加密狗nt88
① 怎么破解USB加密狗
hasp 系列加密狗破解有的朋友认为很难,其实不然,只要有足够的耐心和技术基础。是没有问题的。
--------------------------------------------------------------------------------------------------------
004015FF |. 8D95 ACFBFFFF lea edx,[local.277]
00401605 |. 52 push edx
00401606 |. 8B85 F8FBFFFF mov eax,[local.258]
0040160C |. 50 push eax
0040160D |. 8B8D A8FBFFFF mov ecx,[local.278]
00401613 |. 51 push ecx
00401614 |. 68 D4E54000 push APP.0040E5D4 ; ASCII "EN"
00401619 |. 8B55 E8 mov edx,[local.6]
0040161C |. 52 push edx
0040161D |. E8 8E230000 call <jmp.&user_dll.sui_In> ;这个CALL只要一执行,就死掉,所以必须跟进
00401622 |. 8945 EC mov [local.5],eax
00401625 |. 8B45 EC mov eax,[local.5]
00401628 |> 8B4D F4 mov ecx,[local.3]
0040162B |. 64:890D 00000000 mov fs:[0],ecx
00401632 |. 8B4D E4 mov ecx,[local.7]
00401635 |. E8 C72D0000 call APP.00404401
0040163A |. 8BE5 mov esp,ebp
0040163C |. 5D pop ebp
0040163D \. C3 retn
--------------------------------------------------------------------------------------------------------
6、跟进后出现一下代码,看第一行,就是0040161D 处调用的函数,再看右面的注释,心跳加快,InitSystem,从名字上你都能猜想它会干什么,对,读狗的相关代码就应该在这儿初始化(当然还要初始化其他信息),继续跟进
--------------------------------------------------------------------------------------------------------
004039B0 $- FF25 C8554000 jmp ds:[<&user_In>] ; InitSystem
004039B6 $- FF25 C4554000 jmp ds:[<&user_Star>] ; StartProgram
004039BC $- FF25 C0554000 jmp ds:[<&user_Mai>]
004039C2 $- FF25 AC544000 jmp ds:[<&XXX_DLL.#3>]
004039C8 $- FF25 A8544000 jmp ds:[<&XXX_DLL.#47>]
--------------------------------------------------------------------------------------------------------
7、跟进后,代码是一系列的IsBadReadPtr,由此判断该处是初始化内存工作,离读狗还用有一段距离。部分代码如下,还有更多的IsBadReadPtr,没必要就不贴了,贴一点提示思路即可。
一直按F8,痛苦的是这段代码中有个循环,要循环20多次,稍不留神就结束循环,立刻进入另一个关键CALL,程序又死掉。所以在这儿又费了我很多时间。
--------------------------------------------------------------------------------------------------------
00EF5940 > 55 push ebp ;InitSystem函数
00EF5941 8BEC mov ebp,esp
00EF5943 81EC 280C0000 sub esp,0C28
00EF5949 A1 6C2EF100 mov eax,ds:[F12E6C]
00EF594E 8945 E0 mov ss:[ebp-20],eax
00EF5951 57 push edi
00EF5952 8B45 0C mov eax,ss:[ebp+C]
00EF5955 50 push eax
00EF5956 68 6848F100 push user_dll.00F14868
00EF595B E8 34F70000 call <jmp.&MSVCR71.strcpy>
00EF5960 83C4 08 add esp,8
00EF5963 B9 583AF100 mov ecx,user_dll.00F13A58
00EF5968 85C9 test ecx,ecx
00EF596A 74 46 je short user_dll.00EF59B2
00EF596C 6A 01 push 1
00EF596E 68 583AF100 push user_dll.00F13A58
00EF5973 FF15 1072F000 call ds:[<&KERNEL32.IsBadWritePtr>] ; kernel32.IsBadWritePtr
00EF5979 85C0 test eax,eax
00EF597B 75 35 jnz short user_dll.00EF59B2
00EF597D 837D 10 00 cmp dword ptr ss:[ebp+10],0
00EF5981 74 26 je short user_dll.00EF59A9
00EF5983 6A 01 push 1
00EF5985 8B55 10 mov edx,ss:[ebp+10]
00EF5988 52 push edx
00EF5989 FF15 1472F000 call ds:[<&KERNEL32.IsBadReadPtr>] ; kernel32.IsBadReadPtr
00EF598F 85C0 test eax,eax
00EF5991 75 16 jnz short user_dll.00EF59A9
00EF5993 68 04010000 push 104
00EF5998 8B45 10 mov eax,ss:[ebp+10]
00EF599B 50 push eax
00EF599C 68 583AF100 push user_dll.00F13A58
00EF59A1 FF15 1872F000 call ds:[<&KERNEL32.lstrcpynW>] ; kernel32.lstrcpynW
--------------------------------------------------------------------------------------------------------
8、上面代码执行结束后迅速来到下面代码,注释处的CALL执行就死,跟进
--------------------------------------------------------------------------------------------------------
00EF5D8A 6A 03 push 3
00EF5D8C 68 10000100 push 10010
00EF5D91 8B15 9C3EF100 mov edx,ds:[F13E9C]
00EF5D97 83C2 12 add edx,12
00EF5D9A 52 push edx
00EF5D9B 68 D80CF100 push user_dll.00F10CD8
00EF5DA0 A1 9C3EF100 mov eax,ds:[F13E9C]
00EF5DA5 8B88 2C0F0000 mov ecx,ds:[eax+F2C]
00EF5DAB 51 push ecx
00EF5DAC E8 45E70000 call <jmp.&XXX_dll.#66_UserMessage>
00EF5DB1 EB 15 jmp short user_dll.00EF5DC8
00EF5DB3 E8 580B0000 call user_dll.00EF6910 ;该CALL执行就死掉,读狗函数在这里
00EF5DB8 85C0 test eax,eax
00EF5DBA 74 0C je short user_dll.00EF5DC8
--------------------------------------------------------------------------------------------------------
9、跟进后一直按F8,遇到CALL user_dll.00XXXXXX字样的要格外小心,果然执行到某个CALL的时候死掉,只好记住地址,重设断点,重新来,继续跟进死掉的CALL。由于这儿一直是寻找读狗函数,所以不再贴代码了,大家只看思路,无用代码太多,会扰乱思路.
10、不厌其烦的重复上述过程突然发现下面代码,相信仅仅函数名足以让你兴奋
-------------------------------------------------------------------------------------------------------
00EF6EB8 51 push ecx
00EF6EB9 68 680AF100 push user_dll.00F10A68
00EF6EBE 8B15 9C3EF100 mov edx,ds:[F13E9C]
00EF6EC4 83C2 12 add edx,12
00EF6EC7 52 push edx
00EF6EC8 E8 85D70000 call <jmp.&HLK_dll.#13_hlk_LogIn> ;LogIn,登录狗
00EF6ECD 85C0 test eax,eax ;判断返回值,如是0
00EF6ECF 0F84 B2000000 je user_dll.00EF6F87 ;跳走,死掉
00EF6ED5 C705 6C3EF100 01000000 mov dword ptr ds:[F13E6C],1
00EF6EDF E8 5CD70000 call <jmp.&HLK_dll.#10_hlk_Avail> ;读另一个数据,为ReadDong做准备,虽然
00EF6EE4 85C0 test eax,eax ;不知道读什么,但返回值如是0
00EF6EE6 0F84 9B000000 je user_dll.00EF6F87 ;跳走,死掉
00EF6EEC 8D85 5CFFFFFF lea eax,ss:[ebp-A4]
00EF6EF2 50 push eax
00EF6EF3 E8 54D70000 call <jmp.&HLK_dll.#15_hlk_ReadDong> ;再读
00EF6EF8 85C0 test eax,eax ;判断返回值,如是0
00EF6EFA 0F84 87000000 je user_dll.00EF6F87 ;OVER
00EF6F00 B9 2848F100 mov ecx,user_dll.00F14828 ;判断ECX是否为0,跟踪发现该值是狗的编号
00EF6F05 85C9 test ecx,ecx ;是0与否,不影响程序运行
00EF6F07 74 2B je short user_dll.00EF6F34
00EF6F09 8D55 98 lea edx,ss:[ebp-68] ;该地址存放狗的编号
00EF6F0C 85D2 test edx,edx
00EF6F0E 74 16 je short user_dll.00EF6F26
00EF6F10 6A 06 push 6
00EF6F12 8D45 98 lea eax,ss:[ebp-68]
00EF6F15 50 push eax
00EF6F16 68 2848F100 push user_dll.00F14828
00EF6F1B FF15 E875F000 call ds:[<&MSVCR71.strncpy>] ; MSVCR71.strncpy
--------------------------------------------------------------------------------------------------------
11、聪明的你肯定知道该做什么了,对,只要把00EF6ECF、00EF6EE6、00EF6EFA三处的je改为jne即可跳过狗的检查。我毫不犹豫的就改了,运行,然而并没有出现预想的兴奋的事情。出现一个错误提示“没有发现可选文件”。
12、“可选文件”是什么意思,到软件安装目录查看,有个OPTION文件夹,里面有很多文件,用UltraEdit打开,看不懂呵呵
13、将改文件夹中的文件所有文件删除,带狗运行,出现和11步同样的提示;恢复文件,运行正常。由此可见,解密那些文件需要狗中的数据,大家知道HASP狗用的是AES,难道狗中存放着AES密码??带着这样的疑问跟踪程序,来到下面代码
--------------------------------------------------------------------------------------------------------00EF723F 8B8D 68F6FFFF mov ecx,ss:[ebp-998] ;压入的三个参数意义就不说明了,因为没必要
00EF7245 51 push ecx
00EF7246 8D95 64F8FFFF lea edx,ss:[ebp-79C]
00EF724C 52 push edx
00EF724D 8D85 BCFAFFFF lea eax,ss:[ebp-544]
00EF7253 50 push eax
00EF7254 E8 47180000 call user_dll.00EF8AA0 ;该函数执行完后,EDX会出现一些明码,明码信息
大概为APPLICAITON=XXX;OPTION=XXX.....是不是很像文件启动需要检查的选项?所以要弄懂解密算法,必须跟进
--------------------------------------------------------------------------------------------------------
14、跟进后,部分代码如下,这部分代码很关键,所以贴的比较多。但是有很多是内核函数,很容易读懂。
--------------------------------------------------------------------------------------------------------
00EF8B30 8D8D 68FDFFFF lea ecx,ss:[ebp-298]
00EF8B36 51 push ecx
00EF8B37 8B55 0C mov edx,ss:[ebp+C]
00EF8B3A 83C2 2C add edx,2C
00EF8B3D 52 push edx
00EF8B3E 68 5038F100 push user_dll.00F13850
00EF8B43 E8 14BD0000 call <jmp.&XXX_DLL.#100_ExtendPathName> ; 获取文件完整路径
00EF8B48 6A 00 push 0
00EF8B4A 8D85 70FFFFFF lea eax,ss:[ebp-90]
00EF8B50 50 push eax
00EF8B51 8D8D 68FDFFFF lea ecx,ss:[ebp-298]
00EF8B57 51 push ecx
00EF8B58 E8 63BC0000 call <jmp.&XXX_DLL.#47_MakeSString>
00EF8B5D 50 push eax
00EF8B5E FF15 0872F000 call ds:[<&KERNEL32.OpenFile>] ; 打开文件
00EF8B64 8985 54FDFFFF mov ss:[ebp-2AC],eax
00EF8B6A 83BD 54FDFFFF FF cmp dword ptr ss:[ebp-2AC],-1
00EF8B71 74 55 je short user_dll.00EF8BC8
00EF8B73 8B95 50FDFFFF mov edx,ss:[ebp-2B0]
00EF8B79 52 push edx
00EF8B7A 8B85 60FDFFFF mov eax,ss:[ebp-2A0] ;存放读入数据的缓冲区,关键(后面破解用上)
00EF8B80 50 push eax
00EF8B81 8B8D 54FDFFFF mov ecx,ss:[ebp-2AC]
00EF8B87 51 push ecx
00EF8B88 FF15 F071F000 call ds:[<&KERNEL32._hread>] ; 读文件,ebp-2A0为存放读入数据的缓冲区
00EF8B8E 3B85 50FDFFFF cmp eax,ss:[ebp-2B0]
00EF8B94 75 19 jnz short user_dll.00EF8BAF
00EF8B96 8B55 10 mov edx,ss:[ebp+10]
00EF8B99 52 push edx
00EF8B9A 8B85 64FDFFFF mov eax,ss:[ebp-29C]
00EF8BA0 50 push eax
00EF8BA1 8B8D 60FDFFFF mov ecx,ss:[ebp-2A0] ;存放解密后的数据,和读入缓冲区地址相同
00EF8BA7 51 push ecx
00EF8BA8 E8 B1BA0000 call <jmp.&HLK_dll.#12_hlk_Crypt> ;对读入的数据进行解密,须弄懂算法
00EF8BAD EB 0A jmp short user_dll.00EF8BB9
00EF8BAF C785 64FDFFFF 00000000 mov dword ptr ss:[ebp-29C],0
00EF8BB9 8B95 54FDFFFF mov edx,ss:[ebp-2AC]
00EF8BBF 52 push edx
00EF8BC0 FF15 F471F000 call ds:[<&KERNEL32._lclose>] ; 关闭文件
00EF8BC6 EB 0A jmp short user_dll.00EF8BD2
00EF8BC8 C785 64FDFFFF 00000000 mov dword ptr ss:[ebp-29C],0 ;后面的函数不做解释了,只需知道解密后的
00EF8BD2 8B85 60FDFFFF mov eax,ss:[ebp-2A0] ;数据存放在ebp-2A0
00EF8BD8 0385 64FDFFFF add eax,ss:[ebp-29C]
00EF8BDE C600 00 mov byte ptr ds:[eax],0
00EF8BE1 8B4D 08 mov ecx,ss:[ebp+8]
00EF8BE4 8B95 60FDFFFF mov edx,ss:[ebp-2A0]
00EF8BEA 8911 mov ds:[ecx],edx
00EF8BEC 8B85 64FDFFFF mov eax,ss:[ebp-29C]
00EF8BF2 8B4D FC mov ecx,ss:[ebp-4]
00EF8BF5 E8 E8C30000 call user_dll.00F04FE2
00EF8BFA 8BE5 mov esp,ebp
00EF8BFC 5D pop ebp
00EF8BFD C3 retn
--------------------------------------------------------------------------------------------------------
15、为了得到解密后的数据,跟进00EF8BA8处的call <jmp.&HLK_dll.#12_hlk_Crypt>,看看到底是什么算法。可是乐观的情绪又受打击,该函数有大量的花指令,菜鸟阶段,不懂如何去除花指令,研究肯定不是一天两天的事。所以不能在一棵树上吊死,换个思维,为什么不能用程序本身的代码进行解密呢!!!
对,就让程序自身帮我们干活!说干就干,在步骤13的00EF723F处设断,反复运行程序,每执行一次查看ebp-2A0处的值,并mp出来,另存为16进制文件,这些文件就是解密过的文件,将其覆盖原来的加密文件。剩下要做的就是跳过上面代码中的解密模块(_hlk_Crypt)。
这个很简单,来到00EF8B8E 处,即程序刚进行完_hread之后,将该处的代码cmp eax,ss:[ebp-2B0]改为jmp 00EF8BB9然后汇编。由于_hread函数和_hlk_Crypt函数用的是同一个缓冲区,所以_hread函数执行完毕后,ebp-2A0处的已解密数据就可顺利为后续程序使用了。
16、经过上面修改后,F9,程序顺利启动!!!!
【继续完善】
17、程序运行一段时间后,弹出对话框,通知确定狗的存在!!看来程序启动中还是要定时检查的。
第一个念头:查找SetTimer函数,果然找到,且只有一次调用,心想就是这个函数在作怪了,该函数的uElapsed值为1秒,我将其该为9A7EC800,即30天。运行,可是仍然定时检查狗的存在
第二个念头:查找其他有关时间的函数,但感觉有点费劲,进而转第三个念头
第三个念头:以其他的函数设断点,如大家常用的CreateFile、DeviceIoControl等,但没用过,感觉肯定不是跟踪一两句代码就可搞定的事情,进而转第四个念头
第四个念头:一劳永逸的想法,从源头解决问题。为什么不直接修改读狗函数的返回值?这样程序无论何时检查狗都无所谓。
重新跟进hlk_LogIn、hlk_Avail、hlk_ReadDong三个函数,发现这三个函数返回前都有共同的代码:
--------------------------------------------------------------------------------------------------------
00B5126C 837D FC 00 cmp dword ptr ss:[ebp-4],0 ;看ebp-4是否为0
00B51270 0F94C0 sete al ;是,则eax=1,有狗
00B51273 8B4D F4 mov ecx,ss:[ebp-C]
00B51276 E8 C6640400 call HLK_dll.00B97741 ;该CALL并不是真正函数,经验证不影响上面的EAX值
00B5127B 8BE5 mov esp,ebp
00B5127D 5D pop ebp
00B5127E C2 0C00 retn 0C
-----------------------------------------------------------------------------------------------------
不插狗的情况下[ebp-4] = 9,因此eax = 0,无狗,因此只需将 sete al改为 setne al,汇编,即可。
至此,打狗结束,程序非常正常。将修改后的文件另存到可执行文件,做为补丁,覆盖原文件,狗解除。
② 用友ERP-U8登陆套账时提示:演示期限已到期,这是怎么回事怎么办
意思是使用使用期限到了,具体情况和解决办法如下:
1、用友一般没有加密锁而且使用的是正版安装盘的话有3个月数据的使用期限,比如1月份启用的帐数据做到了3月份,那就会提示演示期限已到。
2、如果有加密狗,又有这个提示的话,一种情况是加密服务没有正常启动,查看管理工具里的服务,看看servernt.exe这个执行文件对应的服务有没有启动(因为用友各个版本对应的服务名称不太一样)。
3、第三种情况是加密狗没有被正常识别,检查加密狗是不是对应现在的软件版本,检查加密狗是不是插着,更换加密狗的usb插口看看能不能识别,查看在设备管理中是否有个职能识别卡什么的,或者重新启动下加密服务看看。
(2)加密狗nt88扩展阅读:
加密狗是一种加密产品,已插入计算机的并行端口中(新的加密狗也具有USB端口)。通常,有数十个或数百个字节的非易失性存储空间可用于读取和写入,更新的加密狗(加密锁)还包含一个单片机。
软件开发人员可以使用接口功能与加密狗交换数据(即读取和写入加密狗),以检查加密狗是否已插入接口,或直接使用加密狗附带的工具来加密自己的EXE文件(通常称为“shell”)。
这样,软件开发人员可以在软件中设置多个软件锁,并使用加密锁作为打开这些锁的密钥。如果未插入加密锁或加密锁不对应,则软件将无法正常执行。
加密锁是一种针对软件开发人员的具有软件保护功能的智能工具。它包括安装在计算机的并行端口或USB端口上的硬件,以及适用于各种语言的一组接口软件和工具软件。加密锁基于硬件保护技术,其目的是通过保护软件和数据来防止知识产权的非法使用。
③ 加密狗是否与驱动产生冲突
当打印机和软件狗冲突时,都有哪些可能?如何解决呢?
这种冲突只能发生于您使用并口软件狗的情况下。并口软件狗对于打印机及其它符合 IEEE-1284 并口标准的标准设备都是透明的,但在同时工作时有可能会引起冲突。在 Win9X/ME/NT/2000/XP 下,通过驱动程序管理并口软件狗和打印机共同工作。当打印机与并口软件狗相互影响使其中之一无法正常工作时,一般有以下几种可能:
a. 打印机电源未开,打印机将并口电压降低至并口加密狗工作电压之下,此时并口加密狗无法正常工作。
解决方法: 对于此类打印机,只需将打印机电源打开 或将打印机去掉 即可使并口加密狗工作正常。
b. 打印机驱动程序是并口独占型驱动,此时并口加密狗无法正常工作。
解决方法: 对于此类打印机只能尽量避免并口加密狗与打印机同时工作,或者将打印驱动程序去掉。
c .并口工作方式不适于并口加密狗或打印机共同工作
解决方法: 一般来说,并口加密狗及打印机在 normal 并口方式下冲突的可能性最小,可调整并口工作方式至 normal 模式。
d .接触不良或并口中个别线已断
解决方法: 由于并口加密狗和打印机用到了并口中不同的线,在此种情况下有可能会发生只有并口加密狗或打印机一个可以工作,而另一个无法工作。建议更换或维修并口。
其他解决方案:
1 、使用 USB 软件狗;
2 、购买本公司的并口卡,并口软件狗在并口卡上工作,打印机在并口上工作,互不影响没有冲突的可能性。
④ 软件中类似U盘的一个叫狗的是什么东西
是加密锁。
加密锁是一种插在计算机并行口上的软硬件结合的加密产品(新型加密锁也有usb口的)。一般都有几十或几百字节的非易失性存储空间可供读写,现较新的狗(加密锁)内部还包含了单片机。
加密狗的应用程序接口(API)基本上都是公开的。随着解密技术的发展,单片机加密狗由于其算法简单,存储空间小,容易被硬件复制等原因,正逐渐被市场所淘汰。
(4)加密狗nt88扩展阅读
工作原理
加密锁是在软件运行过程中,通过与加密锁交换数据来实现加密的。加密锁内置单片机电路,使加密锁具有判断和分析的处理能力,提高了主动防解密能力,这种加密产品称之为“智能”加密锁。
加密锁的嵌入式单片机包含加密算法软件,软件写入单片机后,不能再读出。这样就无法复制加密锁硬件,同时加密算法具有不可预测性和不可逆性。
⑤ dos系统如何加密
给Ghost镜像文件加密 Ghost是一款大家熟悉的硬盘备份恢复工具,它以其快速高效等特点成为众多用户的首选。只不过在通常情况下,我们制作出的Ghost镜像文件并没有任何安全保护措施,这也就带来一个问题:其他人可随意使用这个镜像文件对分区进行覆盖,或者利用Ghost Explorer修改其中内容。
其实通过运行带参数的Ghost命令,我们就可以制作出带密码保护的Ghost镜像文件。在DOS模式下进入Ghost所在的目录,键入“ghost -pwd”命令,注意中间有一空格,然后回车执行,这时按照正常的步骤进行备份,当程序最后创建镜像文件之前,会弹出一个对话框提示我们设置密码,输入指定的密码并按下“OK”确定。这样当我们使用Ghost Explorer打开上述方法生成的Ghost镜像文件或者用该镜像文件恢复硬盘分区时,程序都会要求输入正确的密码。
如果觉得上述设置密码的方法还是麻烦的话,我们可以在启动命令中直接指定密码,例如要设置镜像文件的密码为“pass”,则键入“Ghost -pws=pass”。
⑥ 如何安装金蝶软件加密狗
金蝶2000的加密卡采用的是彩虹卡,首选确定你的操作系统是什么?如果是2000则安装的路径是金蝶安装盘\WIN_NT\setupx86.exe在出来的窗口中选择function\install sentinel driver出来的窗口别管他,然后直接单击确定,即可安装好金蝶的加密狗驱动。
⑦ 如何注册T3的加密狗
第一步:退出杀毒软件和安全卫士,点击右键退出,注意安全卫士要选完全退出。
第二步:点击T3右下角,在出来的界面中点击 停止----是---是 。
第三步:退出T3软件,解压加密狗驱动器,直接安装下一步到完成。
第四步:点开,开始数据库服务器,点击 开始/继续。
第五步:杀毒软件中添加信任文件:点开 安全卫士---查杀木马—找到右边 已信任文件
,点击 添加文件C:\WINDOWS\system32\ServerNT.exe 。点开 360杀毒---点击右上角 设置---白名单,添加文件---选择个文件C:\WINDOWS\system32\ServerNT.exe。
第六步:点击 开始—控制面板—管理工具—服务,点击后找到右边列表最下面一个---用友通服务。点击启动,就完成了。
⑧ 加密狗在任务管理器的进程应该是什么
有多少进程不好说,每个系统优化得不一样,有的只有10几个,但是有的有30个,但都是正常的,建议看看下面的。
很多用户都对于自己机器的进程不是很明白,有时总误认为是病毒的进程,希望介绍一些系统的小知识,便于大家使用计算机。
最基本的系统进程(也就是说,这些进程是系统运行的基本条件,有了这些进程,系统就能正常运行):
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务)
产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)
svchost.exe 包含很多系统服务
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标
附加的系统进程(这些进程不是必要的,你可以根据需要通过服务管理器来增加或减少):
mstask.exe 允许程序在指定时间运行。(系统服务)
regsvc.exe 允许远程注册表操作。(系统服务)
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe 通过 Internet 信息服务的管理单元提供 ftp 连接和管理。(系统服务)
tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)
允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)
termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基
于 Windows 的程序。(系统服务)
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)
以下服务很少会用到,上面的服务都对安全有害,如果不是必要的应该关掉
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务)
支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)
ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)
RsSub.exe 控制用来远程储存数据的媒体。(系统服务)
locator.exe 管理 RPC 名称服务数据库。(系统服务)
lserver.exe 注册客户端许可证。(系统服务)
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。(系统服务)
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。(系统服务)
faxsvc.exe 帮助您发送和接收传真。(系统服务)
cisvc.exe Indexing Service(system service)
dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)
smlogsvc.exe 配置性能日志和警报。(系统服务)
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)
RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)
RsFsa.exe 管理远程储存的文件的操作。(系统服务)
grovel.exe 扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间。(系统服务)
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序
。(系统服务)
UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)
详细说明:
win2k运行进程
Svchost.exe
Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位
在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要
加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,
以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。
Svchost.exe 组是用下面的注册表值来识别。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的
例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个
或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
explorer.exe
这是一个用户的shell(我实在是不知道怎么翻译shell),在我们看起来就像任务条,桌面等等。这个
进程并不是像你想象的那样是作为一个重要的进程运行在windows中,你可以从任务管理器中停掉它,或者重新启动。
通常不会对系统产生什么负面影响。
internat.exe
这个进程是可以从任务管理器中关掉的。
internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加载内容的。
internat.exe 加载“EN”图标进入系统的图标区,允许使用者可以很容易的转换不同的输入点。
当进程停掉的时候,图标就会消失,但是输入点仍然可以通过控制面板来改变。
lsass.exe
这个进程是不可以从任务管理器中关掉的。
这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是
通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入
令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。
mstask.exe
这个进程是不可以从任务管理器中关掉的。
这是一个任务调度服务,负责用户事先决定在某一时间运行的任务的运行。
smss.exe
这个进程是不可以从任务管理器中关掉的。
这是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,
包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些
进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么
不可预料的事情,smss.exe就会让系统停止响应(就是挂起)。
spoolsv.exe
这个进程是不可以从任务管理器中关掉的。
缓冲(spooler)服务是管理缓冲池中的打印和传真作业。
service.exe
这个进程是不可以从任务管理器中关掉的。
大多数的系统核心模式进程是作为系统进程在运行。
System Idle Process
这个进程是不可以从任务管理器中关掉的。
这个进程是作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。
winlogon.exe
这个进程是管理用户登录和推出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了,显示安全对话框。
winmgmt.exe
winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化
taskmagr.exe
这个进程就是任务管理器。
在知道里找到不少制作QQ空间的代码。但每次我在新建模块无论在网址里还是评论里输入代码最后保存都没有显示相应的效果,请问具体制作步骤是怎样?
winXP进程全接触
Windows 2000/XP 的任务管理器是一个非常有用的工具,它能提供我们很多信息,比如
现在系统中运行的程序(进程),但是面对那些文件可执行文件名我们可能有点茫然,
不知道它们是做什么的,会不会有可疑进程(病毒,木马等)。本文的目的就是提供一
些常用的Windows 2000 中的进程名,并简单说明它们的用处。
在 WINDOWS 2000 中,系统包含以下缺省进程:
Csrss.exe
Explorer.exe
Internat.exe
Lsass.exe
Mstask.exe
Smss.exe
Spoolsv.exe
Svchost.exe
Services.exe
System
System Idle Process
Taskmgr.exe
Winlogon.exe
Winmgmt.exe
下面列出更多的进程和它们的简要说明
进程名 描述
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安
全驱动程序。
svchost.exe Windows 2000/XP 的文件保护系统
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。)
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标)
mstask.exe 允许程序在指定时间运行。
regsvc.exe 允许远程注册表操作。(系统服务)->remoteregister
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe msftpsvc,w3svc,iisadmn
tlntsvr.exe tlnrsvr
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。
termsrv.exe termservice
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows
2000 Professional 的能力。
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。
ups.exe 管理连接到计算机的不间断电源(UPS)。
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS
名称服务。
llssrv.exe 证书记录服务
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。
RsSub.exe 控制用来远程储存数据的媒体。
locator.exe 管理 RPC 名称服务数据库。
lserver.exe 注册客户端许可证。
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页
面。
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统
或其它事务保护护资源管理器。
faxsvc.exe 帮助您发送和接收传真。
cisvc.exe 索引服务
dmadmin.exe 磁盘管理请求的系统管理服务。
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌
面。
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。
smlogsvc.exe 配置性能日志和警报。
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和
本地通信控制安装功功能。
RsEng.exe 协调用来储存不常用数据的服务和管理工具。
RsFsa.exe 管理远程储存的文件的操作。
grovel.exe 扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向
一个数据存储点,以节省磁盘空间(只对 NTFS 文件系统有用)。
SCardSvr.ex 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控
制。
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作
站汇报。
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱(trap)消息,
然后将消息传递到运行在这台计算机上 SNMP 管理程序。
UtilMan.exe 从一个窗口中启动和配置辅助工具。
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。
另外,有很多朋友都有这样的疑问:我的开机进程里有smss.exe和csrss.exe两个文件,
有什么作用?
进程文件: smss or smss.exe
进程名称: Session Manager Subsystem
描述: 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及
COM,调用Win32壳子系统和运行在Windows登陆过程。
常见错误: N/A
是否为系统进程: 是
进程文件: csrss or csrss.exe
进程名称: Client/Server Runtime Server Subsystem
描述: 客户端服务子系统,用以控制Windows图形相关子系统。
常见错误: N/A
是否为系统进程: 是
所以,对自己不熟悉 没有把握的进程, 不要随便结束它.建议:把你认为有问题的进程比
如"csrss.exe",在google里搜索"csrss.exe",就会获得相关的知识