这里,我们将重点介绍Windows系统中的Svchost.exe进程和Explorer.exe进程。作为Windows系统中的两个重要进程,我们来看看它们在各种操作系统中的特点和应用。
Explorer.exe
在Windows系列操作系统中,运行时会启动一个名为Explorer.exe的进程。这个进程主要负责在系统的桌面上显示图标和任务栏。它在不同的系统中有不同的神奇功能。
浏览器在Windows 9x中的应用
在Windows 9x中,这个过程是运行系统所必需的。如果您用“结束任务”的方法结束Explorer.exe进程,系统将刷新桌面并更新注册表。因此,我们也可以使用这种方法来快速更新注册表。该方法如下:
按Ctrl Alt Del组合键,将出现“结束任务”对话框。在此对话框中选择“资源管理器”选项,然后单击“结束任务”按钮,将出现“关闭窗口”对话框。点击‘否’按钮,稍后会出现另一个对话框,告诉你程序没有响应,询问是否结束任务。单击“结束任务”按钮更新注册表并返回到Windows 9x系统环境。这比繁琐的重启过程方便多了?
浏览器在Windows 2000/XP中的应用
在Windows 2000/XP等Windows NT内核系统中,Explorer.exe进程并不是系统运行所必需的,因此可以在不影响系统正常工作的情况下,由任务管理器结束。打开需要运行的程序,比如记事本。然后右键单击任务栏,选择“任务管理器”,选择“进程”选项卡,在窗口中选择Explorer.exe进程,然后单击“结束进程”按钮。接下来,除了壁纸(活动桌面的壁纸除外),桌面上的所有图标和任务栏都消失了。这时,你仍然可以照常操作所有的软件。
想运行其他软件,但此时桌面上方什么都没有怎么办?别急,还有两种软件可以熟练打开:
第一种方法:按Ctrl Alt Del打开' Windows安全'对话框,点击'任务管理器'按钮(或直接按Ctrl Shift Esc),在任务管理器窗口中选择'应用程序'选项卡,点击'新建任务'在弹出的'新建任务'对话框中,输入要打开的软件的路径和名称。
您也可以在运行的软件上选择“文件打开”。在“打开”对话框中,单击“文件类型”下拉列表,选择“所有文件”,然后浏览到您要打开的软件,右键单击它,并选择快捷菜单上的“打开”命令来启动您需要的软件。请注意,此时您无法通过单击“打开”按钮打开软件。这种方法适用于除office系列以外的大多数软件。
通过结束Explorer.exe进程,系统使用的内存可以减少约4520KB,这无疑将加快系统的运行速度,为资源紧张的用户腾出宝贵的空间。
Svchost.exe
它是Svchost.exe NT核心系统非常重要的一个进程,对于2000和XP都是不可或缺的。很多病毒和木马也会这么叫。所以深入了解这个程序是玩电脑的必修课之一。
大家对windows操作系统都很熟悉,但是大家有没有注意到系统中的文件‘svchost . exe’?细心的朋友会发现,Windows中有很多‘Svchost’进程(用‘ctrl alt del’键打开任务管理器,在这里的‘Processes’选项卡中可以看到)。为什么会这样呢?让我们揭开它的神秘面纱。
在基于NT内核的Windows操作系统家族中,不同版本的Windows系统中有不同数量的“Svchost”进程。用户可以使用“任务管理器”来检查进程的数量。一般来说,Win 2000中有两个Svchost进程,Win XP中有四个或更多的Svchost进程(不要在后面看到系统中有多个这样的进程就马上确定系统中了病毒),而Win 2003 server中更多。这些Svchost进程提供了许多系统服务,如rpcss服务(远程过程调用)、dmserver服务(逻辑磁盘管理器)和dhcp客户端。
如果想知道每个Svchost进程提供多少系统服务,可以在Win 2000的命令提示窗口中输入' tlist -s '命令,该命令由Win 2000支持工具提供。在Win XP中使用“tasklist /svc”命令。
Svchost中可以有多个服务。
Windows系统进程分为独立进程和共享进程。文件“Svchost.exe”存在于“%systemroot% system32”目录中,它属于共享进程。随着Windows系统服务越来越多,为了节省系统资源,微软将许多服务做成共享模式,这就是Svchost.exe进程所开创的。
而Svchost进程只是作为一个服务主机,并不能实现任何服务功能,也就是只能为其他服务在这里启动提供条件,而不能为用户提供任何服务。那么这些服务是如何实现的呢?
最初,这些系统服务是以动态链接库(dll)的形式实现的。他们将可执行程序指向Svchost,Svchost调用相应服务的动态链接库来启动服务。那Svchost怎么知道一个系统服务应该调用哪个动态链接库呢?这是通过注册表中系统服务设置的参数实现的。
从启动参数可以看出,该服务是由Svchost启动的。
由于Svchost进程启动各种服务,病毒和木马想尽办法利用它,试图利用它的特性迷惑用户,达到感染、入侵和破坏的目的。但是,Windows系统有多个Svchost进程是正常的。被感染机器中的病毒进程是哪一个?这里只举一个例子来说明。
假设Windows XP系统感染了病毒。正常的Svchost文件存在于“c:\Windows\system32”目录中,所以如果您在其他目录中找到它,请小心。该病毒存在于' c:\Windows\system32\Wins '目录中,因此通过使用进程管理器检查Svchost进程的执行文件的路径,很容易发现系统是否感染了该病毒。
Windows自带的任务管理器无法查看进程的路径,可以使用第三方的进程管理软件。通过这些工具,您可以很容易地查看所有Svchost进程的执行文件的路径。一旦发现它们的执行路径异常,就要立即检测并处理。
