Windows进程解析

Windows进程解析

1. 进程是程序在计算机上的一次执行活动。运行一个程序时，就启动了一个进程。相对而言，程序是一组代码，是静态的，进程是代码的执行行为，是活的。

2. 在Windows下，进程又被细化为线程，也就是一个进程下有多个能独立运行的更小的单位。

 

windows重要系统进程详解

1. Winlogon    是一个登录/退出进程。winlogon在用户按下CTRL+ALT+DEL时激活，并显示安全对话框。该进程提供了登录所需的类型控制和输入口令所需的对话框。当你输入用户名和口令时，Winlogon将其发送给一个叫做LSASS的子进程。如果你执行对服务器或工作站的本地登录，LSASS进程将在安全数据库（亦即SAM）中查对有关用户名和口令。Winlogon有两个子进程，即服务控制器和LSASS。

2. Explorer进程  在Windows系列的操作系统中，运行时都会启动一个名为Explorer.exe的进程。这个进程主要负责显示系统桌面上的图标以及任务栏。

3. csrss.exe进程 这个进程是用户模式Win32子系统的一部分，CSRSS代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。CSRSS负责控制Windows图形相关子系统，创建或者删除线程和一些16位的虚拟MS-DOS环境。

4. System Idle 这个进程不可以从任务管理器中关掉，是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。所以，在任务管理器中，看到的“System Idle Process”的CPU资源占用恰恰是CPU资源空闲时间。

5. smss.exe 这个进程是不可以从任务管理器中关掉的，是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化，并且对许多活动，包括正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程是正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（就是挂起）。

6. lsass.exe 这个进程是不可以从任务管理器中关掉的。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。 这是一个本地的安全授权服务，它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的msgina.dll来执行。如果授权是成功的，lsass就会产生用户的进入令牌，令牌被用于启动初始的shell，其他由用户初始化的进程也会继承这个令牌（系统服务）。

7. services.exe 大多数的系统核心模式进程是作为系统进程在运行。

8. 缓冲（spooler）服务是管理缓冲池中的打印和传真作业，将文件加载到内存中以便迟后打印（系统服务）。

9. System Idle Process 这个进程在系统不 处理其它线程的时 候分派处理器的时间。