlogon.exe创建,它控制一些服务的启动与关闭,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。services.exe:该进程是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。路径c:windowssystem32services.exe。,系统进程分析,svchost.exe:标准的动态连接库主机处理服务。由services.
8、exe创建,该进程在启动的时候会检查注册表中相应位置来决定需要加载的服务。系统中常常会存在很多个svchost.exe进程,因为不同的服务可能要不同的svchost.exe进程来启动。有的svchost.exe进程只启动了一个服务,而有的可能启动了好几个服务。所以系统中存在多个同样的这个进程并不奇怪。路径c:windowssystem32svchost.exe。alg.exe:即Application Layer Gateway Service,应用程序网关服务,为Internet连接共享和Windows防火墙提供第三方协议插件的支持。,系统进程分析,特殊进程:explorer.exe,这个进
9、程是可以被结束的,结束后桌面消失,重新启动这个进程就行了,在任务管理器中点文件,新建任务,输入explorer.exe后确定即可。特殊进程:taskmgr.exe,这个进程是任务管理器的进程,你结束它试一下,任务管理器关闭了。特殊进程:MDM.exe(Michine Debug Manager),这个进程属于Microsoft Script Editor 的程序文件,主要针对一些应用程序进行除错(Debug)处理,该程序随系统加载后一直处于后台运行状态。,系统进程分析,特殊进程:explorer.exe,这个进程是可以被结束的,结束后桌面消失,重新启动这个进程就行了,在任务管理器中点文件,新建
10、任务,输入explorer.exe后确定即可。特殊进程:taskmgr.exe,这个进程是任务管理器的进程,你结束它试一下,任务管理器关闭了。特殊进程:MDM.exe(Michine Debug Manager),这个进程属于Microsoft Script Editor 的程序文件,主要针对一些应用程序进行除错(Debug)处理,该程序随系统加载后一直处于后台运行状态。,强行关闭“杀”不了的进程,从Windows 2000开始,Windows系统就自带了一个用户调试工具ntsd,它能够杀掉大部分进程,因为被调试器附着的进程会随调试器一起退出,所以只要你在命令行下使用ntsd调出某进程,然后退出ntsd即可终止该进程,而且使用ntsd会自动获得debug权限,因此ntsd能杀掉大部分的进程。单击“开始运行”,输入CMD,打开命令提示符,输入命令:ntsd-c q-p PID(把最后那个PID,改成你要终止的进程的PID)。在进程列表中你可以查到某个进程的PID,例如我们要关闭图中的explorer.exe进程,输入:ntsd-c q p 1376即可。以上参数p表示后面跟随的是进程PID,-c q表示执行退出ntsd的调试命令,从命令行把以上参数传递过去就行了。,系统服务分析,开始-运行-输入services.msc-确定.控制面板,-管理工具-服务.,系统服务分析,
