（1）[system Idle Process]

　　執行緒檔案: [system process] or [system process]

　　執行緒名稱: Windows記憶體處理系統執行緒

　　描 述: Windows頁面記憶體管理執行緒，擁有0級優先。

　　介 紹：該執行緒作為單線程執行在每個處理器上，並在系統不處理其他線程的時候分派處理器的時間。它的cpu佔用率越大表示可供分配的CPU資源越多，數字越小則表示CPU資源緊張。

　　（2）[alg.exe]

　　執行緒檔案: alg or alg.exe

　　執行緒名稱: 應用層閘道服務

　　描 述: 這是一個應用層閘道服務用於網路共用。

　　介 紹：一個閘道通信插件的管理器，為 “Internet連接共用服務”和 “Internet連接防火牆服務”提供第三方協定插件的支援。

　　（3）[csrss.exe]

　　執行緒檔案: csrss or csrss.exe

　　執行緒名稱: Client/Server Runtime Server Subsystem

　　描 述: 用戶端服務子系統，用以控制Windows圖形相關子系統。

　　介 紹: 這個是用戶模式Win32子系統的一部分。csrss代表客戶/伺服器執行子系統而且是一個基本的子系統必須一直執行。csrss用於維持Windows的控制，創建或者刪除線程和一些16位的虛擬MS-DOS環境。

　　（4）[ddhelp.exe]

　　執行緒檔案: ddhelp or ddhelp.exe

　　執行緒名稱: DirectDraw Helper

　　描 述: DirectDraw Helper是DirectX這個用於圖形服務的一個組成部分。

　　簡 介：Directx 幫助程式

　　（5）[dllhost.exe]

　　執行緒檔案: dllhost or dllhost.exe

　　執行緒名稱: DCOM DLL Host執行緒

　　描 述: DCOM DLL Host執行緒支援基於COM物件支援DLL以執行Windows程式。

　　介 紹：com代理，系統附加的dll元件越多，則dllhost佔用的cpu資源和記憶體資源就越多，而8月的“衝擊波殺手”大概讓大家對它比較熟悉吧。

　　（6）[explorer.exe]

　　執行緒檔案: explorer or explorer.exe

　　執行緒名稱: 程式管理

　　描 述: Windows Program Manager或者Windows Explorer用於控制Windows圖形Shell，包括開始功能表、任務欄，桌面和檔案管理。

　　介 紹：這是一個用戶的shell，在我們看起來就像任務條，桌面等等。或者說它就是資源管理器，不相信你在執行裏執行它看看。它對windows系統的穩定性還是比較重要的，而紅碼也就是找它的麻煩，在c和d根下創建explorer.exe。

　（7）[inetinfo.exe]

　　執行緒檔案: inetinfo or inetinfo.exe

　　執行緒名稱: IIS Admin Service Helper

　　描 述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用於Debug調試除錯。

　　介紹：IIS服務執行緒，藍碼正是利用的inetinfo.exe的緩衝區溢出漏洞。

　　（8）[internat.exe]

　　執行緒檔案: internat or internat.exe

　　執行緒名稱: Input Locales

　　描 述: 這個輸入控制圖示用於更改類似國家設定、鍵盤類型和日期格式。internat.exe在啟動的時候開始執行。它載入由用戶指定的不同的輸入點。輸入點是從註冊表的這個位置HKEY_USERS.DEFAULTKeyboard LayoutPreload 載入內容的。internat.exe 載入“EN”圖示進入系統的圖示區，允許使用者可以很容易的轉換不同的輸入點。當執行緒停掉的時候，圖示就會消失，但是輸入點仍然可以通過控制面板來改變。

　　介 紹：它主要是用來控制輸入法的，當你的任務欄沒有“EN”圖示，而系統有internat.exe執行緒，不妨結束掉該執行緒，在執行裏執行internat命令即可。

　　（9）[kernel32.dll]

　　執行緒檔案: kernel32 or kernel32.dll

　　執行緒名稱: Windows殼執行緒

　　描 述: Windows殼執行緒用於管理多線程、記憶體和資源。

　　介 紹：更多內容流覽非法操作與Kernel32解讀
　　（10）[lsass.exe]

　　執行緒檔案: lsass or lsass.exe

　　執行緒名稱: 本地安全許可權服務

　　描 述: 這個本地安全許可權服務控制Windows安全機制。管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程式等。

　　介 紹：這是一個本地的安全授權服務，並且它會為使用winlogon服務的授權用戶生成一個執行緒。這個執行緒是通過使用授權的包，例如預設的msgina.dll來執行的。如果授權是成功的，lsass就會產生用戶的進入權杖，權杖別使用啟動初始的shell。其他的由用戶初始化的執行緒會繼承這個權杖的。而windows活動目錄遠端堆疊溢位漏洞，正是利用LDAP 3搜索請求功能對用戶提交請求缺少正確緩衝區邊界檢查，構建超過1000個"AND"的請求，併發送給伺服器，導致觸發堆疊溢位，使Lsass.exe服務崩潰，系統在30秒內重新啟動。

　　（11）[mdm.exe]

　　執行緒檔案: mdm or mdm.exe

　　執行緒名稱: Machine Debug Manager

　　描 述: Debug除錯管理用於調試應用程式和Microsoft Office中的Microsoft Script Editor腳本編輯器。

　　介 紹：Mdm.exe的主要工作是針對應用軟體進行排錯(Debug)，說到這裏，扯點題外話，如果你在系統見到fff開頭的0位元組檔案，它們就是mdm.exe在排錯過程中產生一些暫存檔案，這些檔案在作業系統進行關機時沒有自動被清除，所以這些fff開頭的怪檔案裏是一些尾碼名為CHK的檔案都是沒有用的垃圾檔案，可勻我饃境換岫韻低巢渙加跋臁６?X系統，只要系統中有Mdm.exe存在，就有可能產生以fff開頭的怪檔案。可以按下面的方法讓系統停止執行Mdm.exe來徹底刪除以fff開頭的怪檔案：首先按“Ctrl+Alt+Del”組合鍵，在彈出的“關閉程式”視窗中選中“Mdm”，按“結束任務”按鈕來停止Mdm.exe在後臺的執行，接著把Mdm.exe(在C:WindowsSystem目錄下)改名為Mdm.bak。執行msconfig程式，在啟動頁中取消對“Machine Debug Manager”的選擇。這樣可以不讓Mdm.exe自啟動，然後點擊“確定”按鈕，結束msconfig程式，並重新啟動電腦。另外，如果你使用IE 5.X以上版本流覽器，建議禁用腳本調用(點擊“工具→Internet選項→進階→禁用腳本調用”)，這樣就可以避免以fff開頭的怪檔案再次產生。

　　（12）[mmtask.tsk]

　　執行緒檔案: mmtask or mmtask.tsk

　　執行緒名稱: 多媒體支援執行緒

　　描 述: 這個Windows多媒體後臺程式控制多媒體服務，例如MIDI。

　　介 紹：這是一個任務調度服務，負責用戶事先決定在某一時間執行的任務的執行。

（13）[mprexe.exe]

　　執行緒檔案: mprexe or mprexe.exe

　　執行緒名稱: Windows路由執行緒

　　描 述: Windows路由執行緒包括向適當的網路部分發出網路請求。

　　介 紹：這是Windows的32位元網路介面服務執行緒檔案，網路用戶端端部件啟動的核心。印象中“A-311木馬(Trojan.A-311.104)”也會在記憶體中建立mprexe.exe執行緒，可以通過資源管理結束執行緒。

　　（14）[msgsrv32.exe]

　　執行緒檔案: msgsrv32 or msgsrv32.exe

　　執行緒名稱: Windows信使服務

　　描 述: Windows信使服務調用Windows驅動和程式管理在啟動。

　　介 紹：msgsrv32.exe 一個管理資訊視窗的應用程式，win9x下如果音效卡或者顯卡驅動程式配置不正確，會導致死機或者提示msgsrv32.exe 出錯。

　　（15）[mstask.exe]

　　執行緒檔案: mstask or mstask.exe

　　執行緒名稱: Windows計畫任務

　　描 述: Windows計畫任務用於設定繼承在什麼時間或者什麼日期備份或者執行。

　　介 紹：計畫任務，它通過註冊表自啟動。因此，通過計畫任務程式實現自啟動的程式在系統資訊中看不到它的檔案名，一旦把它從註冊表中刪除或禁用，那麼通過計畫任務啟動的程式全部不能自動執行。win9X下系統啟動就會開啟計畫任務，可以通過雙擊計畫任務圖示－進階－終止計畫任務來停止它自啟動。另外，攻擊者在攻擊過程中，也經常用到計畫任務，包括上傳檔案、提升許可權、種植後門、清掃腳印等。

　　（16）[regsvc.exe]

　　執行緒檔案: regsvc or regsvc.exe

　　執行緒名稱: 遠端註冊表服務

　　描 述: 遠端註冊表服務用於訪問在遠端電腦的註冊表。

　　（17）[rpcss.exe]

　　執行緒檔案: rpcss or rpcss.exe

　　執行緒名稱: RPC Portmapper

　　描 述: Windows 的RPC埠映射執行緒處理RPC調用(遠端模組調用)然後把它們映射給指定的服務提供者。

　　介 紹：98它不是在裝載解釋器時或引導時啟動，如果使用中有問題，可以直接在在註冊表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices添加"字串值"，定向到"C:WINDOWSSYSTEMRPCSS"即可。

　　（18）[services.exe]

　　執行緒檔案: services or services.exe

　　執行緒名稱: Windows Service Controller

　　描 述: 管理Windows服務。

　　介 紹：大多數的系統核心模式執行緒是作為系統執行緒在執行。打開管理工具中的服務，可以看到有很多服務都是在調用%systemroot%system32service.exe
　　

（19）[smss.exe]

　　執行緒檔案: smss or smss.exe

　　執行緒名稱: Session Manager Subsystem

　　描 述: 該執行緒為會話管理子系統用以初始化系統變數，MS-DOS驅動名稱類似LPT1以及COM，調用Win32殼子系統和執行在Windows登陸過程。

　　簡 介：這是一個會話管理子系統，負責啟動用戶會話。這個執行緒是通過系統執行緒初始化的並且對許多活動的，包括已經正在執行的Winlogon，Win32（Csrss.exe）線程和設定的系統變數作出反映。在它啟動這些執行緒後，它等待Winlogon或者Csrss結束。如果這些過程時正常的，系統就關掉了。如果發生了什麼不可預料的事情，smss.exe就會讓系統停止回應（就是掛起）。

　（20）[snmp.exe]

　　執行緒檔案: snmp or snmp.exe

　　執行緒名稱: Microsoft SNMP Agent

　　描 述: Windows簡單的網路協定代理（SNMP）用於監聽和發送請求到適當的網路部分。

　　簡 介：負責接收SNMP請求報文，根據要求發送回應報文並處理與WinsockAPI的介面。
　（21）[spool32.exe]

　　執行緒檔案: spool32 or spool32.exe

　　執行緒名稱: Printer Spooler

　　描 述: Windows列印任務控制程式，用以印表機就緒。

　　（22）[spoolsv.exe]

　　執行緒檔案: spoolsv or spoolsv.exe

　　執行緒名稱: Printer Spooler Service

　　描 述: Windows列印任務控制程式，用以印表機就緒。

　　介 紹：緩衝（spooler）服務是管理緩衝池中的列印和傳真作業。

　　（23）[stisvc.exe]

　　執行緒檔案: stisvc or stisvc.exe

　　執行緒名稱: Still Image Service

　　描 述: Still Image Service用於控制掃描器和數碼相機連接在Windows。

　　（24）[svchost.exe]

　　執行緒檔案: svchost or svchost.exe

　　執行緒名稱: Service Host Process

　　描 述: Service Host Process是一個標準的動態連接庫主機處理服務.

　　介 紹：Svchost.exe檔案對那些從動態連接庫中執行的服務來說是一個普通的主機執行緒名。Svhost.exe檔案定位在系統的%systemroot%system32檔案夾下。在啟動的時候，Svchost.exe檢查註冊表中的位置來構建需要載入的服務列表。這就會使多個Svchost.exe在同一時間執行。每個Svchost.exe的回話期間都包含一組服務，以至於單獨的服務必須依靠Svchost.exe怎樣和在那裏啟動。這樣就更加容易控制和查找錯誤。windows 2k一般有2個svchost執行緒，一個是RPCSS（Remote Procedure Call）服務執行緒，另外一個則是由很多服務共用的一個svchost.exe。而在windows XP中，則一般有4個以上的svchost.exe服務執行緒，windows 2003 server中則更多。

　　（25）[taskmon.exe]

　　執行緒檔案: taskmon or taskmon.exe

　　執行緒名稱: Windows Task Optimizer

　　描 述: windows任務優化器監視你使用某個程式的頻率，並且通過載入那些經常使用的程式來整理優化硬碟。

　　介 紹：工作管理員，它的功能是監視程式的執行情況並隨時報告。能夠監測所有在任務欄中以視窗方式執行的程式，可打開和結束程式，還可直接調出關閉系統對話方塊。

（26）[tcpsvcs.exe]

　　執行緒檔案: tcpsvcs or tcpsvcs.exe

　　執行緒名稱: TCP/IP Services

　　描 述: TCP/IP Services Application支援透過TCP/IP連接局域網和Internet。

　　（27）[winlogon.exe]

　　執行緒檔案: winlogon or winlogon.exe

　　執行緒名稱: Windows Logon Process

　　描 述: Windows NT用戶登陸程式。這個執行緒是管理用戶登錄和退出的。而且winlogon在用戶按下CTRL+ALT+DEL時就啟動了，顯示安全對話方塊。

　　（28）[winmgmt.exe]

　　執行緒檔案: winmgmt or winmgmt.exe

　　執行緒名稱: Windows Management Service

　　描 述: Windows Management Service透過Windows Management Instrumentation data WMI)技術處理來自應用用戶端的請求。

　　簡 介：winmgmt是win2000用戶端管理的核心組件。當用戶端應用程式連接或當管理程式需要他本身的服務時這個執行緒初始化。WinMgmt.exe（CIM對象管理器）和知識庫（Repository）是WMI兩個主要構成部分，其中知識庫是物件定義的資料庫，它是存儲所有可管理靜態資料的中心資料庫，物件管理器負責處理知識庫中物件的收集和操作並從WMI提供程式收集資訊。WinMgmt.exe在Windows 2k/NT上作為一個服務執行，而在Windows 95/98上作為一個獨立的exe程式執行。Windows 2k系統在某些電腦上出現的WMI錯誤可以通過安裝Windows 2k SP2來修正。

　　（29）[system]

　　執行緒檔案: system or system

　　執行緒名稱: Windows System Process

　　描 述: Microsoft Windows系統執行緒。

　　介 紹：在任務管理器中會看到這項執行緒，屬於正常系統執行緒。

　　系統執行緒就介紹到這裏。

　　在Windows2k/XP中，以下執行緒是必須載入的：

　　smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe(可以同時存在多個)、spoolsv.exe、explorer.exe、System Idle Process；

　　在Windows 9x中，一下執行緒是必須載入的：

　　msgsrv32.exe、mprexe.exe、mmtask.tsk、kenrel32.dll。

From: http://www.twbbs.net.tw/623049.html