Hacker（六）----黑客藏匿之地--系统进程

windows系统中，进程是程序在系统中的依次执行活动。主要包括系统进程和程序进程两种。

• 凡是用于完成操作系统各种功能的各种进程都统称为系统进程；
• 而通过启动应用程序所产生的进程则统称为程序进程。

由于系统进程随着操作系统的启动而启动，因此黑客经常会进行一定的设置，使得系统中的木马或病毒对应的进程与系统进程的名称十分相似，从而达到欺骗用户的目的。

一、认识系统进程

　　系统进程主要作用是确保操作系统能够正常运行。win7中，右击任务栏任意空白处，在弹出的快捷菜单中单击“启动任务管理器”，打开“Windows任务管理器”，切换至“进程”选项卡，便可看见当前正在运行的所有进程。

用户名为SYSTEM所对应的进程便是系统进程。

表2 系统进程的名称和含义

名称	基本含义
conime.exe	该进程与输入法编辑器相关，能确保正常调整和编辑系统中的输入法
csrss.exe	该进程是微软客户端/服务端运行时子系统，管理windows图形相关任务
ctfmon.exe	该进程与输入法有关，其正常运行能够确保语言栏能正常显示在任务栏中
explorer.exe	该进程是windows资源管理器，是windows图形界面外壳程序，其正常运行能够确保在桌面上显示桌面图标和任务栏
lsass.exe	该进程用于windows操作系统的安全机制、本地安全和登录策略
services.exe	该进程用于启动和停止系统中的服务，若用户手动终止该进程，系统也会重启该进程
smss.exe	该进程用于调用对话管理子系统，负责用户与操作系统的对话
svchost.exe	该进程是从动态链接库（DLL）中运行的服务的通用主机进程名称，若用户手动停止该进程，系统也会重启该进程
system	该进程是windows页面内存管理进程，它能确保系统的正常启动
system idle process	该进程的功能是在CPU空闲时发出一个命令，使CPU挂起（暂时停止工作），从而有效降低CPU内核的温度
winlogon.exe	该进程使windows NT用户登录程序，主要用于管理用户登录和退出

二 、关闭和新建系统进程

　　win7系统中，用户可以手动关闭和新建部分系统进程。

　　结束步骤：

右击任务栏空白处，单击“启动任务管理器”---->选中要结束的进程（如explorer.exe）---->单击“结束进程”---->确认结束该进程

　　新建步骤：

　　单击windows任务管理器对话框中的“文件”/“新建任务”---->在弹出的文本框中输入进程name，单击确定

Tips:重新加载explorer.exe的妙用

　　重新加载explorer.exe进程可用于安全卸载接入电脑的U盘，若无法安全的卸载U盘，则可在重新加载explorer.exe进程后再次安全删除它。