Svchost.exe文件是从动态链接库运行的服务的通用主机进程名称。最基本的系统进程(即这些进程是系统运行的基本条件，有了这些进程，系统才能正常运行):

***ss.exe会议经理

Csrss.exe子系统服务器进程

Winlogon.exe管理用户登录。

Services.exe包含许多系统服务。

管理lsass.exe的IP安全策略，启动ISAKMP/奥克利(IKE)和IP安全驱动程序。(系统服务)

生成会话密钥和授予交互式客户端/服务器身份验证的服务票证。(系统服务)

Svchost.exe包含许多系统服务。

svchost.exe

将SPOOLSV.EXE文件加载到内存中，以便以后打印。(系统服务)

Explorer.exe资源经理

internat.exe托盘区的拼音图标

其他系统进程(这些进程不是必需的，您可以根据需要通过服务管理器增加或减少它们):

允许mstask.exe程序在指定的时间运行。(系统服务)

Regsvc.exe允许远程注册*工作。(系统服务)

Winmgmt.exe提供系统管理信息(系统服务)。

FTP连接和管理是通过inetinfo.exe Internet信息服务的管理单元提供的。(系统服务)

Tlntsvr.exe允许远程用户使用命令行登录系统并运行控制台程序。(系统服务)

允许您通过Internet信息服务的管理单元管理Web和FTP服务。(系统服务)

执行tftpd.exe TFTP互联网标准。该标准不需要用户名和密码。远程安装服务的一部分。(系统服务)

Termsrv.exe提供了一个多会话环境，允许客户端设备访问虚拟Windows 2000 Professional桌面会话和运行在服务器上的基础。

Windows程序。(系统服务)

Dns.exe回答对域名系统(DNS)名称的查询和更新请求。(系统服务)

下面的服务很少用，上面的服务对安全有害。如果没有必要，应该关闭它们。

Tcpsvcs.exe提供了在PXE可启动客户端计算机上远程安装Windows 2000 Professional的能力。(系统服务)

支持以下TCP/IP服务:字符生成器、日间、丢弃、回显和当日报价。(系统服务)

I***serv.exe允许在Windows Advanced Server站点之间发送和接收消息。(系统服务)

Ups.exe管理连接到计算机的不间断电源(UPS)。(系统服务)

NetBIOS名称服务是为在wins.exe注册和解析NetBIOS名称的TCP/IP客户端提供的。(系统服务)

llssrv.exe许可证记录服务(系统服务)

Ntfrs.exe维护多个服务器之间的文件目录内容的文件同步。(系统服务)

RsSub.exe控制着用于远程存储数据的介质。(系统服务)

管理locator.exe RPC名称服务数据库。(系统服务)

Lserver.exe注册客户许可证。(系统服务)

Dfssvc.exe管理分布在局域网或广域网中的逻辑卷。(系统服务)

支持clipsrv.exe的“剪贴簿查看器”，这样你就可以从远程剪贴簿查看剪贴页。(系统服务)

Msdtc.exe并行事务分布在两个以上的数据库、消息队列、文件系统或其他事务保护资源管理器中。(系统服务)

Faxsvc.exe帮你收发传真。(系统服务)

cisvc.exe索引服务(系统服务)

d***dmin.exe磁盘管理请求的系统管理服务。(系统服务)

Mnmsrvc.exe允许授权用户使用NetMeeting远程访问Windows桌面。(系统服务)

介绍了netdde.exe动态数据交换(DDE)的网络传输和安全特性。(系统服务)

为***logsvc.exe配置性能日志和警报。(系统服务)

Rsvp.exe为服务质量(QoS)相关的程序和控制应用提供网络信号和本地通信控制安装功能。(系统服务)

RsEng.exe协调用于存储非频繁数据的服务和管理工具。(系统服务)

管理远程存储在RsFsa.exe的文件。(系统服务)

扫描grovel.exe零备份存储(SIS)卷上的重复文件，并将重复文件指向数据存储点以节省磁盘空间空。(系统服务)

SCardSvr.exe管理和控制插入计算机智能卡读卡器的智能卡的访问。(系统服务)

Snmp.exe包括可以监控网络设备活动并向网络控制台工作站报告的代理。(系统服务)

Snmptrap.exe接收由本地或远程SNMP代理生成的陷阱消息，然后将消息传递给在此计算机上运行的SNMP管理器。

。(系统服务)

UtilMan.exe从窗口启动和配置辅助工具。(系统服务)

根据MSIexec.exe中包含的命令安装、修复和删除软件。msi文件。(系统服务)

详细描述:

运行过程

Svchost.exe

Svchost.exe文件是从动态连接库中运行的服务的通用主机进程名。Svhost.exe文档定位

在系统的%systemroot%\system32文件夹下。启动时，Svchost.exe检查注册表中的位置来构建所需的。

已加载服务的列表。这将导致多个Svchost.exe同时运行。每个Svchost.exe的回复周期包含一组服务，

所以个人服务必须依赖于Svchost.exe如何和从哪里开始。这使得控制和发现错误变得更加容易。

Svchost.exe组由以下注册表值标识。

HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ Windows NT \ current version \ Svchost

每个键下的值代表一个独立的Svchost组，当您查看活动进程时，它显示为一个单独的

举例。每个键值都是REG_MULTI_SZ类型的值，并且包括在Svchost组中运行的服务。每个Svchost组都包含一个

或者从注册表值中选择多个服务名，并且该服务的参数值包含ServiceDLL值。

HKEY _ LOCAL _ MACHINE \ System \ current control set \ Services \ Service

更多信息

以便查看Svchost列表中运行的服务。

开始-运行-类型命令

然后输入tlist -s(在win2k工具箱中tlist应该是winter)

Tlist显示活动进程的列表。开关-s显示每个进程中活动服务的列表。如果您想了解更多关于

进程信息，可以点击tlist pid。

列表显示了Svchost.exe运算的两个例子。

0系统进程

8系统

***ss.exe 132号

160 csrss.exe标题:

180 winlogon.exe标题:NetDDE代理

208services.exe

Svcs: AppMgmt，浏览器，Dhcp，dmserver，Dnscache，Eventlog，lan***nserver，

Lan***nWorkstation，LmHosts，Messenger，PlugPlay，ProtectedStorage，seclogon，TrkWks，W32Time，Wmi

220 lsass.exe Svcs:Netlogon、PolicyAgent、SamSs

404 svchost.exe Svcs:rpcs

452 spoolsv.exe Svcs:假脱机程序

544 cisvc.exe Svcs:cisvc

556 svchost.exe Svcs:event system，Net***n，NtmsSvc，RasMan，SENS，TapiSrv

580 regsvc.exe Svcs:远程注册

596 mstask.exe Svcs:时间表

660 snmp.exe Svcs:SNMP

728 winmgmt.exe Svcs:WinMgmt

852 cidaemon.exe标题:OleMainThreadWndName

812 explorer.exe职位:项目经理

1032 OSA.EXE标题:提醒

1300 cmd.exe题:D:\ win nt 5 \ System32 \ cmd . exe –tlist -s

1080年MAPISP32.EXE标题:WMS闲置

12XX rundll32.exe标题:

1000 mmc.exe标题:设备管理器

tlist.exe 1144号

在本例中，在注册表中设置了两个组。

HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ Windows NT \ current version \ Svchost:

net SVCs:Reg _ Multi _ SZ:event system Ias Iprip Irmon Net***n nwsap agent Rasauto Ra***an remote access SENS共享访问Tapisrv Ntmssvc

rpcss :Reg_Multi_SZ: RpcSs

***ss.exe

csrss.exe

这是用户模式下Win32子系统的一部分。Csrss代表客户机/服务器运行子系统，是一个基本子系统。

必须一直跑。Csrss负责控制窗口，创建或删除线程以及一些16位虚拟MS-DOS环境。

explorer.exe

这是一个用户的外壳(我真的不知道怎么翻译外壳)，在我们看来就像任务栏、桌面等等。这

该进程并不像你所想的那样在windows中作为一个重要的进程运行。您可以从任务管理器停止它或重新启动它。

它通常不会对系统产生任何负面影响。

internat.exe

这个过程可以从任务管理器中关闭。

Internat.exe在启动时开始运行。它加载用户指定的不同输入点。输入来自注册表中的这个位置。

HKEY _用户\。Default \ KeyboardLayout \ preload加载内容。

将internat.exe的“EN”图标加载到系统的图标区，让用户轻松切换不同的输入点。

过程停止时，图标会消失，但仍可通过控制面板更改输入点。

lsass.exe

无法从任务管理器关闭此进程。

这是一个本地安全授权服务，它为使用winlogon服务的授权用户生成一个进程。这个过程是

它是通过使用授权的包来执行的，例如默认的msgina.dll。如果授权成功，lsass将生成用户的条目。

令牌，不要使用令牌启动初始shell。用户启动的其他进程将继承此令牌。

mstask.exe

无法从任务管理器关闭此进程。

这是一个任务调度服务，负责运行用户预先决定在某个时间运行的任务。

***ss.exe

无法从任务管理器关闭此进程。

这是一个会话管理子系统，负责启动用户会话。该进程由系统进程初始化，并用于许多活动，

包括已经运行的Winlogon、Win32(Csrss.exe)线程和set系统变量。在它开始这些之前

该过程结束后，它等待Winlogon或Csrss完成。如果这些过程正常，系统将被关闭。如果有事发生。

意外的事情，***ss.exe会让系统停止响应(也就是挂断)。

spoolsv.exe

无法从任务管理器关闭此进程。

后台打印程序服务用于管理缓冲池中的打印和传真作业。

service.exe

无法从任务管理器关闭此进程。

大多数系统内核模式进程作为系统进程运行。

系统空闲进程

无法从任务管理器关闭此进程。

这个进程在每个处理器上作为一个单独的线程运行，并且在系统没有处理其他线程时调度处理器的时间。

task***gr.exe

这个过程可以在任务管理器中关闭。

这个进程就是任务管理器。

winlogon.exe

该流程管理用户登录和注销。此外，当用户按CTRL+ALT+DEL时，winlogon被激活，并显示一个安全对话框。

winmgmt.exe

易安传媒科技微课堂，每天分享财经资讯、计算机科技知识、人生感悟、创业指导、学习交流各种专业技术知识资料、移动学习平台、知识分享平台。随时随地学习，如果你喜欢成长，这是你不能错过的地方。易安传媒科技培训专注于:关注自己的成长，分享内容，分享自己的技术，成就未来。