系统进程与服务.ppt

系统进程与服务 石家庄职业技术学院 信息工程系 进程概念 进程为应用程序的运行实例，是应用程序的一次动态执行。它是操作系统当前运行的执行程序。 当前运行的执行程序里包括：系统管理计算机个体和完成各种操作所必需的程序，你开启或者执行的额外程序，当然也包括你不知道，而自动运行的非法程序(如病毒等)。 进程概念 进程是程序在计算机上的一次执行活动。当你运行一个程序，你就启动了一个进程。显然，程序是死的(静态的)，进程是活的(动态的).进程可以分为系统进程和用户进程。 凡是用于完成操作系统的各种功能的进程就是系统进程，病毒也常常把自己注册成系统进程，用户进程就是所有由你启动的进程。进程是操作系统进行资源分配的单位，系统进程具有较高的优先权来得到资源。 进程特性 动态性：进程的实质是程序的一次执行过程，进程是动态产生，动态消亡的. 并发性：任何进程都可以同其他进程一起并发执行 独立性：进程是一个能独立运行的基本单位，同时也是系统分配资源和调度的独立单位. 异步性：由于进程间的相互制约，使进程具有执行的间断性，即进程按各自独立的，不可预知的速度向前推进. 进程实践 打开任务管理器(按快捷键Ctrl+Alt+ Del)，切换到进程页。在这里我们可以看到系统中所有的进程(隐藏的进程在这里看不到)，映像名称（有时也称为进程名），这个名字一般就是相应程序的文件名。在左下角，你可以看到你系统中有多少进程了，比如图中是29个. 任务管理器 CPU 时间 在单核系统中，CPU同时只能处理一件事(一个进程)， 但是为什么会有这么多进程同时运行呢？ 系统把CPU时间分成许多的时间片，每个进程每次可以使用一个由时间片规定的CPU时间。这样，多个进程轮流使用CPU时间，如果某个进程在规定的时间内还没有完成它的全部工作，这时也要把CPU让给其他进程，等待下一轮再使用一个时间片的时间，循环轮转，直到结束。由于CPU的执行速度非常快，所以你看上去它们好像是在同时运行的。 当进程出现问题并且系统自身无法修正时，就可能出现CPU占用居高不下，甚至是100%，导致其他进程无法占用CPU时间，这时系统的反映就会很慢，很卡.这时可以把有问题的进程结束掉。有些杀毒软件的进程在扫描时也会占用较高，这是正常现象。 Process Explorer 介绍 Process Explorer 是一款免费的增强型任务管理器。它能让使用者了解看不到的在后台执行的处理程序，可以使用它方便地管理你的程序进程。能监视、挂起、重启、强行终止任何程序，包括系统级别的不允许随便终止的关键进程和十分隐蔽的顽固病毒（木马）。它详尽地显示计算机信息: CPU、内存、I/O使用情况，可以显示一个程序调用了哪些动态链接库DLL、句柄、模块、系统进程。以目录树的方式查看进程之间的归属关系，可以对进程进行调试。 可以查看进程的路径，以及公司，版本等详细信息。 两个特殊PID的进程 System Idle Process：这个进程的PID为0，虚拟内存占用为0，CPU很高，常常在90以上，事实上，它并不是真正的进程，这个称为系统空闲进程，它的CPU值越高越好。该进程无法结束，没有对应的文件。 System： 这个进程的PID为4，该进程不能结束，它也没有对应的文件。并且没有后缀名，如果你看到带有后缀名的或是PID不是4的system，则这个进程很可能是病毒进程。如果你看到此进程正常，但CPU占用很高，则说明这个进程被注入了，大部分是木马或病毒的行为，因为正常程序不会去搞它的. 系统进程分析 smss.exe ：这是系统中有对应文件的第一个真正进程。文件位于c：\windows\system32\smss.exe，这是一个会话管理子系统，负责启动用户会话，系统所有进程的初始化工作都由它来完成，当某些进程出现不可预知的重大错误时，该进程负责调节，无法调节时，系统将停止响应. winlogon.exe ：管理用户登陆，注销等。该进程是由父进程smss.exe创建的，正常路径c：\windows\system32\winlogon.exe，屏幕保护程序的启动等也是由它来管理的，以system用户来运行。 csrss.exe ： 管理系统图形相关子系统。也是由smss.exe创建的，正常路径c：\windows\system32\csrss.exe 系统进程分析 lsass.exe ：该进程是多个Windows系统服务的宿主，由winlogon.exe创建，它控制一些服务的启动与关闭，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。 services.exe ：该进程是微软Windows操作系统的一部分。用于管理启动和停