图1

　

　　需要注意的是，在默认情况下，Windows XP可能有5个svchost.exe进程，其中有3个svchost.exe进程的详细信息显示为不可用。根据计算机软硬件环境的差异，可能还有其他进程的详细信息显示为不可用。　　

　　进程解释

　　接下来简单介绍这些进程：　　

　　system和system idle process并不是真正意义上的进程，它们并没有对应的进程映像文件，例如system进程并不存在一个对应的system.exe进程映像文件。所以“系统信息”程序无法找到它们的进程信息，这是正常的。system进程实际上是代表内核模式系统线程的总和；system idle process只是用来统计空闲的CPU时间，它的CPU占有率越高，表明当前系统的CPU越空闲。

　　csrss.exe进程是Windows子系统的用户模式部分，该进程工作在Local System帐户下。

　　svchost.exe进程是服务的宿主程序，这3个详细信息不可用的svchost.exe进程工作在network service或者local service帐户下。可以参考以下的微软知识库文章，了解svchost.exe进程的详细信息：http://support.microsoft.com/kb/314056/zh-cn。

　　alg.exe、wdfmgr.exe和wmiprvse.exe这三个进程，都是服务所对应的可执行文件，它们都工作在network service或者local service帐户下。　www.goodsgy.com

原因分析

　　需要理解，进程是一个很奇妙的东西，它具有“双重性格”。就像文件夹和打印机一样，可以对进程指定访问权限，例如指定谁可以查询进程的信息、谁可以终止这个进程等等，也就是说每一个进程都可以关联一个访问控制列表（ACL）。然而和文件夹与打印机不一样的是，进程不但可以有ACL，同时还具有一个访问令牌（Access Token），访问令牌包含该进程所属的帐户SID列表和该进程所具有的一组特权（Privilege）。　　

　　可以把进程想象成类似于高中物理所学的“光的波粒二相性”，这样就不会忘记进程的这种“双重性格”。　　

　 当“系统信息”这个进程试图访问其他进程的详细信息时，“系统信息”进程首先需要出示其访问令牌。然后Windows的安全子系统就会根据其他进程的访问控制列表，来比较“系统信息”进程的访问令牌，以确认是否允许“系统信息”有权限访问该进程的详细信息。

　　实验查看

　　实验工具

　　Process Explorer：可以利用该工具来查看进程的访问令牌，还可以查看和设置进程的访问控制列表，可以到以下站点下载该工具：

　　http://www.sysinternals.com/Utilities/ProcessExplorer.html　　

　 PsExec：可以利用该工具以其他帐户身份启动某个进程，可以到以下站点下载该工具：

　 http://www.sysinternals.com/Utilities/PsExec.html　　

　　 SubInAcl：可以查看和设置进程的权限，可以到以下微软官方站点下载该工具：

　　http://www.microsoft.com/downloads/details.aspx?FamilyID=E8BA3E56-D8FE-4A91-93CF-ED6985E3927B&displaylang=en www.goodsgy.com

www.goodsgy.com

[1] [2] [3] [4] [5]  下一页