IP端口对照表(中文注释) (0分)

[blue]IP端口对照表(中文注释)
0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你
试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描：使用 IP地址
为0.0.0.0，设置ACK位并在以太网层广播。
1 tcpmux 这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，缺省情况下
tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户，如 lp,
guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员
安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux并利用这些 帐户。
7 Echo 你能看到许多人们搜索Fraggle放大器时，发送到x.x.x.0和x.x.x.255的信息。
常见的一种DoS攻击是echo循环（echo-loop），攻击者伪造从一个机器发送到另一个机器的
UDP数据包，而两个机器分别以它们最快的方式回应这些数据包。（参见Chargen）
另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做“Resonate Global
Dispatch”，它与DNS的这一端口连接以确定最近的路由。
Harvest/squid cache将从3130端口发送UDP echo：“如果将cache的source_ping on选项
打开，它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类 数据包。

11 sysstat 这是一种UNIX服务，它会列出机器上所有正在运行的进程以及是什么启动了这
些进程。这为入侵者提供了许多信息而威胁机器的安全，如暴露已知某些弱点或帐 户的程序。
这与UNIX系统中“ps”命令的结果相似
再说一遍：ICMP没有端口，ICMP port 11通常是ICMP type=11
19 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符
的包。TCP连接时，会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗 可以
发动DoS攻击。伪造两个chargen服务器之间的UDP包。由于服务器企图回应两个服务器之间
的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggledo
S攻击向目标
地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。
21 ftp 最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有
可读写的目录。Hackers或Crackers 利用这些服务器作为传送warez (私有程序) 和 pr0n
(故意拼错词而避免被搜索引擎分类)的节点。
22 ssh PcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。
如果配置成特定的模式，许多使用RSAREF库的版本有不少漏洞。（建议在其它端口 运行ssh）

还应该注意的是ssh工具包带有一个称为make-ssh-known-hosts的程序。它会扫描整个域的ssh主机
。你有时会被使用这一程序的人无意中扫描到。
UDP（而不是TCP）与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632（十六
进制的0x1600）位交换后是0x0016（使进制的22）。
23 Telnet 入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找
到机器运行的操作系统。此外使用其它技术，入侵者会找到密码。
25 smtp 攻击者（spammer）寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭，
他们需要拨号连接到高带宽的e-mail服务器上，将简单的信息传递到不同的地 址。SMTP服务
器（尤其是sendmail）是进入系统的最常用方法之一，因为它们必须完整的暴露于Internet
且邮件的路由是复杂的（暴露+复杂=弱点）。
53 DNS Hacker或crackers可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其它通
讯。因此防火墙常常过滤或记录53端口。
需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设
这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。
67和68 Bootp和DHCP UDP上的Bootp/DHCP：通过DSL和cable-modem的防火墙常会看见大量发
送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分 配。
Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”（man-in-middle）攻击。
客户端向68端口（bootps）广播请求配置，服务器向67端口 （bootpc）广播回应请求。这种
回应使用广播是因为客户端还不知道可以发送的IP地址。
69 TFTP(UDP) 许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们
常常错误配置而从系统提供任何文件，如密码文件。它们也可用于向系统写入文 件。
79 finger Hacker用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应
从自己机器到其它机器finger扫描。
98 linuxconf 这个程序提供linux boxen的简单管理。通过整合的HTTP服务器在98端口提
供基于Web界面的服务。它已发现有许多安全问题。一些版本setuid root，信任局域 网，
在/tmp下建立Internet可访问的文件，LANG环境变量有缓冲区溢出。此外因为它包含整合
的服务器，许多典型的HTTP漏洞可能存在（缓冲区溢出，历遍目录等）
109 POP2 并不象POP3那样有名，但许多服务器同时提供两种服务（向后兼容）。在同一个
服务器上POP3的漏洞在POP2中同样存在。
110 POP3 用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名
和密码交换缓冲区溢出的弱点至少有20个（这意味着Hacker可以在真正登陆前进入 系统）。
成功登陆后还有其它缓冲区溢出错误。
111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。访问portmapper是扫描系统
查看允许哪些RPC服务的最早的一步。常见RPC服务有：rpc.mountd, NFS, rpc.statd, rpc.csmd,
rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供服务的特定端口测试漏洞。

记住一定要记录线路中的daemon, IDS, 或sniffer，你可以发现入侵者正使用什么程序访问
以便发现到底发生了什么。
113 Ident auth 这是一个许多机器上运行的协议，用于鉴别TCP连接的用户。使用标准的这种
服务可以获得许多机器的信息（会被Hacker利用）。但是它可作为许多服务的记 录器，尤其是
FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，你将
会看到许多这个端口的连接请求。记住，如果你阻断这个端口客户端 会感觉到在防火墙另
一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回RST，着将回
停止这一缓慢的连接。
119 NNTP news 新闻组传输协议，承载USENET通讯。当你链接到诸如：news://comp.security.firewalls/.
的地址时通常使用这个端口。这个端口的连接企图通常是人们在 寻找USENET服务器。多数ISP限制只有他
们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问
被限制的新闻组服务器，匿名发帖或发送 spam。
135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end-point
mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务 利用
机器上的end-point mapper注册它们的位置。远端客户连接到机器时，它们查询end-point
mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如：这 个机器上运
行Exchange Server吗？是什么版本？
这个端口除了被用来查询服务（如使用epdump）还可以被用于直接攻击。有一些DoS攻击直接
针对这个端口。
137 NetBIOS name service nbtstat (UDP) 这是防火墙管理员最常见的信息，请仔细阅读文
章后面的NetBIOS一节
139 NetBIOS
File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被
用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能 是最常
见的问题。
大量针对这一端口始于1999，后来逐渐变少。2000年又有回升。一些VBS（IE5 VisualBasic
Scripting）开始将它们自己拷贝到这个端口，试图在这个端口繁殖。
143 IMAP 和上面POP3的安全问题一样，许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中
进入。记住：一种Linux蠕虫（admw0rm）会通过这个端口繁殖，因此许多这个端口 的扫描
来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后，这些
漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。
这一端口还被用于IMAP2，但并不流行。
已有一些报道发现有些0到143端口的攻击源于脚本。
161 SNMP(UDP) 入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存
在数据库中，通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于 Internet。
Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能
的组合。
SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect
remote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98
使用SNMP解析域名，你会看见这种包在子网内广播（cable modem, DSL）查询sysName和
其它信息。
162 SNMP trap 可能是由于错误配置

177 xdmcp 许多Hacker通过它访问X-Windows控制台， 它同时需要打开6000端口。
513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些
人为Hacker进入他们的系统提供了很有趣的信息。
553 CORBA
IIOP (UDP) 如果你使用cable modem或DSL VLAN，你将会看到这个端口的广播。CORBA是一种
面向对象的RPC（remote procedure call）系统。Hacker会利用这些信息进入系 统。
600 Pcserver backdoor 请查看1524端口
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统--
Alan J. Rosenthal.
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描
是基于UDP的，但基于TCP的mountd有所增加（mountd同时运行于两个端口）。记 住，mountd
可运行于任何端口（到底在哪个端口，需要在端口111做portmap查询），只是Linux默认为
635端口，就象NFS通常运行于2049端口。
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口
连接网络，它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从 端口1024
开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点，
你可以重启机器，打开Telnet，再打开一个窗口运行“natstat -a”， 你将会看到Telnet被分配1024端口。请求的程序越多，动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍，当你浏览Web页时用“netstat”查看，每个Web页需要 一个新端口。
1025 参见1024
1026 参见1024
1080 SOCKS
这一协议以管道方式穿过防火墙，允许防火墙后面的许多人通过一个IP地址访问Internet。
理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置，它会允 许
Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的
计算机，从而掩饰他们对你的直接攻击。WinGate是一种常见的Windows个人防火 墙，常会
发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
1114 SQL
系统本身很少扫描这个端口，但常常是sscan脚本的一部分。
1243 Sub-7木马（TCP）

1524 ingreslock后门
许多攻击脚本将安装一个后门Shell于这个端口（尤其是那些针对Sun系统中Sendmail和RPC
服务漏洞的脚本，如statd, ttdbserver和cmsd）。如果你刚刚安装了你的防火墙就 看到在
这个端口上的连接企图，很可能是上述原因。你可以试试Telnet到你的机器上的这个端口，
看看它是否会给你一个Shell。连接到600/pcserver也存在这个问题。
2049 NFS
NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口，但是
大部分情况是安装后NFS运行于这个端口，Hacker/Cracker因而可以闭开portmapper 直接测
试这个端口。
3128 squid
这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而
匿名访问Internet。你也会看到搜索其它代理服务器的端口：8000/8001/8080/ 8888。扫描
这一端口的另一原因是：用户正在进入聊天室。其它用户（或服务器本身）也会检验这个端口
以确定用户的机器是否支持代理。请查看5.3节。
5632 pcAnywere
你会看到很多这个端口的扫描，这依赖于你所在的位置。当用户打开pcAnywere时，它会自动
扫描局域网C类网以寻找可能得代理（译者：指agent而不是proxy）。Hacker/ cracker也会
寻找开放这种服务的机器，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常
包含端口22的UDP数据包。参见拨号扫描。
6776 Sub-7 artifact
这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制.
另一台机器，而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入 时，他们
将会看到持续的，在这个端口的连接企图。（译者：即看到防火墙报告这一端口的连接企图
时，并不表示你已被Sub-7控制。）
6970 RealAudio
RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向
控制连接设置的。
13223 PowWow
PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序
对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成 类似
心跳间隔的连接企图。如果你是一个拨号用户，从另一个聊天者手中“继承”了IP地址这种
情况就会发生：好象很多不同的人在测试这一端口。这一协议使用“OPNG”作 为其连接企图
的前四个字节。
17027 Conducent
这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。
Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件 是
Pkware。有人试验：阻断这一外向连接不会有任何问题，但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载：
机器会不断试图解析DNS名—ads.conducent.com，即IP地址216.33.210.40 ；216.33.199.77
；216.33.199.80 ；216.33.199.81；216.33.210.41。（译者：不知NetAnts使 用的Radiate是否也有这种现象）
27374 Sub-7木马(TCP)

30100 NetSphere木马(TCP)
通常这一端口的扫描是为了寻找中了NetSphere木马。
31337 Back Orifice “elite”
Hacker中31337读做“elite”/ei’li:t/（译者：法语，译为中坚力量，精华。即3=E,
1=L, 7=T）。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾 经
一段时间内这是Internet上最常见的扫描。现在它的流行越来越少，其它的木马程序越来越
流行。
31789 Hack-a-tack
这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马（RAT, Remote Access Trojan）。
这种木马包含内置的31790端口扫描器，因此任何31789端口到317890端口的连 接意味着已
经有这种入侵。（31789端口是控制连接，317890端口是文件传输连接）
32770~32900 RPC服务
Sun Solaris的RPC服务在这一范围内。详细的说：早期版本的Solaris（2.5.1之前）将portmapper
置于这一范围内，即使低端口被防火墙封闭仍然允许Hacker/cracker访问这 一端口。扫描
这一范围内的端口不是为了寻找portmapper，就是为了寻找可被攻击的已知的RPC服务。
33434~33600 traceroute
如果你看到这一端口范围内的UDP数据包（且只在此范围之内）则可能是由于traceroute。
参见traceroute部分。 [/blue]

[]

[][!][^][?][][8D]

up

收藏

好

呵呵，有人支持，再来一段[]
[blue]常见windows 2000系统进程描述[/blue]
最基本的系统进程（也就是说，这些进程是系统运行的基本条件，有了这些进程，系统就能正常运行）:
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务)
产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)
svchost.exe 包含很多系统服务
svchost.exe
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标
附加的系统进程（这些进程不是必要的，你可以根据需要通过服务管理器来增加或减少）:
mstask.exe 允许程序在指定时间运行。(系统服务)
regsvc.exe 允许远程注册表操作。(系统服务)
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)
tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)
允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)
termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基
于 Windows 的程序。(系统服务)
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)
以下服务很少会用到，上面的服务都对安全有害，如果不是必要的应该关掉
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务)
支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)
ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)
RsSub.exe 控制用来远程储存数据的媒体。(系统服务)
locator.exe 管理 RPC 名称服务数据库。(系统服务)
lserver.exe 注册客户端许可证。(系统服务)
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)
clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。(系统服务)
msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务)
faxsvc.exe 帮助您发送和接收传真。(系统服务)
cisvc.exe Indexing Service(system service)
dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)
smlogsvc.exe 配置性能日志和警报。(系统服务)
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)
RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)
RsFsa.exe 管理远程储存的文件的操作。(系统服务)
grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务)
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序
。(系统服务)
UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)

详细说明：

win2k运行进程
Svchost.exe
Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位
在系统的%systemroot%/system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要
加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务，
以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。
Svchost.exe 组是用下面的注册表值来识别。
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Svchost
每个在这个键下的值代表一个独立的Svchost组，并且当你正在看活动的进程时，它显示作为一个单独的
例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个
或多个从注册表值中选取的服务名，这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Service
更多的信息
为了能看到正在运行在Svchost列表中的服务。
开始－运行－敲入cmd
然后在敲入 tlist -s （tlist 应该是win2k工具箱里的冬冬）
Tlist 显示一个活动进程的列表。开关 -s 显示在每个进程中的活动服务列表。如果想知道更多的关于
进程的信息，可以敲 tlist pid。
Tlist 显示Svchost.exe运行的两个例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkstation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:/WINNT5/System32/cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在这个例子中注册表设置了两个组。
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs
smss.exe
csrss.exe
这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统
必须一直运行。csrss 负责控制windows，创建或者删除线程和一些16位的虚拟MS-DOS环境。
explorer.exe
这是一个用户的shell（我实在是不知道怎么翻译shell），在我们看起来就像任务条，桌面等等。这个
进程并不是像你想象的那样是作为一个重要的进程运行在windows中，你可以从任务管理器中停掉它，或者重新启动。
通常不会对系统产生什么负面影响。
internat.exe
这个进程是可以从任务管理器中关掉的。
internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置
HKEY_USERS/.DEFAULT/Keyboard Layout/Preload 加载内容的。
internat.exe 加载“EN”图标进入系统的图标区，允许使用者可以很容易的转换不同的输入点。
当进程停掉的时候，图标就会消失，但是输入点仍然可以通过控制面板来改变。
lsass.exe
这个进程是不可以从任务管理器中关掉的。
这是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是
通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入
令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。
mstask.exe
这个进程是不可以从任务管理器中关掉的。
这是一个任务调度服务，负责用户事先决定在某一时间运行的任务的运行。
smss.exe
这个进程是不可以从任务管理器中关掉的。
这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，
包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些
进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么
不可预料的事情，smss.exe就会让系统停止响应（就是挂起）。
spoolsv.exe
这个进程是不可以从任务管理器中关掉的。
缓冲（spooler）服务是管理缓冲池中的打印和传真作业。
service.exe
这个进程是不可以从任务管理器中关掉的。
大多数的系统核心模式进程是作为系统进程在运行。
System Idle Process
这个进程是不可以从任务管理器中关掉的。
这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。
taskmagr.exe
这个进程是可以在任务管理器中关掉的。
这个进程就是任务管理器。
winlogon.exe
这个进程是管理用户登录和推出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了，显示安全对话框。
winmgmt.exe
winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化

楼主大好人

又写得好
我不得不收藏
还差点忘了说声感谢

好东东

收藏

还得意忘行了！不过收葳了：D

收藏,收藏

go on!
3Q!

接受答案了.