ThaiCERT: Thai Computer Emergency Response Team ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย

เอกสารฉบับนี้อธิบายถึงรายชื่อโพรเซสที่รันโดยดีฟ้อลต์ใน Microsoft Windows 2000 Professional ซึ่งสามารถตรวจสอบได้จาก Task manager

รายละเอียด

• Csrss.exe (ไม่สามารถหยุดการทำงานของโพรเซสนี้ได้จาก Task Manager)
  เป็นส่วน user mode ของ Win32 subsystem ใช้สำหรับ client/server run-time subsystem ซึ่งมีความสำคัญต่อระบบมาก จะต้องรันอยู่ตลอดเวลา โดยตัว csrss.exe เองรับผิดชอบส่วน console windows, การสร้างหรือทำลาย threads และบางส่วนของ 16-bit Virtual MS-DOS environment
  
  
• Explorer.exe (สามารถหยุดการทำงานของโพรเซสนี้ได้จาก Task Manager)
  เป็น user shell ที่มองเห็นได้คือ taskbar, desktop และอื่นๆ โพรเซสนี้ไม่ได้มีความสำคัญมากมายนัก ถ้าทดลอง end process นี้ดูก็จะพบว่ามีเพียงแค่ desktop, taskbar หายไปเท่านั้นเอง
  
  
• Internat.exe (สามารถหยุดการทำงานของโพรเซสนี้ได้จาก Task Manager)
  ถูกฝังตัวอยู่ใน startup ดังนั้นมันจึงถูกรันทุกครั้งที่มีการล็อกออนเข้าใช้งาน โดยจะทำหน้าที่โหลดข้อมูลที่เกี่ยวข้องกับ locale จาก

  HKEY_USERS\.DEFAULT\Keyboard Layout\Preload

  ซึ่งจะทำหน้าที่โหลดคำว่า EN ให้แสดงใน system tray เพื่อให้ผู้ใช้สามารถเปลี่ยนภาษาในการใช้งานได้สะดวกขึ้น โดยถ้าหากโพรเซสนี้หยุดทำงานไปก็จะทำให้ตัวอักษร EN หรือ TH หายไป แต่การเปลี่ยนภาษายังคงสามารถทำได้ผ่านทาง Control Panel

• Lsass.exe (ไม่สามารถหยุดการทำงานของโพรเซสนี้ได้จาก Task Manager)
  เป็น local security authentication server จะสร้างโพรเซสสำหรับตรวจสอบผู้ใช้ผ่านทาง Winlogon service ซึ่งถ้าหากผ่านการตรวจสอบไปได้ Lsass จะสร้างโทเคนของผู้ใช้งานขึ้นมา (user's access token) ซึ่งจะทำหน้าที่สร้าง shell เบื้องต้นและโพรเซสอื่นๆ สำหรับผู้ใช้

• Mstask.exe (ไม่สามารถหยุดการทำงานของโพรเซสนี้ได้จาก Task Manager)
  เป็น task scheduler service รับผิดชอบการรันคำสั่งในเวลาที่กำหนด

• Smss.exe (ไม่สามารถหยุดการทำงานของโพรเซสนี้ได้จาก Task Manager)
  คือ session manager subsystem รับผิดชอบการสร้าง user session โดยโพรเซสนี้จะถูกสร้างโดย system thread และรับผิดชอบเหตุการณ์ต่างๆ มากมาย เช่น การรัน winlogon และ Win32 (Csrss.exe) การตั้งค่าตัวแปรของระบบ หลังจากที่มันรันโพรเซสต่างๆ ดังที่กล่าวไปแล้ว มันจะรอให้ Winlogon หรือ Csrss สิ้นสุดการทำงาน ซึ่งจะเกิดขึ้นเมื่อมีการ shutdown ระบบ หรือบางครั้งอาจจะเหตุการณ์ที่ไม่คาดฝันขึ้น ซึ่ง Smss.exe นี่เองที่ทำให้ระบบแฮงก์

• Spoolsv.exe (ไม่สามารถหยุดการทำงานของโพรเซสนี้ได้จาก Task Manager)
  เป็น spooler service ซึ่งมีหน้าที่ดูแลและจัดการ spool ของงานพิมพ์และแฟกซ์

• Svchost.exe (ไม่สามารถหยุดการทำงานของโพรเซสนี้ได้จาก Task Manager)
  เป็นโพรเซสทั่วไป ที่แสดงตัวเป็น host ให้โพรเซสอื่นรันใช้งานจาก DLL ดังนั้นจึงไม่แปลกที่จะเห็นว่ามีโพรเซสของ Svchost.exe รันอยู่พร้อมกันมากกว่าหนึ่งตัว นอกจากนี้ยังสามารถตรวจสอบได้ว่ามีโพรเซสใดบ้างที่ใช้งาน Svchost.exe อยู่ โดยใช้คำสั่ง Tlist.exe จาก Windows 2000 CD-ROM โดยสามารถรัน Tlist.exe -s ที่ command prompt ได้

  รายละเอียดเพิ่มเติมเกี่ยวกับ Svchost.exe

• Services.exe (ไม่สามารถหยุดการทำงานของโพรเซสนี้ได้จาก Task Manager)
  นี่คือ Services Control Manager รับผิดชอบในการ start, stop และ interact กับ system service ต่างๆ
  
  
• System (ไม่สามารถหยุดการทำงานของโพรเซสนี้ได้จาก Task Manager)
  ส่วนใหญ่ของ system kernel-mode thread รันบน System process
  
  
• System Idle Process (ไม่สามารถหยุดการทำงานของโพรเซสนี้ได้จาก Task Manager)
  เป็น thread ที่รันอยู่ 1 โพรเซสสำหรับ 1 processor นั่นหมายความว่าหากเครื่องมี 2 processor ก็ต้องมี System Idle Process รันอยู่ 2 โพรเซสพร้อมกัน เป็นโพรเซสที่ใช้ดึง process time และ processing power จากโพรเซสอื่น ถ้าหากค่าของ processing time, processing power มีค่าสูงๆ ก็ถือว่าเป็นผลดี
  
  
• Taskmgr.exe (ไม่สามารถหยุดการทำงานของโพรเซสนี้ได้จาก Task Manager)
  เป็นโพรเซสที่รับผิดชอบการ logon, logoff ของผู้ใช้ อย่างไรก็ตาม Winlogon จะ active เมื่อผู้ใช้กดปุ่ม CTRL+ALT+DEL เท่านั้น
  
  
• Winmgmt.exe (ไม่สามารถหยุดการทำงานของโพรเซสนี้ได้จาก Task Manager)
  เป็น component หลักของ client management ใน Windows 2000

สำหรับโพรเซสที่ไม่สามารถหยุด (kill) การทำงานผ่านทาง Task Manager ได้นั้น ยังสามารถทำได้โดยใช้คำสั่ง kill.exe ซึ่งเป็น utility ที่ติดมากับ Resource Kit แต่ควรระมัดระวังในการใช้งาน เพราะอาจจะทำให้ระบบมีปัญหาได้

Reference
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q263201