系統 - 詳細分析Win XP的操作系統工作行程

[psac]

很多朋友面對系統中的工作行程，往往感到茫然，不知它們具有什麼功能；是否可以結束其執行，以節省系統資源；哪個工作行程比較可疑，可能是木馬……其實工作行程應該可理解為處於活動狀態的電腦程式，它在操作系統中執行特定的任務。
本文，筆者將以Windows XP操作系統為例，為大家介紹系統工作行程的相關內容。

揪出可疑工作行程
揭露工作行程偽裝術
工作行程級別有高低

工作行程樹的妙用
封殺工作行程的另類方法
Win9X/Me也能擁有WinXP的任務管理器
揪出可疑工作行程

系統工作行程一般包括：基本系統工作行程和附加工作行程。基本系統工作行程是系統執行的必備條件，只有這些工作行程處於活動狀態，系統才能正常執行；而附加工作行程則不是必需的，你可以按需新增或結束。我們就先來瞭解一下哪些是最基本的系統工作行程。
1.基本系統工作行程

Csrss.exe：這是子系統服務器工作行程，負責控制Windows創建或刪除線程以及16位的虛擬DOS環境。
System
Idle Process：這個工作行程是作為單線程執行在每個處理器上，並在系統不處理其它線程的時候分派處理器的時間。

Smss.exe：這是一個會話管理子系統，負責啟動用戶會話。

Services.exe：系統服務的管理工具。
Lsass.exe：本機的安全授權服務。

Explorer.exe：視窗檔案總管。
Spoolsv.exe：管理緩衝區中的印表和傳真作業。
Svchost.exe：這個工作行程要著重說明一下，有不少朋友都有這種錯覺：若是在「任務管理器」中看到多個Svchost.exe在執行，就覺得是有病毒了。其實並不一定，系統啟動的時候，Svchost.exe將檢查註冊表中的位置來創建需要載入的服務列表，如果多個Svchost.exe同時執行，則表明當前有多組服務處於活動狀態；多個DLL文件正在呼叫它。
至於其它一些附加工作行程，大多為系統服務，是可以酌情結束執行的。由於其數量眾多，我們在此也不便於一一列舉。

在系統資源緊張的情況下，我們可以選擇結束一些附加工作行程，以增加資源，起到優化系統的作用。在排除基本系統及附加工作行程後，新增的陌生工作行程就值得被大家懷疑了。
2.常見木馬工作行程
廣外女生：Diagcfg.exe工作行程。

WAY無賴小子：Msgsvc.exe工作行程。
冰河木馬：Kernel32.exe工作行程。

BO2000木馬：Umgr32.exe工作行程。

客觀地說，目前主流的木馬在配置服務器時，很多都具有自定義工作行程名稱的功能，例如《粉色信鴿》等。因此在判定木馬時，其工作行程名稱不止一種，寄希望於通過工作行程名稱，查找木馬服務器端的方法，已不太具適用性了。所以，我們需要自己的判斷，揪出工作行程中的「害群之馬」。
3.自行分析可疑工作行程
軟件名稱：柳葉擦眼
軟件版本：V4.00 Beta 1
軟件大小：374KB

軟件語言：簡體中文
應用平台：Win9X/NT/2000/XP

我們執行《柳葉擦眼》後，滑鼠雙擊系統工作列中的該程式圖示，即可看到主界面（圖1）。在此大家將會注意到，程式已為你標示出了系統文件。因此，大家只需注意那些「定義級別」為「未知」及「危險」的工作行程，這樣就大大縮小了我們的判定範圍。當你發現有問題的工作行程後，選定並點擊「降妖伏魔」按鍵即可封殺該工作行程。

為了使程式更趨於我們的使用習慣，大家可以自定義設置。點擊左側視圖中的「參數設置」，在右側界面中可設定是否標示系統文件、正常文件及危險文件；是否所有程式均可執行；是否自動關閉危險文件；還可設定檢測重新整理時間（圖2）。