加密狗nt88
① 怎麼破解USB加密狗
hasp 系列加密狗破解有的朋友認為很難,其實不然,只要有足夠的耐心和技術基礎。是沒有問題的。
--------------------------------------------------------------------------------------------------------
004015FF |. 8D95 ACFBFFFF lea edx,[local.277]
00401605 |. 52 push edx
00401606 |. 8B85 F8FBFFFF mov eax,[local.258]
0040160C |. 50 push eax
0040160D |. 8B8D A8FBFFFF mov ecx,[local.278]
00401613 |. 51 push ecx
00401614 |. 68 D4E54000 push APP.0040E5D4 ; ASCII "EN"
00401619 |. 8B55 E8 mov edx,[local.6]
0040161C |. 52 push edx
0040161D |. E8 8E230000 call <jmp.&user_dll.sui_In> ;這個CALL只要一執行,就死掉,所以必須跟進
00401622 |. 8945 EC mov [local.5],eax
00401625 |. 8B45 EC mov eax,[local.5]
00401628 |> 8B4D F4 mov ecx,[local.3]
0040162B |. 64:890D 00000000 mov fs:[0],ecx
00401632 |. 8B4D E4 mov ecx,[local.7]
00401635 |. E8 C72D0000 call APP.00404401
0040163A |. 8BE5 mov esp,ebp
0040163C |. 5D pop ebp
0040163D \. C3 retn
--------------------------------------------------------------------------------------------------------
6、跟進後出現一下代碼,看第一行,就是0040161D 處調用的函數,再看右面的注釋,心跳加快,InitSystem,從名字上你都能猜想它會干什麼,對,讀狗的相關代碼就應該在這兒初始化(當然還要初始化其他信息),繼續跟進
--------------------------------------------------------------------------------------------------------
004039B0 $- FF25 C8554000 jmp ds:[<&user_In>] ; InitSystem
004039B6 $- FF25 C4554000 jmp ds:[<&user_Star>] ; StartProgram
004039BC $- FF25 C0554000 jmp ds:[<&user_Mai>]
004039C2 $- FF25 AC544000 jmp ds:[<&XXX_DLL.#3>]
004039C8 $- FF25 A8544000 jmp ds:[<&XXX_DLL.#47>]
--------------------------------------------------------------------------------------------------------
7、跟進後,代碼是一系列的IsBadReadPtr,由此判斷該處是初始化內存工作,離讀狗還用有一段距離。部分代碼如下,還有更多的IsBadReadPtr,沒必要就不貼了,貼一點提示思路即可。
一直按F8,痛苦的是這段代碼中有個循環,要循環20多次,稍不留神就結束循環,立刻進入另一個關鍵CALL,程序又死掉。所以在這兒又費了我很多時間。
--------------------------------------------------------------------------------------------------------
00EF5940 > 55 push ebp ;InitSystem函數
00EF5941 8BEC mov ebp,esp
00EF5943 81EC 280C0000 sub esp,0C28
00EF5949 A1 6C2EF100 mov eax,ds:[F12E6C]
00EF594E 8945 E0 mov ss:[ebp-20],eax
00EF5951 57 push edi
00EF5952 8B45 0C mov eax,ss:[ebp+C]
00EF5955 50 push eax
00EF5956 68 6848F100 push user_dll.00F14868
00EF595B E8 34F70000 call <jmp.&MSVCR71.strcpy>
00EF5960 83C4 08 add esp,8
00EF5963 B9 583AF100 mov ecx,user_dll.00F13A58
00EF5968 85C9 test ecx,ecx
00EF596A 74 46 je short user_dll.00EF59B2
00EF596C 6A 01 push 1
00EF596E 68 583AF100 push user_dll.00F13A58
00EF5973 FF15 1072F000 call ds:[<&KERNEL32.IsBadWritePtr>] ; kernel32.IsBadWritePtr
00EF5979 85C0 test eax,eax
00EF597B 75 35 jnz short user_dll.00EF59B2
00EF597D 837D 10 00 cmp dword ptr ss:[ebp+10],0
00EF5981 74 26 je short user_dll.00EF59A9
00EF5983 6A 01 push 1
00EF5985 8B55 10 mov edx,ss:[ebp+10]
00EF5988 52 push edx
00EF5989 FF15 1472F000 call ds:[<&KERNEL32.IsBadReadPtr>] ; kernel32.IsBadReadPtr
00EF598F 85C0 test eax,eax
00EF5991 75 16 jnz short user_dll.00EF59A9
00EF5993 68 04010000 push 104
00EF5998 8B45 10 mov eax,ss:[ebp+10]
00EF599B 50 push eax
00EF599C 68 583AF100 push user_dll.00F13A58
00EF59A1 FF15 1872F000 call ds:[<&KERNEL32.lstrcpynW>] ; kernel32.lstrcpynW
--------------------------------------------------------------------------------------------------------
8、上面代碼執行結束後迅速來到下面代碼,注釋處的CALL執行就死,跟進
--------------------------------------------------------------------------------------------------------
00EF5D8A 6A 03 push 3
00EF5D8C 68 10000100 push 10010
00EF5D91 8B15 9C3EF100 mov edx,ds:[F13E9C]
00EF5D97 83C2 12 add edx,12
00EF5D9A 52 push edx
00EF5D9B 68 D80CF100 push user_dll.00F10CD8
00EF5DA0 A1 9C3EF100 mov eax,ds:[F13E9C]
00EF5DA5 8B88 2C0F0000 mov ecx,ds:[eax+F2C]
00EF5DAB 51 push ecx
00EF5DAC E8 45E70000 call <jmp.&XXX_dll.#66_UserMessage>
00EF5DB1 EB 15 jmp short user_dll.00EF5DC8
00EF5DB3 E8 580B0000 call user_dll.00EF6910 ;該CALL執行就死掉,讀狗函數在這里
00EF5DB8 85C0 test eax,eax
00EF5DBA 74 0C je short user_dll.00EF5DC8
--------------------------------------------------------------------------------------------------------
9、跟進後一直按F8,遇到CALL user_dll.00XXXXXX字樣的要格外小心,果然執行到某個CALL的時候死掉,只好記住地址,重設斷點,重新來,繼續跟進死掉的CALL。由於這兒一直是尋找讀狗函數,所以不再貼代碼了,大家只看思路,無用代碼太多,會擾亂思路.
10、不厭其煩的重復上述過程突然發現下面代碼,相信僅僅函數名足以讓你興奮
-------------------------------------------------------------------------------------------------------
00EF6EB8 51 push ecx
00EF6EB9 68 680AF100 push user_dll.00F10A68
00EF6EBE 8B15 9C3EF100 mov edx,ds:[F13E9C]
00EF6EC4 83C2 12 add edx,12
00EF6EC7 52 push edx
00EF6EC8 E8 85D70000 call <jmp.&HLK_dll.#13_hlk_LogIn> ;LogIn,登錄狗
00EF6ECD 85C0 test eax,eax ;判斷返回值,如是0
00EF6ECF 0F84 B2000000 je user_dll.00EF6F87 ;跳走,死掉
00EF6ED5 C705 6C3EF100 01000000 mov dword ptr ds:[F13E6C],1
00EF6EDF E8 5CD70000 call <jmp.&HLK_dll.#10_hlk_Avail> ;讀另一個數據,為ReadDong做准備,雖然
00EF6EE4 85C0 test eax,eax ;不知道讀什麼,但返回值如是0
00EF6EE6 0F84 9B000000 je user_dll.00EF6F87 ;跳走,死掉
00EF6EEC 8D85 5CFFFFFF lea eax,ss:[ebp-A4]
00EF6EF2 50 push eax
00EF6EF3 E8 54D70000 call <jmp.&HLK_dll.#15_hlk_ReadDong> ;再讀
00EF6EF8 85C0 test eax,eax ;判斷返回值,如是0
00EF6EFA 0F84 87000000 je user_dll.00EF6F87 ;OVER
00EF6F00 B9 2848F100 mov ecx,user_dll.00F14828 ;判斷ECX是否為0,跟蹤發現該值是狗的編號
00EF6F05 85C9 test ecx,ecx ;是0與否,不影響程序運行
00EF6F07 74 2B je short user_dll.00EF6F34
00EF6F09 8D55 98 lea edx,ss:[ebp-68] ;該地址存放狗的編號
00EF6F0C 85D2 test edx,edx
00EF6F0E 74 16 je short user_dll.00EF6F26
00EF6F10 6A 06 push 6
00EF6F12 8D45 98 lea eax,ss:[ebp-68]
00EF6F15 50 push eax
00EF6F16 68 2848F100 push user_dll.00F14828
00EF6F1B FF15 E875F000 call ds:[<&MSVCR71.strncpy>] ; MSVCR71.strncpy
--------------------------------------------------------------------------------------------------------
11、聰明的你肯定知道該做什麼了,對,只要把00EF6ECF、00EF6EE6、00EF6EFA三處的je改為jne即可跳過狗的檢查。我毫不猶豫的就改了,運行,然而並沒有出現預想的興奮的事情。出現一個錯誤提示「沒有發現可選文件」。
12、「可選文件」是什麼意思,到軟體安裝目錄查看,有個OPTION文件夾,裡面有很多文件,用UltraEdit打開,看不懂呵呵
13、將改文件夾中的文件所有文件刪除,帶狗運行,出現和11步同樣的提示;恢復文件,運行正常。由此可見,解密那些文件需要狗中的數據,大家知道HASP狗用的是AES,難道狗中存放著AES密碼??帶著這樣的疑問跟蹤程序,來到下面代碼
--------------------------------------------------------------------------------------------------------00EF723F 8B8D 68F6FFFF mov ecx,ss:[ebp-998] ;壓入的三個參數意義就不說明了,因為沒必要
00EF7245 51 push ecx
00EF7246 8D95 64F8FFFF lea edx,ss:[ebp-79C]
00EF724C 52 push edx
00EF724D 8D85 BCFAFFFF lea eax,ss:[ebp-544]
00EF7253 50 push eax
00EF7254 E8 47180000 call user_dll.00EF8AA0 ;該函數執行完後,EDX會出現一些明碼,明碼信息
大概為APPLICAITON=XXX;OPTION=XXX.....是不是很像文件啟動需要檢查的選項?所以要弄懂解密演算法,必須跟進
--------------------------------------------------------------------------------------------------------
14、跟進後,部分代碼如下,這部分代碼很關鍵,所以貼的比較多。但是有很多是內核函數,很容易讀懂。
--------------------------------------------------------------------------------------------------------
00EF8B30 8D8D 68FDFFFF lea ecx,ss:[ebp-298]
00EF8B36 51 push ecx
00EF8B37 8B55 0C mov edx,ss:[ebp+C]
00EF8B3A 83C2 2C add edx,2C
00EF8B3D 52 push edx
00EF8B3E 68 5038F100 push user_dll.00F13850
00EF8B43 E8 14BD0000 call <jmp.&XXX_DLL.#100_ExtendPathName> ; 獲取文件完整路徑
00EF8B48 6A 00 push 0
00EF8B4A 8D85 70FFFFFF lea eax,ss:[ebp-90]
00EF8B50 50 push eax
00EF8B51 8D8D 68FDFFFF lea ecx,ss:[ebp-298]
00EF8B57 51 push ecx
00EF8B58 E8 63BC0000 call <jmp.&XXX_DLL.#47_MakeSString>
00EF8B5D 50 push eax
00EF8B5E FF15 0872F000 call ds:[<&KERNEL32.OpenFile>] ; 打開文件
00EF8B64 8985 54FDFFFF mov ss:[ebp-2AC],eax
00EF8B6A 83BD 54FDFFFF FF cmp dword ptr ss:[ebp-2AC],-1
00EF8B71 74 55 je short user_dll.00EF8BC8
00EF8B73 8B95 50FDFFFF mov edx,ss:[ebp-2B0]
00EF8B79 52 push edx
00EF8B7A 8B85 60FDFFFF mov eax,ss:[ebp-2A0] ;存放讀入數據的緩沖區,關鍵(後面破解用上)
00EF8B80 50 push eax
00EF8B81 8B8D 54FDFFFF mov ecx,ss:[ebp-2AC]
00EF8B87 51 push ecx
00EF8B88 FF15 F071F000 call ds:[<&KERNEL32._hread>] ; 讀文件,ebp-2A0為存放讀入數據的緩沖區
00EF8B8E 3B85 50FDFFFF cmp eax,ss:[ebp-2B0]
00EF8B94 75 19 jnz short user_dll.00EF8BAF
00EF8B96 8B55 10 mov edx,ss:[ebp+10]
00EF8B99 52 push edx
00EF8B9A 8B85 64FDFFFF mov eax,ss:[ebp-29C]
00EF8BA0 50 push eax
00EF8BA1 8B8D 60FDFFFF mov ecx,ss:[ebp-2A0] ;存放解密後的數據,和讀入緩沖區地址相同
00EF8BA7 51 push ecx
00EF8BA8 E8 B1BA0000 call <jmp.&HLK_dll.#12_hlk_Crypt> ;對讀入的數據進行解密,須弄懂演算法
00EF8BAD EB 0A jmp short user_dll.00EF8BB9
00EF8BAF C785 64FDFFFF 00000000 mov dword ptr ss:[ebp-29C],0
00EF8BB9 8B95 54FDFFFF mov edx,ss:[ebp-2AC]
00EF8BBF 52 push edx
00EF8BC0 FF15 F471F000 call ds:[<&KERNEL32._lclose>] ; 關閉文件
00EF8BC6 EB 0A jmp short user_dll.00EF8BD2
00EF8BC8 C785 64FDFFFF 00000000 mov dword ptr ss:[ebp-29C],0 ;後面的函數不做解釋了,只需知道解密後的
00EF8BD2 8B85 60FDFFFF mov eax,ss:[ebp-2A0] ;數據存放在ebp-2A0
00EF8BD8 0385 64FDFFFF add eax,ss:[ebp-29C]
00EF8BDE C600 00 mov byte ptr ds:[eax],0
00EF8BE1 8B4D 08 mov ecx,ss:[ebp+8]
00EF8BE4 8B95 60FDFFFF mov edx,ss:[ebp-2A0]
00EF8BEA 8911 mov ds:[ecx],edx
00EF8BEC 8B85 64FDFFFF mov eax,ss:[ebp-29C]
00EF8BF2 8B4D FC mov ecx,ss:[ebp-4]
00EF8BF5 E8 E8C30000 call user_dll.00F04FE2
00EF8BFA 8BE5 mov esp,ebp
00EF8BFC 5D pop ebp
00EF8BFD C3 retn
--------------------------------------------------------------------------------------------------------
15、為了得到解密後的數據,跟進00EF8BA8處的call <jmp.&HLK_dll.#12_hlk_Crypt>,看看到底是什麼演算法。可是樂觀的情緒又受打擊,該函數有大量的花指令,菜鳥階段,不懂如何去除花指令,研究肯定不是一天兩天的事。所以不能在一棵樹上弔死,換個思維,為什麼不能用程序本身的代碼進行解密呢!!!
對,就讓程序自身幫我們幹活!說干就干,在步驟13的00EF723F處設斷,反復運行程序,每執行一次查看ebp-2A0處的值,並mp出來,另存為16進制文件,這些文件就是解密過的文件,將其覆蓋原來的加密文件。剩下要做的就是跳過上面代碼中的解密模塊(_hlk_Crypt)。
這個很簡單,來到00EF8B8E 處,即程序剛進行完_hread之後,將該處的代碼cmp eax,ss:[ebp-2B0]改為jmp 00EF8BB9然後匯編。由於_hread函數和_hlk_Crypt函數用的是同一個緩沖區,所以_hread函數執行完畢後,ebp-2A0處的已解密數據就可順利為後續程序使用了。
16、經過上面修改後,F9,程序順利啟動!!!!
【繼續完善】
17、程序運行一段時間後,彈出對話框,通知確定狗的存在!!看來程序啟動中還是要定時檢查的。
第一個念頭:查找SetTimer函數,果然找到,且只有一次調用,心想就是這個函數在作怪了,該函數的uElapsed值為1秒,我將其該為9A7EC800,即30天。運行,可是仍然定時檢查狗的存在
第二個念頭:查找其他有關時間的函數,但感覺有點費勁,進而轉第三個念頭
第三個念頭:以其他的函數設斷點,如大家常用的CreateFile、DeviceIoControl等,但沒用過,感覺肯定不是跟蹤一兩句代碼就可搞定的事情,進而轉第四個念頭
第四個念頭:一勞永逸的想法,從源頭解決問題。為什麼不直接修改讀狗函數的返回值?這樣程序無論何時檢查狗都無所謂。
重新跟進hlk_LogIn、hlk_Avail、hlk_ReadDong三個函數,發現這三個函數返回前都有共同的代碼:
--------------------------------------------------------------------------------------------------------
00B5126C 837D FC 00 cmp dword ptr ss:[ebp-4],0 ;看ebp-4是否為0
00B51270 0F94C0 sete al ;是,則eax=1,有狗
00B51273 8B4D F4 mov ecx,ss:[ebp-C]
00B51276 E8 C6640400 call HLK_dll.00B97741 ;該CALL並不是真正函數,經驗證不影響上面的EAX值
00B5127B 8BE5 mov esp,ebp
00B5127D 5D pop ebp
00B5127E C2 0C00 retn 0C
-----------------------------------------------------------------------------------------------------
不插狗的情況下[ebp-4] = 9,因此eax = 0,無狗,因此只需將 sete al改為 setne al,匯編,即可。
至此,打狗結束,程序非常正常。將修改後的文件另存到可執行文件,做為補丁,覆蓋原文件,狗解除。
② 用友ERP-U8登陸套賬時提示:演示期限已到期,這是怎麼回事怎麼辦
意思是使用使用期限到了,具體情況和解決辦法如下:
1、用友一般沒有加密鎖而且使用的是正版安裝盤的話有3個月數據的使用期限,比如1月份啟用的帳數據做到了3月份,那就會提示演示期限已到。
2、如果有加密狗,又有這個提示的話,一種情況是加密服務沒有正常啟動,查看管理工具里的服務,看看servernt.exe這個執行文件對應的服務有沒有啟動(因為用友各個版本對應的服務名稱不太一樣)。
3、第三種情況是加密狗沒有被正常識別,檢查加密狗是不是對應現在的軟體版本,檢查加密狗是不是插著,更換加密狗的usb插口看看能不能識別,查看在設備管理中是否有個職能識別卡什麼的,或者重新啟動下加密服務看看。
(2)加密狗nt88擴展閱讀:
加密狗是一種加密產品,已插入計算機的並行埠中(新的加密狗也具有USB埠)。通常,有數十個或數百個位元組的非易失性存儲空間可用於讀取和寫入,更新的加密狗(加密鎖)還包含一個單片機。
軟體開發人員可以使用介面功能與加密狗交換數據(即讀取和寫入加密狗),以檢查加密狗是否已插入介面,或直接使用加密狗附帶的工具來加密自己的EXE文件(通常稱為「shell」)。
這樣,軟體開發人員可以在軟體中設置多個軟體鎖,並使用加密鎖作為打開這些鎖的密鑰。如果未插入加密鎖或加密鎖不對應,則軟體將無法正常執行。
加密鎖是一種針對軟體開發人員的具有軟體保護功能的智能工具。它包括安裝在計算機的並行埠或USB埠上的硬體,以及適用於各種語言的一組介面軟體和工具軟體。加密鎖基於硬體保護技術,其目的是通過保護軟體和數據來防止知識產權的非法使用。
③ 加密狗是否與驅動產生沖突
當列印機和軟體狗沖突時,都有哪些可能?如何解決呢?
這種沖突只能發生於您使用並口軟體狗的情況下。並口軟體狗對於列印機及其它符合 IEEE-1284 並口標準的標准設備都是透明的,但在同時工作時有可能會引起沖突。在 Win9X/ME/NT/2000/XP 下,通過驅動程序管理並口軟體狗和列印機共同工作。當列印機與並口軟體狗相互影響使其中之一無法正常工作時,一般有以下幾種可能:
a. 列印機電源未開,列印機將並口電壓降低至並口加密狗工作電壓之下,此時並口加密狗無法正常工作。
解決方法: 對於此類列印機,只需將列印機電源打開 或將列印機去掉 即可使並口加密狗工作正常。
b. 列印機驅動程序是並口獨占型驅動,此時並口加密狗無法正常工作。
解決方法: 對於此類列印機只能盡量避免並口加密狗與列印機同時工作,或者將列印驅動程序去掉。
c .並口工作方式不適於並口加密狗或列印機共同工作
解決方法: 一般來說,並口加密狗及列印機在 normal 並口方式下沖突的可能性最小,可調整並口工作方式至 normal 模式。
d .接觸不良或並口中個別線已斷
解決方法: 由於並口加密狗和列印機用到了並口中不同的線,在此種情況下有可能會發生只有並口加密狗或列印機一個可以工作,而另一個無法工作。建議更換或維修並口。
其他解決方案:
1 、使用 USB 軟體狗;
2 、購買本公司的並口卡,並口軟體狗在並口卡上工作,列印機在並口上工作,互不影響沒有沖突的可能性。
④ 軟體中類似U盤的一個叫狗的是什麼東西
是加密鎖。
加密鎖是一種插在計算機並行口上的軟硬體結合的加密產品(新型加密鎖也有usb口的)。一般都有幾十或幾百位元組的非易失性存儲空間可供讀寫,現較新的狗(加密鎖)內部還包含了單片機。
加密狗的應用程序介面(API)基本上都是公開的。隨著解密技術的發展,單片機加密狗由於其演算法簡單,存儲空間小,容易被硬體復制等原因,正逐漸被市場所淘汰。
(4)加密狗nt88擴展閱讀
工作原理
加密鎖是在軟體運行過程中,通過與加密鎖交換數據來實現加密的。加密鎖內置單片機電路,使加密鎖具有判斷和分析的處理能力,提高了主動防解密能力,這種加密產品稱之為「智能」加密鎖。
加密鎖的嵌入式單片機包含加密演算法軟體,軟體寫入單片機後,不能再讀出。這樣就無法復制加密鎖硬體,同時加密演算法具有不可預測性和不可逆性。
⑤ dos系統如何加密
給Ghost鏡像文件加密 Ghost是一款大家熟悉的硬碟備份恢復工具,它以其快速高效等特點成為眾多用戶的首選。只不過在通常情況下,我們製作出的Ghost鏡像文件並沒有任何安全保護措施,這也就帶來一個問題:其他人可隨意使用這個鏡像文件對分區進行覆蓋,或者利用Ghost Explorer修改其中內容。
其實通過運行帶參數的Ghost命令,我們就可以製作出帶密碼保護的Ghost鏡像文件。在DOS模式下進入Ghost所在的目錄,鍵入「ghost -pwd」命令,注意中間有一空格,然後回車執行,這時按照正常的步驟進行備份,當程序最後創建鏡像文件之前,會彈出一個對話框提示我們設置密碼,輸入指定的密碼並按下「OK」確定。這樣當我們使用Ghost Explorer打開上述方法生成的Ghost鏡像文件或者用該鏡像文件恢復硬碟分區時,程序都會要求輸入正確的密碼。
如果覺得上述設置密碼的方法還是麻煩的話,我們可以在啟動命令中直接指定密碼,例如要設置鏡像文件的密碼為「pass」,則鍵入「Ghost -pws=pass」。
⑥ 如何安裝金蝶軟體加密狗
金蝶2000的加密卡採用的是彩虹卡,首選確定你的操作系統是什麼?如果是2000則安裝的路徑是金蝶安裝盤\WIN_NT\setupx86.exe在出來的窗口中選擇function\install sentinel driver出來的窗口別管他,然後直接單擊確定,即可安裝好金蝶的加密狗驅動。
⑦ 如何注冊T3的加密狗
第一步:退出殺毒軟體和安全衛士,點擊右鍵退出,注意安全衛士要選完全退出。
第二步:點擊T3右下角,在出來的界面中點擊 停止----是---是 。
第三步:退出T3軟體,解壓加密狗驅動器,直接安裝下一步到完成。
第四步:點開,開始資料庫伺服器,點擊 開始/繼續。
第五步:殺毒軟體中添加信任文件:點開 安全衛士---查殺木馬—找到右邊 已信任文件
,點擊 添加文件C:\WINDOWS\system32\ServerNT.exe 。點開 360殺毒---點擊右上角 設置---白名單,添加文件---選擇個文件C:\WINDOWS\system32\ServerNT.exe。
第六步:點擊 開始—控制面板—管理工具—服務,點擊後找到右邊列表最下面一個---用友通服務。點擊啟動,就完成了。
⑧ 加密狗在任務管理器的進程應該是什麼
有多少進程不好說,每個系統優化得不一樣,有的只有10幾個,但是有的有30個,但都是正常的,建議看看下面的。
很多用戶都對於自己機器的進程不是很明白,有時總誤認為是病毒的進程,希望介紹一些系統的小知識,便於大家使用計算機。
最基本的系統進程(也就是說,這些進程是系統運行的基本條件,有了這些進程,系統就能正常運行):
smss.exe Session Manager
csrss.exe 子系統伺服器進程
winlogon.exe 管理用戶登錄
services.exe 包含很多系統服務
lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。(系統服務)
產生會話密鑰以及授予用於互動式客戶/伺服器驗證的服務憑據(ticket)。(系統服務)
svchost.exe 包含很多系統服務
SPOOLSV.EXE 將文件載入到內存中以便遲後列印。(系統服務)
explorer.exe 資源管理器
internat.exe 托盤區的拼音圖標
附加的系統進程(這些進程不是必要的,你可以根據需要通過服務管理器來增加或減少):
mstask.exe 允許程序在指定時間運行。(系統服務)
regsvc.exe 允許遠程注冊表操作。(系統服務)
winmgmt.exe 提供系統管理信息(系統服務)。
inetinfo.exe 通過 Internet 信息服務的管理單元提供 ftp 連接和管理。(系統服務)
tlntsvr.exe 允許遠程用戶登錄到系統並且使用命令行運行控制台程序。(系統服務)
允許通過 Internet 信息服務的管理單元管理 Web 和 FTP 服務。(系統服務)
tftpd.exe 實現 TFTP Internet 標准。該標准不要求用戶名和密碼。遠程安裝服務的一部分。(系統服務)
termsrv.exe 提供多會話環境允許客戶端設備訪問虛擬的 Windows 2000 Professional 桌面會話以及運行在伺服器上的基
於 Windows 的程序。(系統服務)
dns.exe 應答對域名系統(DNS)名稱的查詢和更新請求。(系統服務)
以下服務很少會用到,上面的服務都對安全有害,如果不是必要的應該關掉
tcpsvcs.exe 提供在 PXE 可遠程啟動客戶計算機上遠程安裝 Windows 2000 Professional 的能力。(系統服務)
支持以下 TCP/IP 服務:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系統服務)
ismserv.exe 允許在 Windows Advanced Server 站點間發送和接收消息。(系統服務)
ups.exe 管理連接到計算機的不間斷電源(UPS)。(系統服務)
wins.exe 為注冊和解析 NetBIOS 型名稱的 TCP/IP 客戶提供 NetBIOS 名稱服務。(系統服務)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多個伺服器間維護文件目錄內容的文件同步。(系統服務)
RsSub.exe 控制用來遠程儲存數據的媒體。(系統服務)
locator.exe 管理 RPC 名稱服務資料庫。(系統服務)
lserver.exe 注冊客戶端許可證。(系統服務)
dfssvc.exe 管理分布於區域網或廣域網的邏輯卷。(系統服務)
clipsrv.exe 支持「剪貼簿查看器」,以便可以從遠程剪貼簿查閱剪貼頁面。(系統服務)
msdtc.exe 並列事務,是分布於兩個以上的資料庫,消息隊列,文件系統,或其它事務保護資源管理器。(系統服務)
faxsvc.exe 幫助您發送和接收傳真。(系統服務)
cisvc.exe Indexing Service(system service)
dmadmin.exe 磁碟管理請求的系統管理服務。(系統服務)
mnmsrvc.exe 允許有許可權的用戶使用 NetMeeting 遠程訪問 Windows 桌面。(系統服務)
netdde.exe 提供動態數據交換 (DDE) 的網路傳輸和安全特性。(系統服務)
smlogsvc.exe 配置性能日誌和警報。(系統服務)
rsvp.exe 為依賴質量服務(QoS)的程序和控制應用程序提供網路信號和本地通信控制安裝功能。(系統服務)
RsEng.exe 協調用來儲存不常用數據的服務和管理工具。(系統服務)
RsFsa.exe 管理遠程儲存的文件的操作。(系統服務)
grovel.exe 掃描零備份存儲(SIS)卷上的重復文件,並且將重復文件指向一個數據存儲點,以節省磁碟空間。(系統服務)
SCardSvr.exe 對插入在計算機智能卡閱讀器中的智能卡進行管理和訪問控制。(系統服務)
snmp.exe 包含代理程序可以監視網路設備的活動並且向網路控制台工作站匯報。(系統服務)
snmptrap.exe 接收由本地或遠程 SNMP 代理程序產生的陷阱消息,然後將消息傳遞到運行在這台計算機上 SNMP 管理程序
。(系統服務)
UtilMan.exe 從一個窗口中啟動和配置輔助工具。(系統服務)
msiexec.exe 依據 .MSI 文件中包含的命令來安裝、修復以及刪除軟體。(系統服務)
詳細說明:
win2k運行進程
Svchost.exe
Svchost.exe文件對那些從動態連接庫中運行的服務來說是一個普通的主機進程名。Svhost.exe文件定位
在系統的%systemroot%\system32文件夾下。在啟動的時候,Svchost.exe檢查注冊表中的位置來構建需要
載入的服務列表。這就會使多個Svchost.exe在同一時間運行。每個Svchost.exe的回話期間都包含一組服務,
以至於單獨的服務必須依靠Svchost.exe怎樣和在那裡啟動。這樣就更加容易控制和查找錯誤。
Svchost.exe 組是用下面的注冊表值來識別。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每個在這個鍵下的值代表一個獨立的Svchost組,並且當你正在看活動的進程時,它顯示作為一個單獨的
例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括運行在Svchost組內的服務。每個Svchost組都包含一個
或多個從注冊表值中選取的服務名,這個服務的參數值包含了一個ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
explorer.exe
這是一個用戶的shell(我實在是不知道怎麼翻譯shell),在我們看起來就像任務條,桌面等等。這個
進程並不是像你想像的那樣是作為一個重要的進程運行在windows中,你可以從任務管理器中停掉它,或者重新啟動。
通常不會對系統產生什麼負面影響。
internat.exe
這個進程是可以從任務管理器中關掉的。
internat.exe在啟動的時候開始運行。它載入由用戶指定的不同的輸入點。輸入點是從注冊表的這個位置
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 載入內容的。
internat.exe 載入「EN」圖標進入系統的圖標區,允許使用者可以很容易的轉換不同的輸入點。
當進程停掉的時候,圖標就會消失,但是輸入點仍然可以通過控制面板來改變。
lsass.exe
這個進程是不可以從任務管理器中關掉的。
這是一個本地的安全授權服務,並且它會為使用winlogon服務的授權用戶生成一個進程。這個進程是
通過使用授權的包,例如默認的msgina.dll來執行的。如果授權是成功的,lsass就會產生用戶的進入
令牌,令牌別使用啟動初始的shell。其他的由用戶初始化的進程會繼承這個令牌的。
mstask.exe
這個進程是不可以從任務管理器中關掉的。
這是一個任務調度服務,負責用戶事先決定在某一時間運行的任務的運行。
smss.exe
這個進程是不可以從任務管理器中關掉的。
這是一個會話管理子系統,負責啟動用戶會話。這個進程是通過系統進程初始化的並且對許多活動的,
包括已經正在運行的Winlogon,Win32(Csrss.exe)線程和設定的系統變數作出反映。在它啟動這些
進程後,它等待Winlogon或者Csrss結束。如果這些過程時正常的,系統就關掉了。如果發生了什麼
不可預料的事情,smss.exe就會讓系統停止響應(就是掛起)。
spoolsv.exe
這個進程是不可以從任務管理器中關掉的。
緩沖(spooler)服務是管理緩沖池中的列印和傳真作業。
service.exe
這個進程是不可以從任務管理器中關掉的。
大多數的系統核心模式進程是作為系統進程在運行。
System Idle Process
這個進程是不可以從任務管理器中關掉的。
這個進程是作為單線程運行在每個處理器上,並在系統不處理其他線程的時候分派處理器的時間。
winlogon.exe
這個進程是管理用戶登錄和推出的。而且winlogon在用戶按下CTRL+ALT+DEL時就激活了,顯示安全對話框。
winmgmt.exe
winmgmt是win2000客戶端管理的核心組件。當客戶端應用程序連接或當管理程序需要他本身的服務時這個進程初始化
taskmagr.exe
這個進程就是任務管理器。
在知道里找到不少製作QQ空間的代碼。但每次我在新建模塊無論在網址里還是評論里輸入代碼最後保存都沒有顯示相應的效果,請問具體製作步驟是怎樣?
winXP進程全接觸
Windows 2000/XP 的任務管理器是一個非常有用的工具,它能提供我們很多信息,比如
現在系統中運行的程序(進程),但是面對那些文件可執行文件名我們可能有點茫然,
不知道它們是做什麼的,會不會有可疑進程(病毒,木馬等)。本文的目的就是提供一
些常用的Windows 2000 中的進程名,並簡單說明它們的用處。
在 WINDOWS 2000 中,系統包含以下預設進程:
Csrss.exe
Explorer.exe
Internat.exe
Lsass.exe
Mstask.exe
Smss.exe
Spoolsv.exe
Svchost.exe
Services.exe
System
System Idle Process
Taskmgr.exe
Winlogon.exe
Winmgmt.exe
下面列出更多的進程和它們的簡要說明
進程名 描述
smss.exe Session Manager
csrss.exe 子系統伺服器進程
winlogon.exe 管理用戶登錄
services.exe 包含很多系統服務
lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安
全驅動程序。
svchost.exe Windows 2000/XP 的文件保護系統
SPOOLSV.EXE 將文件載入到內存中以便遲後列印。)
explorer.exe 資源管理器
internat.exe 托盤區的拼音圖標)
mstask.exe 允許程序在指定時間運行。
regsvc.exe 允許遠程注冊表操作。(系統服務)->remoteregister
winmgmt.exe 提供系統管理信息(系統服務)。
inetinfo.exe msftpsvc,w3svc,iisadmn
tlntsvr.exe tlnrsvr
tftpd.exe 實現 TFTP Internet 標准。該標准不要求用戶名和密碼。
termsrv.exe termservice
dns.exe 應答對域名系統(DNS)名稱的查詢和更新請求。
tcpsvcs.exe 提供在 PXE 可遠程啟動客戶計算機上遠程安裝 Windows
2000 Professional 的能力。
ismserv.exe 允許在 Windows Advanced Server 站點間發送和接收消息。
ups.exe 管理連接到計算機的不間斷電源(UPS)。
wins.exe 為注冊和解析 NetBIOS 型名稱的 TCP/IP 客戶提供 NetBIOS
名稱服務。
llssrv.exe 證書記錄服務
ntfrs.exe 在多個伺服器間維護文件目錄內容的文件同步。
RsSub.exe 控制用來遠程儲存數據的媒體。
locator.exe 管理 RPC 名稱服務資料庫。
lserver.exe 注冊客戶端許可證。
dfssvc.exe 管理分布於區域網或廣域網的邏輯卷。
clipsrv.exe 支持「剪貼簿查看器」,以便可以從遠程剪貼簿查閱剪貼頁
面。
msdtc.exe 並列事務,是分布於兩個以上的資料庫,消息隊列,文件系統
或其它事務保護護資源管理器。
faxsvc.exe 幫助您發送和接收傳真。
cisvc.exe 索引服務
dmadmin.exe 磁碟管理請求的系統管理服務。
mnmsrvc.exe 允許有許可權的用戶使用 NetMeeting 遠程訪問 Windows 桌
面。
netdde.exe 提供動態數據交換 (DDE) 的網路傳輸和安全特性。
smlogsvc.exe 配置性能日誌和警報。
rsvp.exe 為依賴質量服務(QoS)的程序和控制應用程序提供網路信號和
本地通信控制安裝功功能。
RsEng.exe 協調用來儲存不常用數據的服務和管理工具。
RsFsa.exe 管理遠程儲存的文件的操作。
grovel.exe 掃描零備份存儲(SIS)卷上的重復文件,並且將重復文件指向
一個數據存儲點,以節省磁碟空間(只對 NTFS 文件系統有用)。
SCardSvr.ex 對插入在計算機智能卡閱讀器中的智能卡進行管理和訪問控
制。
snmp.exe 包含代理程序可以監視網路設備的活動並且向網路控制台工作
站匯報。
snmptrap.exe 接收由本地或遠程 SNMP 代理程序產生的陷阱(trap)消息,
然後將消息傳遞到運行在這台計算機上 SNMP 管理程序。
UtilMan.exe 從一個窗口中啟動和配置輔助工具。
msiexec.exe 依據 .MSI 文件中包含的命令來安裝、修復以及刪除軟體。
另外,有很多朋友都有這樣的疑問:我的開機進程里有smss.exe和csrss.exe兩個文件,
有什麼作用?
進程文件: smss or smss.exe
進程名稱: Session Manager Subsystem
描述: 該進程為會話管理子系統用以初始化系統變數,MS-DOS驅動名稱類似LPT1以及
COM,調用Win32殼子系統和運行在Windows登陸過程。
常見錯誤: N/A
是否為系統進程: 是
進程文件: csrss or csrss.exe
進程名稱: Client/Server Runtime Server Subsystem
描述: 客戶端服務子系統,用以控制Windows圖形相關子系統。
常見錯誤: N/A
是否為系統進程: 是
所以,對自己不熟悉 沒有把握的進程, 不要隨便結束它.建議:把你認為有問題的進程比
如"csrss.exe",在google里搜索"csrss.exe",就會獲得相關的知識