《系统进程与服务》PPT课件.ppt

系统进程与服务 石家庄职业技术学院信息工程系 进程概念 进程为应用程序的运行实例 是应用程序的一次动态执行 它是操作系统当前运行的执行程序 当前运行的执行程序里包括 系统管理计算机个体和完成各种操作所必需的程序 你开启或者执行的额外程序 当然也包括你不知道 而自动运行的非法程序 如病毒等 进程概念 进程是程序在计算机上的一次执行活动 当你运行一个程序 你就启动了一个进程 显然 程序是死的 静态的 进程是活的 动态的 进程可以分为系统进程和用户进程 凡是用于完成操作系统的各种功能的进程就是系统进程 病毒也常常把自己注册成系统进程 用户进程就是所有由你启动的进程 进程是操作系统进行资源分配的单位 系统进程具有较高的优先权来得到资源 进程特性 动态性 进程的实质是程序的一次执行过程 进程是动态产生 动态消亡的 并发性 任何进程都可以同其他进程一起并发执行独立性 进程是一个能独立运行的基本单位 同时也是系统分配资源和调度的独立单位 异步性 由于进程间的相互制约 使进程具有执行的间断性 即进程按各自独立的 不可预知的速度向前推进 进程实践 打开任务管理器 按快捷键Ctrl Alt Del 切换到进程页 在这里我们可以看到系统中所有的进程 隐藏的进程在这里看不到 映像名称 有时也称为进程名 这个名字一般就是相应程序的文件名 在左下角 你可以看到你系统中有多少进程了 比如图中是29个 任务管理器 可以修改任务管理起的显示列 单击查看菜单 选择列 我现在打开一个画图程序 可以看到在进程列表中多了一个mspaint进程 这个就是画图程序的进程 CPU时间 在单核系统中 CPU同时只能处理一件事 一个进程 但是为什么会有这么多进程同时运行呢 系统把CPU时间分成许多的时间片 每个进程每次可以使用一个由时间片规定的CPU时间 这样 多个进程轮流使用CPU时间 如果某个进程在规定的时间内还没有完成它的全部工作 这时也要把CPU让给其他进程 等待下一轮再使用一个时间片的时间 循环轮转 直到结束 由于CPU的执行速度非常快 所以你看上去它们好像是在同时运行的 当进程出现问题并且系统自身无法修正时 就可能出现CPU占用居高不下 甚至是100 导致其他进程无法占用CPU时间 这时系统的反映就会很慢 很卡 这时可以把有问题的进程结束掉 有些杀毒软件的进程在扫描时也会占用较高 这是正常现象 ProcessExplorer介绍 ProcessExplorer是一款免费的增强型任务管理器 它能让使用者了解看不到的在后台执行的处理程序 可以使用它方便地管理你的程序进程 能监视 挂起 重启 强行终止任何程序 包括系统级别的不允许随便终止的关键进程和十分隐蔽的顽固病毒 木马 它详尽地显示计算机信息 CPU 内存 I O使用情况 可以显示一个程序调用了哪些动态链接库DLL 句柄 模块 系统进程 以目录树的方式查看进程之间的归属关系 可以对进程进行调试 可以查看进程的路径 以及公司 版本等详细信息 两个特殊PID的进程 SystemIdleProcess 这个进程的PID为0 虚拟内存占用为0 CPU很高 常常在90以上 事实上 它并不是真正的进程 这个称为系统空闲进程 它的CPU值越高越好 该进程无法结束 没有对应的文件 System 这个进程的PID为4 该进程不能结束 它也没有对应的文件 并且没有后缀名 如果你看到带有后缀名的或是PID不是4的system 则这个进程很可能是病毒进程 如果你看到此进程正常 但CPU占用很高 则说明这个进程被注入了 大部分是木马或病毒的行为 因为正常程序不会去搞它的 系统进程分析 smss exe 这是系统中有对应文件的第一个真正进程 文件位于c windows system32 smss exe 这是一个会话管理子系统 负责启动用户会话 系统所有进程的初始化工作都由它来完成 当某些进程出现不可预知的重大错误时 该进程负责调节 无法调节时 系统将停止响应 winlogon exe 管理用户登陆 注销等 该进程是由父进程smss exe创建的 正常路径c windows system32 winlogon exe 屏幕保护程序的启动等也是由它来管理的 以system用户来运行 csrss exe 管理系统图形相关子系统 也是由smss exe创建的 正常路径c windows system32 csrss exe 系统进程分析 lsass exe 该进程是多个Windows系统服务的宿主 由winlogon exe创建 它控制一些服务的启动与关闭 用于微软Windows系统的安全机制 它用于本地安全和登陆策略 services exe 该进程是微软Windows操作系统的一部分 用于管理启动和停止服务 该进程也会处理在计算机启动和关机时运行的服务 路径c windows system32 services exe 系统进程分析 svchost exe 标准的动态连接库主机处理服务 由services exe创建 该进程在启动的时候会检查注册表中相应位置来决定需要加载的服务 系统中常常会存在很多个svchost exe进程 因为不同的服务可能要不同的svchost exe进程来启动 有的svchost exe进程只启动了一个服务 而有的可能启动了好几个服务 所以系统中存在多个同样的这个进程并不奇怪 路径c windows system32 svchost exe alg exe 即ApplicationLayerGatewayService 应用程序网关服务 为Internet连接共享和Windows防火墙提供第三方协议插件的支持 系统进程分析 特殊进程 explorer exe 这个进程是可以被结束的 结束后桌面消失 重新启动这个进程就行了 在任务管理器中点文件 新建任务 输入explorer exe后确定即可 特殊进程 taskmgr exe 这个进程是任务管理器的进程 你结束它试一下 任务管理器关闭了 特殊进程 MDM exe MichineDebugManager 这个进程属于MicrosoftScriptEditor的程序文件 主要针对一些应用程序进行除错 Debug 处理 该程序随系统加载后一直处于后台运行状态 系统进程分析 特殊进程 explorer exe 这个进程是可以被结束的 结束后桌面消失 重新启动这个进程就行了 在任务管理器中点文件 新建任务 输入explorer exe后确定即可 特殊进程 taskmgr exe 这个进程是任务管理器的进程 你结束它试一下 任务管理器关闭了 特殊进程 MDM exe MichineDebugManager 这个进程属于MicrosoftScriptEditor的程序文件 主要针对一些应用程序进行除错 Debug 处理 该程序随系统加载后一直处于后台运行状态 强行关闭 杀 不了的进程 从Windows2000开始 Windows系统就自带了一个用户调试工具ntsd 它能够杀掉大部分进程 因为被调试器附着的进程会随调试器一起退出 所以只要你在命令行下使用ntsd调出某进程 然后退出ntsd即可终止该进程 而且使用ntsd会自动获得debug权限 因此ntsd能杀掉大部分的进程 单击 开始 运行 输入CMD 打开命令提示符 输入命令 ntsd cq pPID 把最后那个PID 改成你要终止的进程的PID 在进程列表中你可以查到某个进程的PID 例如我们要关闭图中的explorer exe进程 输入 ntsd cq p1376即可 以上参数 p表示后面跟随的是进程PID cq表示执行退出ntsd的调试命令 从命令行把以上参数传递过去就行了 系统服务分析 开始 运行 输入services msc 确定 控制面板 管理工具 服务 系统服务分析