在千千万万的网民中，相信每个人都或多或少遭受过病毒的侵袭，虽然大多的用户都安装有杀毒软件，但是目前病毒的发展趋势是首先针对杀毒软件，一旦判断出杀毒软件第一步就是先干掉杀毒软件。面对这样的情况，手动查杀病毒就不可避免了。而手动查杀病毒的前提就是要结束掉病毒的进程和服务，否则病毒程序根本无法删除。那么，什么是病毒的进程呢，病毒的进程又具备哪些特点呢?了解了Windows系统进程之后，非系统的病毒进程就容易判断了。在此，结合实例介绍Windows操作系统进程和基础的病毒进程判断。

零度电脑知识网www.needc.com电脑知识学习网站。电脑知识学习QQ群：81158926 欢迎电脑爱好者加入。

一、首先描述下最基本的系统进程，也就是说，这些进程是系统运行的基本条件，有了这些进程，系统就能正常运行。
　　
smss.exe：Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话(系统服务);
　　
alg.exe：Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙(系统服务);
　　
csrss.exe：微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务(系统服务);
　　
winlogon.exe：Windows登陆管理器，用于处理系统的登陆和登陆过程(系统服务);
　　
services.exe：是Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务(系统服务);
　　
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务);
　　
svchost.exe：是一个属于微软Windows操作系统的系统程序，包含很多系统服务，用于执行DLL文件(系统服务)。系统中根据启动的服务多少，该进程数量也会不同，一般在4-5个左右。
　　
spoolsv.exe:用于将Windows打印机任务发送给本地打印机.

explorer.exe：Windows程序管理器或者Windows资源管理器，它用于管理Windows图形壳，包括开始菜单、任务栏、桌面和文件管理;
　　
rundll32.exe：用于在内存中运行DLL文件，它们会在应用程序中被使用;
　　
internat.exe：Windows多语言输入程序，托盘区的拼音图标，附加的系统进程(这些进程不是必要的，你可以根据需要通过服务管理器来增加或减少);
　　
ctfmon.exe：Microsoft Office产品套装的一部分。它可以选择用户文字输入程序，和微软Office XP语言条。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题;
　　
mdm.exe：indows进程除错程序。用于使用可视化脚本工具对Internet Explorer除错(系统服务);
　　
mstask.exe Windows计划任务程序。它用于管理计划任务，包括备份和更新，定时运行。如果你删除该进程，计划任务将无法运行(系统服务);
　　
regsvc.exe：Windows服务集中的一个系统服务。它用于远程计算机访问本地注册表。一些本地程序也能够通过该服务编辑注册表 (系统服务);
　　
winmgmt.exe：提供系统管理信息(系统服务)。
　　
inetinfo.exe：通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)
　　
tlntsvr.exe：允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)
　　
tftpd.exe：实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)
　　
termsrv.exe：提供多会话环境允许客户端设备访问虚拟的 Windows 2000
　　
dns.exe：应答对域名系统(DNS)名称的查询和更新请求(系统服务)。
　　
二、以下服务很少会用到，如果不是必要的可以停止：
　　
tcpsvcs.exe：提供在 PXE 可远程启动客户计算机上远程安装 Windows2000 Professional 的能力(系统服务);
　　
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息(系统服务);
　　
ups.exe：管理连接到计算机的不间断电源(UPS)(系统服务);
　　
wins.exe：为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS名称服务(系统服务);
　　
llssrv.exe：Microsoft Windows Server版的一部分，用于许可登陆服务(系统服务);
　　
ntfrs.exe：在多个服务器间维护文件目录内容的文件同步(系统服务);
　　
RsSub.exe：控制用来远程储存数据的媒体(系统服务);
　　
locator.exe：管理 RPC 名称服务数据库(系统服务);
　　
lserver.exe：注册客户端许可证(系统服务);
　　
dfssvc.exe：管理分布于局域网或广域网的逻辑卷(系统服务);
　　
clipsrv.exe：支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面(系统服务);
　　
msdtc.exe：并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器(系统服务);
　　
faxsvc.exe：帮助您发送和接收传真(系统服务);
　　
cisvc.exe：Windows操作系统自带的程序。它用于监测CIDAEMON.exe内存使用状态，防止可用内存过低问题(系统服务);
　　
dmadmin.exe：磁盘管理请求的系统管理服务(系统服务);
　　
mnmsrvc.exe：允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面(系统服务);
　　
netd的.exe：提供动态数据交换 (D的) 的网络传输和安全特性(系统服务);
　　
smlogsvc.exe：配置性能日志和警报(系统服务);
　　
rsvp.exe：为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能(系统服务);
　　
RsEng.exe：协调用来储存不常用数据的服务和管理工具(系统服务);
　　
RsFsa.exe：管理远程储存的文件的操作(系统服务);
　　
grovel.exe：扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间(系统服务);
　　
SCardSvr.exe：对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制(系统服务);
　　
snmp.exe：包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报(系统服务);
　　
snmptrap.exe：接收由本地或远程 SNMP 代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序(系统服务);
　　
UtilMan.exe：从一个窗口中启动和配置辅助工具 (系统服务);
　　
msiexec.exe：依据 .MSI 文件中包含的命令来安装、修复以及删除软件(系统服务)。

三、容易被病毒利用的进程
　　
Explorer.exe，svchost.exe，spoolsv.exe，winlogon.exe，rundll32.exe。这几个进程除了spoolsv.exe打印进程不是系统运行必须的之外，其他全部都是保证系统运行正常的进程，而就是这些进程也是最容易被病毒利用的。病毒大多建立跟上述进程名称类似的进程，来欺骗用户;或者将自身的dll模块嵌入到这些系统进程中。我们先从基础的病毒进程命名欺骗来着手，介绍下病毒进程命名欺骗的大体方式。
　　
以前一阶段流行并造成严重破坏后果的威金病毒为例，她的主要病毒程序为：rundl132.exe，logo_1.exe，vdll.dll，logo1_.exe，exp10rer.exe等，看到这里我们不难发现系统的进程为rundll32.exe，而病毒进程为rundl132.exe。，区别在于系统的进程是两个“ll”而病毒的进程是一个“l”一个数字“1”。另外一个系统进程为explorer.exe，病毒进程用数字“1”和“0”代替了系统进程的字母“l”和“o”。
　　
另外一个典型的例子是直到今天还在流行的U盘自动播放病毒，尽管这个病毒已经产生了无数的变种，生成的exe文件名千奇百怪，但是在最初，她的病毒文件命名还是具备欺骗的性质。她的病毒文件命名为svch0st.exe，通过上面的介绍，我们很容易就发现了她的欺骗方式：用数字“0”代替了系统进程的字母“o”。
　　
这里，我们介绍了一个最直观的病毒命名方式，通过第一步的肉眼观察，就能够发现很多病毒的藏身所在，掌握了系统进程的名称，就拥有了基础的病毒手动查杀能力。