winlogon文件位置_winlogonexe文件在哪

2024-09-06 03:58:13

1.进程出现两个winlogon.exe都是小写的，都在SYSTEM目录下。。

2.winlogon.exe自动连接网络是否正常

3.winlogon.exe在占内存非常高，是为什么，前今天还不这样呢，高手帮忙

4.任务管理器的高手问题

winlogon文件位置_winlogonexe文件在哪

我上传到了一个网络硬盘里

你自己下载吧

://dengzipeng.gbaopan/files/b71d0fe173f240609d1e44a0174cecb0.gbp

复制网址到地址栏

然后回车下载

如果不行

点这个

://.gbaopan/GBaoPan.PublicWeb.Beta1/GNetwork/NetworkGraph.aspx?j={resourceID:'b71d0fe173f240609d1e44a0174cecb0',name:'WINLOGON.EXE',tags:['winlogon'],icon:'exe.gif',thumbnail:'null',location:'Cluster1',size:'186640',userName:'dengzipeng',description:'',userID:'117345'}#locationb71d0fe173f240609d1e44a0174cecb0page:0

也是复制上面的网址

进程出现两个winlogon.exe都是小写的，都在SYSTEM目录下。。

winlogon - winlogon.exe - 进程信息

进程文件： winlogon or winlogon.exe

进程名称： Microsoft Windows Logon Process

描述：

WinLogon.exe是Windows NT登陆管理器。它用于处理你系统的登陆和登陆过程。该进程在你系统的作用是非常重要的。注意：winlogon.exe也可能是W32.Netsky.D@mm蠕虫。该通过Email邮件传播，当你打开发送的附件时，即会被感染。该会创建SMTP引擎在受害者的计算机上，邮件进行传播。该允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议删除。

winlogon.exe自动连接网络是否正常

这个进程是不是一个世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程

正常的winlogon系统进程，其用户名为“SYSTEM” 程序名为小写winlogon.exe。

而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。

进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程，其用户名为“SYSTEM”。如果出现了两个winlogon.exe，且其中一个为大写，用户名为当前系统用户的话，表明可能存在木马。

具体查杀请看： ://.xren.net/security/14336.html

winlogon.exe在占内存非常高，是为什么，前今天还不这样呢，高手帮忙

分类: 电脑/网络 >> 反

问题描述:

防火墙检测到winlogon.exe每隔几秒就连接一次网络,比如连出到59.36.96.143:80,网上有人说这个文件正常情况下不会连接网络。

以下是用超级兔子检测到winlogon.exe调用的模块，共有82个，我只列出用超级兔子查询不到的进程模块：

C:\WINDOWS\system32\CLBCATQ.DLL

C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\ctl32.dll

C:\WINDOWS\system32\cscui.dll

C:\WINDOWS\system32\msacm32.drv

C:\WINDOWS\system32\ntmarta.dll

C:\WINDOWS\system32\phlpwcyw.dll (未知)

C:\WINDOWS\system32\profmap.dll

C:\WINDOWS\system32\regapi.dll

C:\WINDOWS\system32\shsvcs.dll

C:\WINDOWS\system32\wbem\wbemprox.dll

C:\WINDOWS\system32\wbem\wbemsvc.dll

D:\Program Files\Filseclab\xfilter\xfilter.dll (费尔个人防火墙)

这12个文件的下载地址：90960/bbs/winlogon.rar

解析:

C:\WINDOWS\system32\wbem\wbemprox.dll

C:\WINDOWS\system32\wbem\wbemsvc.dll

关闭上面两个文件试试，如果是自动上网可能有木马！

任务管理器的高手问题

可确定为..

Winlogon是Windows 2000/NT操作系统提供交互式登录支持的组件。Winlogon有三个组成部分：可执行文件winlogon.exe，提供图形界面认证功能的动态库Gina Dll，以及一些网络服务提供动态库Network Provider Dll。

Win32/Netsky.worm.17424是 Win32/Netsky.worm系列之. 此类通过邮件形式传播，被感染的计算机在系统目录中以winlogon.exe 文件形成同时对几个蠕虫和特洛伊木马具有治疗功能。

运行后症状:

运行蠕虫文件，WINDOW文件夹里的蠕虫文件复制为winlogon.exe文件.

(根据使用的WINDOW, 各系统文件夹都有所不同, 通常WINDOW 95/98/ME/XP是WINDOW NT/2000是 C:\WinNT 文件夹 )

但，WINDOW系统文件夹的winlogon.exe文件是正常的WINDOW系统文件.

(根据使用的WINDOW, 各系统文件夹都有所不同, 通常WINDOW 95/98/ME是 C:\Windows\System, WINDOW NT/2000是C:\WinNT\System32, WINDOW XP是 C:\Windows\System32文件夹 )

添加以下登记程序内容并启动WINDOW时蠕虫文件自动运行.

HKEY_LOCAL_MACHINE

\SOFTWARE

\Microsoft

\Windows

\CurrentVersion

\Run 的

ICQ Net键值 WINDOW文件夹\winlogon.exe -stealth ( ? : c:\winnt\winlogon.exe -stealth )

被感染的系统中收集邮件地址并通过邮件形式传播蠕虫附件.

任务管理器有什么

任务管理器的用户界面提供了文件、选项、查看、窗口、关机、帮助等六大菜单项，例如“关机”菜单下可以完成待机、休眠、关闭、重新启动、注销、切换等操作，其下还有应用程序、进程、性能、联网、用户等五个标签页，窗口底部则是状态栏，从这里可以查看到当前系统的进程数、CPU使用比率、更改的内存<容量等数据，默认设置下系统每隔两秒钟对数据进行1次自动更新，当然你也可以点击“查看→更新速度”菜单重新设置。

1. 应用程序

这里显示了所有当前正在运行的应用程序，不过它只会显示当前已打开窗口的应用程序，而QQ、MSN Messenger等最小化至系统托盘区的应用程序则并不会显示出来。

你可以在这里点击“结束任务”按钮直接关闭某个应用程序，如果需要同时结束多个任务，可以按住Ctrl键复选；点击“新任务”按钮，可以直接打开相应的程序、文件夹、文档或Internet，如果不知道程序的名称，可以点击“浏览”按钮进行搜索，其实这个“新任务”的功能看起来有些类似于开始菜单中的运行命令。

2. 进程

这里显示了所有当前正在运行的进程，包括应用程序、后台服务等，那些隐藏在系统底层深处运行的程序或木马程序都可以在这里找到，当然前提是你要知道它的名称。找到需要结束的进程名，然后执行右键菜单中的“结束进程”命令，就可以强行终止，不过这种方式将丢失未保存的数据，而且如果结束的是系统服务，则系统的某些功能可能无法正常使用。

Windows的任务管理器只能显示系统中当前进行的进程，而Process Explorer可以树状方式显示出各个进程之间的关系，即某一进程启动了哪些其他的进程，还可以显示某个进程所调用的文件或文件夹，如果某个进程是Windows服务，则可以查看该进程所注册的所有服务，需要的朋友可以从 ://.skycn/soft/17580.html 下载。

3. 性能

从任务管理器中我们可以看到计算机性能的动态概念，例如CPU和各种内存的使用情况。

CPU使用情况：表明处理器工作时间百分比的图表，该计数器是处理器活动的主要指示器，查看该图表可以知道当前使用的处理时间是多少。

CPU使用记录：显示处理器的使用程序随时间的变化情况的图表，图表中显示的样情况取决于“查看”菜单中所选择的“更新速度”设置值，“高”表示每秒2次，“正常”表示每两秒1次，“低”表示每四秒1次，“暂停”表示不自动更新。

PF使用情况：PF是页面文件page file的简写。但这个数字常常会让人误解，以为是系统当时所用页面文件大小。正确含义则是正在使用的内存之和，包括物理内存和虚拟内存。那么如何得知实际所使用的页面文件大小昵？一般用第三方软件，比如PageFile Monitor，也可以通过windows控制台来看。本人的页面文件预设了。

页面文件使用记录：显示页面文件的量随时间的变化情况的图表，图表中显示的样情况取决于“查看”菜单中所选择的“更新速度”设置值。

总数：显示计算机上正在运行的句柄、线程、进程的总数。

执行内存：分配给程序和操作系统的内存，由于虚拟内存的存在，“峰值”可以超过最大物理内存，“总数”值则与“页面文件使用记录”图表中显示的值相同。

句柄数：这个东东很专业的。会编程的人知道，我不懂，只知道被称作指针的指针，“线程数”指程序中能独立运行的部分，“进程数”简单理解就是运行的程序数目。

物理内存：计算机上安装的总物理内存，也称RAM，“可用数”物理内存中可被程序使用的空余量。但实际的空余量要比这个数值略大一点，因为物理内存不会在完全用完后才去转用虚拟内存的。也就是说这个空余量是指使用虚拟内存(pagefile)前所剩余的物理内存。 “系统缓存”被分配用于系统缓存用的物理内存量。主要来存放程序和数据等。一但系统或者程序需要，部分内存会被释放出来，也就是说这个值是可变的。

认可用量总数：其实就是被操作系统和正运行程序所占用内存总和，包括物理内存和虚拟内存（page file）。它和上面的PF使用率是相等的。“限制”指系统所能提供的最高内存量，包括物理内存（RAM)和虚拟（page file）内存。 “峰值”指一段时间内系统曾达到的内存使用最高值。如果这个值接近上面的“限制”的话，意味着要么你增加物理内存，要么增加pagefile，否则系统会给你颜色看的！

内核内存：操作系统内核和设备驱动程序所使用的内存，“分页数”是可以复制到页面文件中的内存，一旦系统需要这部分物理内存的话，它会被映射到硬盘，由此可以释放物理内存；“未分页”是保留在物理内存中的内存，这部分不会被映射到硬盘，不会被复制到页面文件中。

4. 联网

这里显示了本地计算机所连接的网络通信量的指示，使用多个网络连接时，我们可以在这里比较每个连接的通信量，当然只有安装网卡后才会显示该选项。

5. 用户

这里显示了当前已登录和连接到本机的用户数、标识(标识该计算机上的会话的数字ID)、活动状态(正在运行、已断开)、客户端名，可以点击“注销”按钮重新登录，或者通过“断开”按钮连接与本机的连接，如果是局域网用户，还可以向其他用户发送消息呢。

[编辑本段]任务管理器之特别任务

其实，任务管理器除了终止任务、结束进程、查看性能外，它还可以完成很多更高级的特别任务呢。下面，我们通过几个实例来介绍任务管理器的扩展应用：

实例一：同时最小化多个窗口

切换到“应用程序”标签页，按住Ctrl键同时选择需要同时最小化的应用程序项目，然后点击这些项目中的任意一个，从右键菜单中选择“最小化”命令即可，这里同时还可以完成层叠、横向平铺、纵向平铺等操作。

实例二：降低BT软件的占用率

运行BT软件时，往往会占用大量的系统，你会看到硬盘灯不停闪烁并伴随着飞速转动的噪音，此时无论是浏览网页或是运行其他应用程序，肯定会有系统停滞的感觉。

打开“任务管理器→进程”窗口，选择BT软件的进程名，然后从右键菜单中选择“设置优先级”命令，这里可以选择实时、高、高于标准、标准、低于标准、低等不同级别，请根据实际情况进行设置，例如设置为“低于标准”可以降低进程的优先级别，从而让Windows为其他进程分配更多的。

实例三：打造增强版本的任务管理器

有热心网友从Longhorn中将任务管理器剥离出来并提供下载，我们可以借此来打造一个增强版本的任务管理器。解压缩下载文件，会得到Taskkill.exe、Tasklist.exe、Taskmgr.exe等3个文件，首先覆盖\Windows\System32\Dllcahe\下的同名文件，覆盖前请事先备份源文件，接下来继续覆盖\Windows\System32\下的同名文件，当弹出“Windows文件保护”对话框时，选择“取消”按钮。

更换后的任务管理器不仅程序图标发生了变化，右击进程，可以发现在右键菜单中增加了打开所在目录、创建转储文件两个命令，而“查看→选择列”中增加了命令行、映像路径两个项目，前者可以查看所显示的进程是否被伪装，后者则可以查看进程的文件路径。

实例四：打开处理器的超线程

P4处理器的超线程技术(Hyper-Threading Technology)其实是相当于将一颗处理器分为两个虚拟的处理器，简单地说，实现超线程需要处理器、主板、操作系统三方面的支持。如果你使用的是Windows XP/Server 2003，而且确定自己的主板和处理器支持超线程，那么可以切换到“性能”标签页，如果这里显示两个CPU使用记录图表的话，说明你的处理器确确实实已经打开超线程。

当然，我们也可以在开机信息中查看超线程支持情况，一般会显示CPU1、CPU2两个处理器名称，或者启动后进入“设备管理器”，这样同样会显示两个处理器的信息。

实例五：禁用任务管理器

任务管理器可以完成如此强大的任务，如果你使用的是公用计算机，而又不希望他人私自操作任务管理器，可以在“开始→运行”框中键入Gpedit.msc命令打开组策略窗口，找到“本地计算机策略→用户配置→管理模板→系统→Ctrl+Alt+Del选项”项，然后在右侧窗口中选择“删除任务管理器”项，将其设置为“已启用”，以后按下“Ctrl+Alt+Del”组合键时就无法操作任务管理器了。

当然，通过文中提到的其他两个方法还是可以正常操作任务管理器的，一劳永逸的解决办法是为Taskmgr.exe文件设置用户授权，当然必须使用NTFS文件系统才行，呵呵。

也可以修改注册表来禁用：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system

新建Dword值：DisableTaskMgr=1（禁用）DisableTaskMgr=0（解禁）

小知识

句柄：用来惟一标识(例如文件中注册表项)的值，以便程序可以访问它。

线程：在运行程序指令的进程的对象，线程允许在进程中进行并发操作，并使一个进程能够在不同处理器上同时运行其程序的不同部分。

进程：一个可执行程序(例如管理器)或者一种服务(例如MSTask)

6.当任务管理器的界面出现不正常，如性能.进程的切换栏不见了，无法最大化最小化时等等时，你可以取以下措施恢复如无管理器的界面。操作如下：在边框上空白处双击即可！！

Windows系统的任务管理器是大家经常会用到的一个程序，通常它主要被用来管理计算机进程或者查看计算机实时的工作状态。实际上它还有不少的妙用。

奇招一：在网吧也能“运行”

在网吧“混”的朋友们都知道，网吧的机子通常来说都会将运行对话框屏蔽掉，如果大家碰上某些情况需要使用运行对话框就只能束手无策了。其实这个时候任务管理器能被临时用来代替运行对话框的作用。

先按住“Ctrl＋Alt＋Del”组合键尝试一下能否调出任务管理器，能调出就好办了，我们依次点击任务管理器的菜单“文件→新建任务”，弹出“创建新任务”（图1）窗口，输入内容试试看，它跟运行对话框效果相同啊！

奇招二：快速刷新注册表

许多软件在安装后会提示我们需要重新启动才能让软件正常使用，其实大部分时候这些软件只是在“小题大做”，因为重启仅仅是为了让注册表更新而已，我们可以利用任务管理器来更快地让软件生效。

方法为：在“进程”选项卡中用鼠标选择“explorer.exe”进程，然后点击右下角的“结束进程”按钮将它结束，这个时候桌面显示消失了。不必惊慌，我们在“创建新任务”窗口中输入“explorer.exe”。运行即可让桌面恢复显示，同时计算机的注册表也会被更新，现在软件就能正常使用了。

奇招三：优化游戏运行

许多朋友都和笔者一样还在使用1GB以下的内存，所以当我们玩3D游戏的时候就会觉得运行有些卡，这个时候除了使关闭游戏以外的所有程序以外，似乎再没有其他节省内存的办法了，其实我们可以在运行游戏前先在任务管理器中结束“explorer.exe”进程，因为它在很多情况下可都是内存耗用大户，结束它可为我们的游戏增加几十MB的可用内存，游戏效果当然会有更多改善。

不过此时没了桌面显示，启动游戏的方法也有所改变，我们需要打开“文件→新建任务”，然后点击“浏览”按钮进入游戏目录载入游戏主程序，点击“确定”即可运行游戏。

在W2K/XP中，同时按下Ctrl+Alt+Del键，可以打开Windows任务管理器，单击“进程”，可以看到很多正在运行的EXE进程：

System Idle Process：这是关键进程，只有16kB,循环统计CPU的空闲度，这个值越大越好。该进程不能被结束，该进程似乎没低于过25％，大多数情况下保持50％以上。

system:system是windows页面内存管理进程，拥有0级优先。(当system后面出现.exe时是netcontroller木马生成的文件，出现在c:\\windows目录下，建议将其删除。)

explorer：explorer.exe控制着标准的用户界面、进程、命令和桌面等。explorer.exe总是在后台运行，根据系统的字体、背景、活动桌面等情况的不同，通常会消耗5.8MB到36MB内存不等。（explorer.exe和Internet Explorer可不同）

IEXPLORE：iexplore.exe是Microsoft对因特网的主要编程器.，这个微软视窗应用让你畅游网络有了地方。 iexplore.exe是非常必要的过程,不应终止,除非怀疑造成问题。它的作用是加快我们再一次打开IE的速度，当关闭所有IE窗口时，它将依然在后台运行。当我们用它上网冲浪时，占有7.3MB甚至更多的内存，内存随着打开浏览器窗口的增加也增多。

ctfmon：这是安装了WinXP后，在桌面右下角显示的语言栏。如果不希望它出现，可通过下面的步骤取消：控制面板－区域和语言选项－语言－详细信息－文字服务和输入语言－（首选项）语言栏－语言栏设置－把在桌面上显示语言栏的勾取消。这样会为你节省4MB多的内存。

wowexec：用于支持16位操作系统的关键进程,不能终止。

csrss：这是Windows的核心部份之一，全称为Client Server Process。这个只有4K的进程经常消耗3MB到6MB左右的内存，不能终止,建议不要修改此进程。

dovldr32：为了节省内存，可以将禁止，它占用大约2.3MB到2.6MB的内存。

winlogon：这个进程处理登录和注销任务，事实上，这个进程是必需的，它的大小和你登录的时间有关。

services：services.exe是微软windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的,该进程系统禁止结束。

svchost:Svchost.exe是属于微软windows操作系统的系统程序，用于执行dll文件。这个程序对你系统的正常运行是非常重要的。开机出现“Generic Host Process for Win32 Services遇到问题需要关闭”一般都是说的这个进程找不到dll文件所致。

msmsgs：这是微软的Windows Messengr(即时通信软件)著名的MSN进程，在WinXP的家庭版和专业版里面绑定的，如果你还运行着Outlook和MSN Explorer等程序，该进程会在后台运行支持所有这些微软号称的很Cool的，NET功能等新技术。

msn6：这是微软在WinXP里面的MSN浏览器进程，当msmsgs.exe运行后才有这个进程。

Point32：这是安装了特殊的鼠标软件(Intellimouse等等)后启动的等程序，这不是系统必须的进程，通过用户许可协议安装。由于在WinXP里面内建了很多鼠标新功能，所以，就没有必要在系统后台运行，既浪费1.1MB到1.6MB的内存，还要在任务栏占个地方！

spoolsv:用于将windows打印机任务发送给本地打印机,关闭以后一会又自己开开。

Promon：这是Intel系列网卡配置和安装的程序，在任务栏显示图标控制程序，占据大约656KB到1.1MB的内存。

smss：只有45KB的大小却占据着300KB到2MB的内存空间，这是一个Windows的核心进程之一，是windowsNT内核的会话管理程序。

taskmgr：如果你看到了这个进程在运行，其实就是看这个进程的“任务管理器”本身。它大约占用了3.2MB的内存，当你优化系统时，不要忘了把它也算进去。

Tastch：在XP系统中安装了powerToys后会出现此进程，按Alt+Tab键显示切换图标，大约占用1.4MB到2MB的内存空间。

lsass：本地安全权限服务。是微软安全机制的系统进程，主要处理一些特殊的安全机制和登录策略。

atievxx：这是随ati显卡硬件产品驱动一起安装而来。它不是纯粹的系统程序，但如果终止它，可能会导致不可知的问题。

alg：这是微软windows操作系统自带的程序。它用于处理微软windows网络连接共享和网络连接防火墙,这个程序对你系统的正常运行是非常重要的。

非windows任务管理器：大多数人会想起Windows任务管理器，但是Windows的这个任务管理器实在是太简陋了，因此很多人转而使用第三方软件。目前，在网上的流行的第三方任务管理器比较多，比如WinProc、Windows Processes、Windows进程管理器等。

让我们从任务管理器中抓和木马

任何和木马存在于系统中，都无法彻底和进程脱离关系，即使用了隐藏技术，也还是能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测木马最直接的方法。但是系统中同时运行的进程那么多，哪些是正常的系统进程，哪些是木马的进程，而经常被木马冒的系统进程在系统中又扮演着什么角色呢？请看本文。

当我们确认系统中存在，但是通过“任务管理器”查看系统中的进程时又找不出异样的进程，这说明用了一些隐藏措施，总结出来有三法

1.以乱真

系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发现过系统中存在这样的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下，发现区别了么？这是经常使用的伎俩，目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却完全不同。又或者多一个字母或少一个字母，例如explorer.exe和iexplore.exe本来就容易搞混，再出现个iexplorer.exe就更加混乱了。如果用户不仔细，一般就忽略了，的进程就逃过了一劫。

2.偷梁换柱

如果用户比较心细，那么上面这招就没用了，会被就地正法。于是乎，也学聪明了，懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe，和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢？非也，其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下（Windows2000则是C:\WINNT\system32目录），如果将自身复制到“C:\WINDOWS\”中，并改名为svchost.exe，运行后，我们在“任务管理器”中看到的也是svchost.exe，和正常的系统进程无异。你能辨别出其中哪一个是的进程吗？

3.借尸还魂

除了上文中的两种方法外，还有一招终极大法——借尸还魂。所谓的借尸还魂就是用了进程插入技术，将运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被控制了，除非我们借助专业的进程检测工具，否则要想发现隐藏在其中的是很困难的。

上文中提到了很多系统进程，这些系统进程到底有何作用，其运行原理又是什么？下面我们将对这些系统进程进行逐一讲解，相信在熟知这些系统进程后，就能成功破解的“以乱真”和“偷梁换柱”了。

常被冒充的进程名有：svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多，为了节省系统，微软把很多服务做成共享方式，交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的，它们把可执行程序指向scvhost，由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务，双击其中“ClipBook”服务，在其属性面板中可以发现对应的可执行文件路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”服务，可以发现其可执行文件路径为“C:\WINDOWS\system32\svchost.exe-kLocalService”，而“Server”服务的可执行文件路径为“C:\WINDOWS\system32\svchost.exe-knetsvcs”。正是通过这种调用，可以省下不少系统，因此系统中出现多个svchost.exe，其实只是系统的服务而已。

在Windows2000系统中一般存在2个svchost.exe进程，一个是RPCSS(RemoteProcedureCall)服务进程，另外一个则是由很多服务共享的一个svchost.exe；而在WindowsXP中，则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个，就要小心了，很可能是冒的，检测方法也很简单，使用一些进程管理工具，例如Windows优化大师的进程管理功能，查看svchost.exe的可执行文件路径，如果在“C:\WINDOWS\system32”目录外，那么就可以判定是了。

常被冒充的进程名有：iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“管理器”。如果在“任务管理器”中将explorer.exe进程结束，那么包括任务栏、桌面、以及打开的文件都会统统消失，单击“任务管理器”→“文件”→“新建任务”，输入“explorer.exe”后，消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的。

explorer.exe进程默认是和系统一起启动的，其对应可执行文件的路径为“C:\Windows”目录，除此之外则为。

iexplore.exe

常被冒充的进程名有：iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像，因此比较容易搞混，其实iexplore.exe是MicrosoftInternetExplorer所产生的进程，也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了，iexplore.exe进程名的开头为“ie”，就是IE浏览器的意思。

iexplore.exe进程对应的可执行程序位于C:\ProgramFiles\InternetExplorer目录中，存在于其他目录则为，除非你将该文件夹进行了转移。此外，有时我们会发现没有打开IE浏览器的情况下，系统中仍然存在iexplore.exe进程，这要分两种情况：1.冒iexplore.exe进程名。2.偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。

rundll32.exe

常被冒充的进程名有：rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数，系统中存在多少个Rundll32.exe进程，就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的，他可以控制系统中的一些dll文件，举个例子，在“命令提示符”中输入“rundll32.exeuser32.dll,LockWorkStation”，回车后，系统就会快速切换到登录界面了。rundll32.exe的路径为“C:\Windows\system32”，在别的目录则可以判定是。

常被冒充的进程名有：spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“PrintSpooler”所对应的可执行程序，其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，计算机上的打印将不可用，同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备，那么就把这项服务关闭吧，可以节省系统。停止并关闭服务后，如果系统中还存在spoolsv.exe进程，这就一定是伪装的了。

限于篇幅，关于常见进程的介绍就到这里，我们平时在检查进程的时候如果发现有可疑，只要根据两点来判断：

1.仔细检查进程的文件名；

2.检查其路径。

通过这两点，一般的进程肯定会露出马脚。

找个管理进程的好帮手

系统内置的“任务管理器”功能太弱，肯定不适合查杀。因此我们可以使用专业的进程管理工具，例如Procexp。Procexp可以区分系统进程和一般进程，并且以不同的颜色进行区分，让冒系统进程的进程无处可藏。

运行Procexp后，进程会被分为两大块，“SystemIdleProcess”下属的进程属于系统进程，

explorer.exe”下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon.exe等都隶属于“SystemIdleProcess”，如果你在“explorer.exe”中发现了svchost.exe，那么不用说，肯定是冒充的。