Windows的事件驱动机制
在Windosw系统中,程序的设计围绕事件驱动来进行。当对象有相关的事件发生时(如按下鼠标键),对象产生一条特定的标识事件发生的消息,消息被送入消息队列,或不进入队列而直接发送给处理对象,主程序负责组织消息队列,将消息发
送给相应的处理程序,使相应的处理程序执行相应的动作,做完相应的处理后将控制权交还给主程序。
在这种机制中,对象的请求仅仅是向队列中添加相应的消息,耗时的处理则被分离给处理函数。这种结构的程序中各功能模块界限分明,便于扩充,能充分利用CPU 的处理能力,使系统对外界响应准确而及时。
Windows事件驱动机制
我们当中不少使用VC、Delphi等作为开发语言的程序员是一步步从DOS 下的Basic、C++中走过来的,而且大多在刚开始学习编程时也是先从DOS下的编程环境入手的,因此在习惯了DOS下的过程驱动形式的顺序程序设计方法后,往往在向Windows下的开发环境转型的过程中会对Windows所采取的事件驱动方式感到无法适应。因为DOS和Windows这两种操作系统的运行机制是截然不同的,DOS下的任何程序都是使用顺序的、过程驱动的程序设计方法。这种程序都有一个明显的开始、明显的过程以及一个明显的结束,因此通过程序就能直接控制程序事件或过程的全部顺序。即使是在处理异常时,处理过程也仍然是顺序的、过程驱动的结构。而Windows的驱动方式则是事件驱动的,即程序的流程不是由事件的顺序来控制,而是由事件的发生来控制,所有的事件是无序的,所为一个程序员,在编写程序时,并不知道用户会先按下哪个按纽,也就不知道程序先触发哪个消息。因此我们的主要任务就是对正在开发的应用程序要发出的或要接收的消息进行排序和管理。事件驱动程序设计是密切围绕消息的产生与处理而展开的,一条消息是关于发生的事件的消息。
Windows的消息循环
Windows操作系统为每一个正在运行的应用程序保持有一个消息队列。当有事件发生后,Windows并不是将这个激发事件直接送给应用程序,而是先将其翻译成一个Windows消息,然后再把这个消息加入到这个应用程序的消息队列中去。应用程序需要通过消息循环来接收这些消息。在MFC中使用了对WinAPI进行了很好封装的类库,虽然可以为编程提供一个面向对象的界面,使Windows程序员能够以面象对象的方式进行编程,把那些进行SDK编程时最
繁琐的部分提供给程序员,使之专注于功能的实现,但是由于引入了很好的封装特性,使我们不能直接操纵部分核心代码。对于消息的循环和接收也只是通过类似于下面的消息映射予以很简单的表示:
BEGIN_MESSAGE_MAP(CTEMMSView, CFormView)
//{{AFX_MSG_MAP(CTEMMSView)
ON_WM_LBUTTONDOWN()
ON_COMMAND(ID_OPENDATA, OnOpenData)
ON_WM_TIMER()
ON_WM_PAINT()
//}}AFX_MSG_MAP
END_MESSAGE_MAP()
虽然上述消息映射在编程过程中处理消息非常简练方便,但显然是难于理解消息是如何参与循环和分发的。因此有必要通过SDK(Software Developers Kit,软件开发工具箱)代码深入到被MFC封装的Windows编程的核心中来研究其具体是如何工作的。在SDK编程中,一般是在Windows应用程序的入口点WinMain函数中添加处理消息循环的代码以检索Windows送来的消息,然后WinMain再把这些消息分配给相应的窗口函数并处理它们:
……
MSG msg; //定义消息名
while (GetMessage (&msg, NULL, 0, 0))
{
TranslateMessage (&msg) ; //翻译消息
DispatchMessage (&msg) ; //分发消息
}
return msg.wParam ;
上述几句虽然简单但却是所有Windows程序的关键代码,担负着获取、解释和分发消息的任务,下面就重点对其功能和作用进行分析:
MSG结构在头文件中定义如下:
typedef struct tagMSG
{
HWND hwnd; //消息将要发送到的那个
窗口的句柄,用这个参数可以决定让哪个窗口接收
消息。
UINT message; //消息号,它唯一标识了
一种消息类型。每种消息类型都在Windows文件
进行了预定义。
WPARAM wParam; //一个32位的消息
参数,这个值的确切意义取决于消息本身。
LPARAM lParam; //同上。
DWORD time; //消息放入消息队列中的
时间,在这个域中写入的并非当时日期,而是从
Windows启动后所测量的时间值。Windows用
这个域来使用消息保持正确的顺序。
POINT pt; //消息放入消息队列时的鼠标
坐标。
} MSG, *PMSG;
GetMessage
消息循环以GetMessage调用开始,它从消息队列中取出一个消息。该函数的四个参数可以有控制地获取消息,第一个参数指定要接收消息的MSG结构的地址,第二个参数表示窗口句柄,一般将其设置为空,表示要获取该应用程序创建的所有窗口的消息;第三、四参数用于指定消息范围。后面三个参数被设置为默认值,用于接收发送到属于这个应用程序的任何一个窗口的所有消息。在接收到除WM_QUIT之外的任何一个消息后,GetMessage()返回TRUE;如果GetMessage收到一个WM_QUIT消息,则返回FALSE以退出消息循环,终止程序运行。因此,在接收到WM_QUIT之前,带有GetMessage()的消息循环可以一直循环下去。当除WM_QUIT的消息用GetMessage读入后,首先要经过函数TranslateMessage()对其进行解释,但对大多数消息来说并不起什么作用。这里起关键作用的是DispatchMessage()函数,把由GetMessage 获取的Windows消息传送给在MSG结构中为窗口所指定的窗口过程。在消息处理函数处理完消息之后,代码又循环到开始去接收另一个消息,这样就完成了一个完整的消息循环。
由于Windows操作系统是一种非剥夺式多任务操作系统。只有在应用程序主动交出CPU控制权后,Windows才能把控制权交给其他应用程序。在消息
循环中,一定要有能交出控制的系统函数才能实现协同式多任务操作。能完成该功能的只有GetMessage、PeekMessage和WaitMessage这三个函数,如果在应用程序中长期不去调用这三个函数之一其他任务则无法执行。GetMessage函数在找不到等待应用程序处理的消息时,会自动交出控制权,由Windows把CPU的控制权交给其他等待获取控制权的应用程序。由于任何Windows应用程序都含有一个消息循环,这种隐式交出控制权的方式可以保证合并各个应用程序共享控制权。一旦发往该应用程序的消息到达应用程序队列,即开始执行GetMessage语句的下一条语句。
DispatchMessage
窗口过程处理消息通常以switch语句开始,对于它要处理的每一条消息ID 都跟有一条case语句,这在功能上同MFC的消息映射有些类似: switch(uMsgId)
{
case WM_TIMER://对WM_TIMER定时器消息的处理过程
return 0;
case WM_LBUTTONDOWN://对WM_ LBUTTONDOWN鼠标左键单击消息的处理过程return 0;
……
default:
//其他消息由这个默认处理函数来处理
return DefWindowProc(hwnd,uMsgId,wParam,lParam);
}
在处理完消息后必须返回0,这很重要,否则Windows将要不停地重试下去。对于那些在程序中不准备处理的消息,窗口过程会把它们都扔给DefWindowProc进行缺省处理,而且还要返回那个函数的返回值。在消息传递层次中,可以认为DefWindowProc函数是最顶层的函数。该函数发出
WM_SYSCOMMAND消息,由系统执行Windows环境中多数窗口所公用的各种通用操作,如更新窗口的正文标题等等。在MFC下可以用下述部分代码实现与上述SDK代码相同的功能:
BEGIN_MESSAGE_MAP(CTEMMSView, CFormView)
//{{AFX_MSG_MAP(CTEMMSView)
ON_WM_LBUTTONDOWN()
ON_WM_TIMER()
//}}AFX_MSG_MAP
END_MESSAGE_MAP()
消息映射表雏形
Windows程序是基于消息来驱动的,程序中利用一个while循环来等待消息,然后做判断,再做适当的处理。每一个Windows程序都有一个循环如下:MSG msg;
while (GetMessage(&msg, NULL, 0, 0)) {
TranslateMessage(&msg);
DispatchMessage(&msg);
}
消息映射表是消息类型与对应处理函数的一一对映关系。
MSGMAP_ENTRY 结构:
struct MSGMAP_ENTRY {
UINT nMessage; //消息类型
LONG (*pfn)(HWND, UINT, WPARAM, LPARAM); //该消息处理函数指针
};
这是C语言对数据和处理数据的方法封装起来的一种具体实现方式(面向对象思想)。
消息与消息处理函数对应关系_messageEntries[]:
struct MSGMAP_ENTRY _messageEntries[] =
{
WM_CREATE, OnCreate,
WM_PAINT, OnPaint,
WM_SIZE, OnSize,
WM_COMMAND, OnCommand,
WM_SETFOCUS, OnSetFocus,
WM_CLOSE, OnClose,
WM_DESTROY, OnDestroy,
} ;
命令消息类型对应表_commandEntries[]:
struct MSGMAP_ENTRY _commandEntries =
{
IDM_ABOUT, OnAbout,
IDM_FILEOPEN, OnFileOpen,
IDM_SAVEAS, OnSaveAs,
}
于是程序的消息分类处理函数可以这样设计,代替switch:
for(for i=0; i < dim(_messageEntries); i++) { // 訊息對照表
if (message == _messageEntries[i].nMessage)
return((*_messageEntries[i].pfn)(hWnd, message, wParam, lParam));
其中#define dim(x) (sizeof(x) / sizeof(x[0])),用来获得结构数组长度。
这样的话,可以代替switch,case,从而该函数就不需要再改变,每当有新的消息需要处理时,只要在_messageEntries[],_commandEntries[]结构数组里添加新的消息类型和新的消息处理函数就行了。
解决“Windows照片查看器无法打开此图片,因为此文件可能已损坏、损毁或过大。” 提示:jpg文件没有问题,win7照片查看器原来可以打开jpg图片,现在却不能打开。jpg文件已真的损坏不在此文讨论之列。 网上有很多人都遇到过这个问题,有人提出修改文件类型关联,这个太小儿科了,大多数人提出的方法是用其他的软件看图,其实是回避了这个问题。有人提出是联网的问题,也有人说通过修改环境变量来解决这个问题,但是并不是能解决所有人的问题。看来大家见到的错误提示是一样的,但是原因不同。通过自己认真检查和实践,终于解决了这个问题,希望能给有相同原因的朋友一个正确的解决方法。 我的情况是这样的:(很多人没有将自己的情况描述清楚) 开机后,还未连上网络的情况下,用照片查看器无法打开任何jpg图片,出现提示“Windows照片查看器无法打开此图片,因为此文件可能已损坏、损毁或过大。”其实jpg文件没有任何问题,用其他的软件照样可以看的。 在获取IP地址后,可以上网了,再用照片查看器就可以打开之前无法打开的jpg图片了。此时再次断网,用照片查看器仍可以正常看jpg图片。似乎照片查看器要在开机后联网进行某种注册,完成这个动作后就可以正常工作了,也不在乎网络的存在了。 (回想起来,之前我的本本所带的Ms office试用版在不上网的情况下也无法打开任何word、excel文件,后来就卸载了MS office,改用WPS。) 我安装的MS visio2010也出现同样的问题,开机后,还未连上网络的情况下,无法打开之前所作的任何vsd文件。联网之后就可以正常使用了。 我的电脑情况是这样的: 系统:win7pro32bits 本本:i7-2620m,8G RAM,其中系统无法使用的4G多RAM做了虚拟硬盘G:,为了减少对SSD硬盘的写入,将临时文件都放入RAMDISK g:中,在环境变量中修改参数。 环境变量: 用户变量(U) TEMP g:\AppData\Local\Temp TMP g:\AppData\Local\Temp 系统变量(S) TEMP g:\TEMP TMP g:\TEMP 通过认真检查发现,在开机之后,还未联网的情况下,G:盘上只有g:\TEMP,没有g:\AppData\Local\Temp这个文件夹,联网之后才出现这个文件夹。于是将用户变量做以下修改: TEMP g:\Temp TMP g:\Temp 拔掉网线,关机,开机,在不联网的情况下可以用照片查看器打开jpg图片,也可以用visio打开vsd文件了。问题解决! 环境变量的设置方法:计算机→右键→属性→高级系统设置→环境变量
任务管理器里的各个进程 【Csrss】 这是Windows的核心部份之一,全称为Client Server Process。我们不能结束该进程。这个只有4K的进程经常消耗3MB到6MB左右的内存,建议不要修改此进程,让它运行好了【Ctfmon】 这是安装了WinXP(尤其是安装ofice XP)后,在桌面右下角显示的“语言栏”,如果不希望它出现,可通过下面的步骤取消:双击“控制面板”,“区域和语言设置”,单击“语言”标签,单击“详细信息”按钮,打开“文字服务和输入语言”对话框,单击下面“首选项”的“语言栏”按钮,打开“语言栏设置”对话框,取消“在桌面上显示语言栏”的勾选即可。不要小看这个细节,它会为你节省1.5MB到4MB的内存。 【dovldr32】 如果你有一个Creative SBLive系列的声卡,就可能击现这个进程,它占用大约2.3MB 到2.6MB的内存。有些奇怪的是,当我从任务栏禁止了这个进程后,通过DVD实验,并没有发生任何错误。但如果你将这个文件重新命名了,就会出现windows的文件保护警告窗口,而且Creative Mixer和AudioHQ程序加载出错。当然你希望节省一些内存,那么可以将它禁止。 【explorer】 这可不是Internet Explorer,explorer.exe总是在后台运行,它控制着标准的用户界面、进程、命令和桌面等,如果打开“任务管理器”,就会看到一个explorer.exe在后台运行。根据系统的字体、背景图片、活动桌面等情况的不同,通常会消耗5.8MB到36MB 内存不 【Idle】 如果你在“任务管理器”看到它显示99%的占用率,千万不要害怕,实际上这是好事,因为这表示你的计算机目前有99%的性能等待你使用!这是关键进程,不能结束。该进程只有16KB的大小,循环统计CPU的空闲度。 【IEXPLORE】/【iexplore】 这才是IE浏览器。当我们用它上网冲浪时,它占有7.3MB甚至更多的内存。当然,这个随着打开的浏览器窗口的增加而增多。但当关闭所有IE窗口时,它并不会从任务管理器消失,IEXPLORE.EXE依然在后台运行着,它的作用是加快我们再一次打开IE的速度。【Generic Host Process for Win32 Services】 如果你安装了ZoneAlarm以后,在连接Internet时ZonAlarm总是抱怨链接不到Internet,那么你就应该好好看看下面的文字。Svhost.exe就是Generic Service Host,意思就是说,它是其他服务的主机。如果你的Internet连接不工作了,很有可能是你禁止了一些必须的服务,比如如果你禁止了“DNS搜索”功能,那么当你输入https://www.doczj.com/doc/3c7930807.html, 时就不会连接上网,但如果输入IP地址,尽管还是可以上网,但实际上你已经破坏了上网冲浪的关键进程! 【msmsgs】 这是微软的Windows Messengr(即时通信软件)著名的MSN进程,在WinXP的家庭版和专业版里面绑定的,如果你还运行着Outlook和MSN Explorer等程序,该进程会在后台运行支持所有这些微软号称的很Cool的,NET功能等新技术。
一、事件查看器相关知识 1.事件查看器 事件查看器是 Microsoft 操作系统工具,事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视操作系统中的安全事件。有三种方式来打开事件查看器: (1)单击开始-设置-控制面板-管理工具-事件查看器,打开事件查看器窗口 (2)在运行对话框中手工键入%SystemRoot%system32eventvwr.msc /s打开事件查看器窗口。 (3)在运行中直接输入eventvwr或者eventvwr.msc直接打开事件查看器。 2.事件查看器中记录的日志类型 在事件查看器中一共记录三种类型的日志,即: (1)应用程序日志 包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。 (2)安全性日志 记录了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,例如创建、打开或删除文件或其他对象,系统管理员可以指定在安全性日志中记录什么事件。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。 (3)系统日志 包含 XP的系统组件记录的事件,例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中,默认情况下会将系统事件记录到系统日志之中。如果计算机被配置为域控制器,那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统(DNS)服务器,那么还将记录DNS服务器日志。当启动时,事件日志服务(EventLog)会自动启动,所有用户都可以查看应用程序和系统日志,但只有管理员才能访问安全性日志。 在事件查看器中主要记录五种事件,事件查看器屏幕左侧的图标描述了操作系统对事件的分类。事件查看器显示如下类型的事件:
定义 鼻窦炎是一种常见的急慢性炎症性疾病,与其他常见病如变应性和非变应性鼻炎、哮喘、鼻息肉、对阿司匹林高敏反应性、肺囊性纤维化增生性病变、纤毛功能异常、免疫功能缺陷、呼吸道感染、中耳炎、口腔疾病等相关联。根据鼻窦炎的分型、病因及相关的病理生理学改变选择适当的诊断和治疗方法,对提高疗效和改善患者生活质量具有重要意义。由于鼻窦炎可以就诊于除耳鼻咽喉科以外的其他专科,如过敏专科、呼吸科及儿科,因此对鼻窦炎和鼻息肉的诊断及治疗建立统一的认识和标准尤为重要。 分型 1.急性鼻窦炎突发性出现鼻窦炎症状且病程少于12周。急性鼻窦炎在一年内可发生数次,但是在两次发作间期必须无症状。急性鼻窦炎主要是由感冒/急性病毒性感染所致,但急性病毒性鼻窦炎的病程一般少于10d,如果5d后症状加重,或症状持续超过10d,可诊断为继发病毒性急性鼻窦炎 在临床上,急性细菌性鼻窦炎(acute bacterial rhinosinusitis)主要是指患者出现以下症状,如脓性鼻涕(双侧多见),发热(38℃以上),血液检查时出现红细胞沉降率(ESR)和C-反应蛋白增高等。该病的发病率很低,有报道5%~13%患有急性病毒性鼻窦炎的儿童有可能继发细菌感染[4],而在成人中其发病率则更低。 2. 慢性鼻窦炎指症状持续超过12周的鼻窦炎。慢性鼻窦炎可分为慢性鼻窦炎伴发息肉和无伴发鼻息肉两个亚组。慢性鼻窦炎的病因比较复杂,除了常见致病原(病毒、细菌、真菌等),还有其他许多因素如基因(或遗传)、纤毛功能异常、细菌生物膜、骨炎、免疫功能低下或缺陷、哮喘、对阿司匹林高敏感、内分泌功能失调、过敏、解剖、环境和医源性(如既往不适当的药物和手术治疗)等。 鼻息肉和鼻窦炎一样,同属于鼻和鼻窦黏膜炎症性疾病。有些研究试图通过检测和分析鼻息肉及鼻窦炎黏膜中T细胞的功能,或炎症性标记物(如细胞因子、趋化因子和炎症性介质等)的改变来区分这两种疾病,但是到目前为止,从疾病的特征上还很难将鼻息肉从鼻窦炎中区分出来。所以目前的共识是将鼻息肉看作慢性鼻窦炎的一个亚型。但是,为什么鼻息肉只在一部分慢性鼻窦炎患者中发生且为何具有如此高的复发率还有待更深入的研究来阐明。 与鼻窦炎一样,鼻息肉的严重程度可分为轻、中、重度,根据(visual analogue scale,VAS)进行区分。根据鼻内窥镜检查结果,鼻息肉的大小还可以分为以下四个类型:0,没有鼻息肉或息肉样变;1,鼻息肉仅出现在中鼻道内;2,鼻息肉已经延伸到中鼻道以外,但仅局限于下鼻甲上方的鼻腔内;3,鼻息肉已经延伸到鼻道底部。 3鼻窦炎诊断和治疗要点 3.1急性鼻窦炎 3.1.1诊断急性鼻窦炎可通过病史分析,尤其是主要症状发生和持续时间的分析来进行诊断。急性鼻窦炎通常发生在急性上呼吸道感染(如病毒感染)之后,其鉴别诊断的重点在于区别其他类似疾病,如急性上呼吸道感染、变应性鼻炎(过敏性鼻炎)、口腔或牙源性疾病以及慢性面部疼痛综合征等。此外,对急性鼻窦炎所引发的严重并发症,如眶周水肿/脓肿和视觉障碍等应予以重视。 急性鼻窦炎的症状:指由鼻和鼻窦黏膜炎症反应引起的至少以下两个临床症状,如鼻塞,流鼻涕(前或后鼻孔),前额和(或)面部疼痛或胀痛,以及嗅觉功能减退或丧失等,其中鼻塞或流鼻涕是必不可少的症状之一。 急性鼻窦炎的体征:包括①鼻腔检查:是否出现鼻黏膜充血、水肿和脓性分泌物等;②口腔检查:是否出现后鼻孔脓涕;③注意排除牙源性感染。 急性鼻窦炎的常见并发症及体征:包括眶周水肿/充血,眼球移位,复视或视力下降,眼肌
3.1 Windows“任务管理器”的进程管理 (实验估计时间:60分钟) 背景知识 实验目的 工具/准备工作 实验内容与步骤 背景知识 Windows 2000的任务管理器提供了用户计算机上正在运行的程序和进程的相关信息,也显示了最常用的度量进程性能的单位。使用任务管理器,可以打开监视计算机性能的关键指示器,快速查看正在运行的程序的状态,或者终止已停止响应的程序。也可以使用多个参数评估正在运行的进程的活动,以及查看CPU 和内存使用情况的图形和数据。其中: 1) “应用程序”选项卡显示正在运行程序的状态,用户能够结束、切换或者启动程序。 2) “进程”选项卡显示正在运行的进程信息。例如,可以显示关于CPU 和内存使用情况、页面错误、句柄计数以及许多其他参数的信息。 3) “性能”选项卡显示计算机动态性能,包括CPU 和内存使用情况的图表,正在运行的句柄、线程和进程的总数,物理、核心和认可的内存总数 (KB) 等。 实验目的 通过在Windows 任务管理器中对程序进程进行响应的管理操作,熟悉操作系统进程管理的概念,学习观察操作系统运行的动态性能。 工具/准备工作 在开始本实验之前,请回顾教科书的相关内容。 需要准备一台运行Windows 2000 Professional操作系统的计算机。
实验内容与步骤 1. 使用任务管理器终止进程 2. 显示其他进程计数器 3. 更改正在运行的程序的优先级 启动并进入Windows环境,单击Ctrl + Alt + Del键,或者右键单击任务栏,在快捷菜单中单击“任务管理器”命令,打开“任务管理器”窗口。 在本次实验中,你使用的操作系统版本是: Window 2000 5.00.2195 Service Pack 4 当前机器中由你打开,正在运行的应用程序有: Windows“任务管理器”的窗口由3个选项卡组成,分别是: 当前“进程”选项卡显示的栏目分别是 (可移动窗口下方的游标/箭头,或使窗口最大化进行观察) : 1. 使用任务管理器终止进程 步骤1:单击“进程”选项卡,一共显示了____个进程。请试着区分一下,其中: 系统 (SYSTEM) 进程有_____个,填入表3-1中。 表3-1 实验记录 映像名称用户名CPU内存使用
系统安全防范之Windows日志与入侵检测 一、日志文件的特殊性 要了解日志文件,首先就要从它的特殊性讲起,说它特殊是因为这个文件由系统管理,并加以保护,一般情况下普通用户不能随意更改。我们不能用针对普通TXT文件的编辑方法来编辑它。例如WPS系列、Word系列、写字板、Edit等等,都奈何它不得。我们甚至不能对它进行“重命名”或“删除”、“移动”操作,否则系统就会很不客气告诉你:访问被拒绝。当然,在纯DOS的状态下,可以对它进行一些常规操作(例如Win98状态下),但是你很快就会发现,你的修改根本就无济于事,当重新启动Windows 98时,系统将会自动检查这个特殊的文本文件,若不存在就会自动产生一个;若存在的话,将向该文本追加日志记录。 二、黑客为什么会对日志文件感兴趣 黑客们在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了,包括日志文件。但是这一切都将被系统日志所记录下来,所以黑客们想要隐藏自己的入侵踪迹,就必须对日志进行修改。最简单的方法就是删除系统日志文件,但这样做一般都是初级黑客所为,真正的高级黑客们总是用修改日志的方法来防止系统管理员追踪到自己,网络上有很多专门进行此类功能的程序,例如Zap、Wipe等。 三、Windows系列日志系统简介 1.Windows 98的日志文件 因目前绝大多数的用户还是使用的操作系统是Windows 98,所以本节先从Windows 98的日志文件讲起。Windows 98下的普通用户无需使用系统日志,除非有特殊用途,例如,利用Windows 98建立个人Web服务器时,就会需要启用系统日志来作为服务器安全方面的参考,当已利用Windows 98建立个人Web服务器的用户,可以进行下列操作来启用日志功能。(1)在“控制面板”中双击“个人Web服务器”图标;(必须已经在配置好相关的网络协议,并添加“个人Web服务器”的情况下)。 (2)在“管理”选项卡中单击“管理”按钮; (3)在“Internet服务管理员”页中单击“WWW管理”; (4)在“WWW管理”页中单击“日志”选项卡; (5)选中“启用日志”复选框,并根据需要进行更改。将日志文件命名为“Inetserver_event.log”。如果“日志”选项卡中没有指定日志文件的目录,则文件将被保存在Windows文件夹中。 普通用户可以在Windows 98的系统文件夹中找到日志文件schedlog.txt。我们可以通过以下几种方法找到它。在“开始”/“查找”中查找到它,或是启动“任务计划程序”,在“高级”菜单中单击“查看日志”来查看到它。Windows 98的普通用户的日志文件很简单,只是记录了一些预先设定的任务运行过程,相对于作为服务器的NT操作系统,真正的黑客们很少对Windows 98发生兴趣。所以Windows 98下的日志不为人们所重视。 2.Windows NT下的日志系统 Windows NT是目前受到攻击较多的操作系统,在Windows NT中,日志文件几乎对系统中的每一项事务都要做一定程度上的审计。Windows NT的日志文件一般分为三类: 系统日志:跟踪各种各样的系统事件,记录由Windows NT 的系统组件产生的事件。例如,在启动过程加载驱动程序错误或其它系统组件的失败记录在系统日志中。 应用程序日志:记录由应用程序或系统程序产生的事件,比如应用程序产生的装载dll(动态链接库)失败的信息将出现在日志中。 安全日志:记录登录上网、下网、改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除文件等资源使用相关联的事件。利用系统的“事件管理器”可以指定在安全日志中记录需要记录的事件,安全日志的默认状态是关闭的。
教大家如何在win7或者vista下删除windows启动管理器中无用的系统选项2010-10-21 21:03 教大家如何在win7或者vista下删除windows启动管理器中无用的系统选项 看见好多人在百度知道里提问这个问题,而众多的答案不能令大家满意,所以就想给大家一个有效简单可行的方法。好多人安装了多个系统后又删掉了某个系统后,每次启动时windows启动管理器中依旧显示以前安装的系统选项,这令大家十分郁闷。许多人提到修改boot.ini或者msconfig,但对于win7或者vista,系统不是用boot.in引导,所以也就没有这个以藏的系统文件,而msconfig中有找不到要删除的的项目,所以上述办法并不可行。比如某个电脑中是xp和win7双系统,有一天在win7下用wubi安装了个ubuntu,后来又把ubuntu卸载了但是每次系统启动时总还有三个选项:windows旧版本(xp)、windows7、ubuntu。如何删除这个无用的ubuntu选项,下面我给大家一种方法: 运行具有管理员权限的CMD.exe,然后输入: 代码:bcdedit 在出现的结果中,会有一项"Real-mode Boot Sector"这个选项,记下它的第一个参数的值:一般是 代码:identifier {108e7f50-8f48-11dd-8f7c-aee6506ccce1}这样的表达。 复制后面的{……}的内容,然后在命令提示符下输入如下命令即可: 代码:bcdedit /delete {……}以上就是删除的方法。 具体步骤是:我下边以本人win7为例 1.在管理员账户下,单击开始,在搜索栏输入cmd,回车。如图示
关于windows任务管理器5个不错的替代选择 ZD至顶网CIO与应用频道06月23日专栏:任务管理器可以帮助你查看系统进程,但不是你可以使用的唯一一个工具。下面名单中的应用可能更适合你。Windows任务管理器一直是一个非常方便的资源,可以用于监控运行中的进程,用于终止不能通过正常手段关闭的应用。不过,和Windows任务管理器一样,有很多其他应用可以替代任务管理器,提供多样的、与任务管理器相关的服务。本文将罗列这样5个应用。1、Security Task ManagerSecurity Task Manager (如图A)可能是这个名单中最不寻常的工具。与其任务管理器一样,这款应用为你显示系统中正在运行的进程。但是这款应用与众不同之处在于,显示的进程信息突出强调了安全性。这款应用不仅提供了病毒扫描链接,而且给每个进程分配了一个安全等级,帮助你确定哪些进程可能是恶意进程。图A右键点击一个进程,打开菜单,可以进入进程所在的文件夹。你还可以Google搜索这个进程,检查病毒,评论,查看其属性。评价进程让你可以将它标记为危险的或者安全的进程,并添加注释记录你的理由。Security Task Manager 售价29美元,有免费试用版可供下载。2、Task Manager FixTask Manager Fix(如图B)是一款修复Windows任务管理器的免费工具。我曾经考虑过不把这款应用列入这个名单
中,因为它不像其他应用,实际上它并不具备我会所谓的功能集。尽管如此,我认为它仍然有自己的优点。图B多年来,我已经遇到过很多会禁用任务管理器的恶意软件。一些恶意会攻击任务管理器,这样受害人就无法使用任务管理器终止与恶意软件相关的进程。这个简单的应用要求任务管理器符合这种情况。它包含一个按钮。点击这个按钮就可以恢复任务管理器到正常的状态。3、AnVir Task Manager ProAnVir Task Manager Pro(如图C)是一款功能丰富的任务管理器替代选择。这款工具提供了标签列出启动项、应用、进程、服务和日志条目。每个标签包含过滤机制,让各种条目显示或者隐藏。除了常用任务管理器功能之外,这款工具让你可以编辑系统启动,提供管理罗列项目的详细信息。事实上,这款应用提供了大约20多种你可以选择显示或者隐藏的项目。图C企业网盘前景看好售价49.95美元,有免费试用版可供下载,此外也有免费版本。4、Remote Task ManagerRemote Task Manager(如图D)类似于原生的Windows任务管理器,但它是针对管理远程系统中的任务而设计的。它提供了关于应用、进程、服务、设备和事件的信息。它还允许应用发布到远程系统中。图DRemote Task Manager售价40美元,有免费试用版可供下载。5、Free Extended Task ManagerFree Extended Task Manager(如图E)包括一系列标签,罗列了汇总信息、应用、进程、服务、性能、网络、用户和端口使
疏勒县华东医院 2012年06月18日21:35 首次病程记录 患者艾麦提·约麦尔,男,42岁,维吾尔族,农民,以“头痛3天”为主诉入院。3天前患者无明显诱因出现头痛症状,并伴有轻微头晕症状,头痛呈持续性针扎样,以晨起为重,无发热、恶心、呕吐、头晕症状,当地诊所给予患者口服药物治疗,具体用药不详,疗效差,现因头痛加重,遂来我院就诊,门诊以“鼻窦炎”入院。在整个病程中,患者饮食可,睡眠差,大小便正常,体重无明显变化。查体:T:36.7℃ P:82次/分 R:19次/分 BP:130/80mmHg神志清,精神一般,发育正常,营养中等,自主体位,查体合作,步入病房。查全身皮肤黏膜无红疹、湿疹、丘疹及黄染,全身未触及肿大淋巴结。头颅大小正常无畸形,上颌窦、额窦压痛,睑结膜无充血水肿,瞳孔等大等圆,对光反射灵敏,鼻唇沟正常,口角无歪斜,伸舌居中,口唇无发绀,咽部无充血红肿,扁桃体无肿大。颈软无抵抗,颈静脉无怒张,肝颈静脉回流征阴性,气管居中,甲状腺两叶对称,无肿大及结节,未闻及血管杂音。胸廓双侧对称无畸形,呼吸运动正常,19次/分,双肺呼吸音清,听诊未闻及干湿罗音及哮鸣音,语颤正常,叩诊呈清音。心界无扩大,心音钝,律齐,心率82次/分,听诊未闻及病理性杂音。腹平软,全腹无压痛及反跳痛,肝脾肋缘下未触及,肠鸣音正常,未闻及气过水声及水泡音,墨菲氏征阴性,肾区无叩击痛。脊柱生理弯曲正常,脊柱及四肢活动自如无畸形。神经系统:生理反射存在,病理反射未引出。肛门及外阴未查。辅助检查:1.血常规:WBC:9.0X109/L HGB:165g/L N:50.4% L:40.5% 2. X线示:鼻窦炎初步诊断:鼻窦炎诊断依据:1.头痛3天2.并伴有轻微头晕症状3.双肺呼吸音清,听诊未闻及干湿罗音及哮鸣音,上颌窦、额窦压痛4.X线示:鼻窦炎鉴别诊断:1.上呼吸道感染2.颈椎病3.美尼尔综合症4.高血压诊疗计划:1.完善相关辅助检查,明确诊断 2.抗炎、活血、止痛、营养脑细胞、降颅压等药物的应用4.对症
任务栏管理器系统自带的一个很方便的软件。长久以来,大家也仅仅是习惯性的点击ctrl+alt+del来调出任务管理器了,然后取消某个失去相应的程序而已。其实任务管理器很强大的,它能很直观反映有系统的许多的东西,并且可以很方便的进行某些操作。在我们使用过程中有些技巧已经为大家所熟悉,但还有些技巧或许不是你都知道的,这里我给大家说一说任务栏管理器的一些应用或是技巧。看看能否对你将来使用电脑的时候有所帮助。一. 任务管理器的调出 1. 相信大多数朋友都会用左手按住左ctrl和alt,然后右手点击小键盘的del键来调出任务栏管理器。 2.单手按住左边的ctrl和alt,伸出一个手指来按文档控制的那个delete键也相当与ctrl+alt+del的功效。 3.你也可以选用右手按ctrl+alt+Esc也能调出任务管理器。 4.最简单的方法就是用鼠标在任务栏空白处点击右键,在弹出的菜单选择任务栏管理器即可。二. 任务管理器的外观 1. 这个问题曾经困扰着一些人,因为他们不小心把任务栏管理器弄成这个样子了,就象一个空白框,不知道怎么恢复了。其实很简单之所以能弄成这个样子,是因为你在任务管理器窗体上双击了左键。解决的方法也是相当的简单:再次双击就回复正常窗口的样子。 2. 选择不同的选项卡后再对窗体双击可以有不同的内容显示,这样你可以更加详细的对进程,或是网络cpu占用情况分析了。三. 任务栏管理器个选项卡的技巧 1. 应用程序栏:任意窗口的层叠,通过任务栏右键菜单中的“层叠窗口”命令,可以让所有打开的窗口层叠显示,但如果只是想让其中的几个窗口层叠显示出来,就要借助任务管理器了。在任务管理器的“应用程序”选项卡中选中想要层叠显示的程序窗口,然后单击右键,从菜单中执行“层叠”命令即可。此外,我们还可以随意最大化、最小化或前置指定的窗口。 2. 进程栏:在任务管理器的菜单―》查看―》选择列中可以定义要在进程栏里显示的内容,这里有许多专业的分析项目可以供你选择,比如虚拟内存大小。有些软件占用内存特别小的原因就是它用了不小的虚拟内存。默认的情况下,Windows XP任务管理器中的进程列表并不是按照名称进行排列的,查看起来不太方便,只要单击列表栏上方的文字标签,就可以让进程列表按序排列。例如单击“映像名称”标签,列表就会以进程名称的英文字母进行排序,单击“内存”标签,则可以按照内存使用量进行排序。 3. 用户栏:在这个栏目里,你可以注销已经登陆本机用户。如果你的权限足够,你可以断开任何登陆用户的登陆,如果有远程用户登陆本机。你可以选择发送消息给他。四. 任务栏管理器的升级其实任务栏管理器本身算的上一个不用安装的绿色程序了。你只需要把它拷倒你的机器上就能用了。最近网上流传着longhorn的任务管理器。这个版本的任务栏管理器比现在的windows xp版本任务栏管理器在进程那个选项里多了一个“映象路径”的功能,这样你就可以很方便的定位现在运行的进程位置。这一特性在我们对于可疑进程的鉴别上很有帮助。当然你可以用它来替换你现在使用的任务管理器。下载地址:https://www.doczj.com/doc/3c7930807.html,/down.php?id=26494&url=1使用方法:1、用附件中的三个文件覆盖Windowssystem32dllcache 下的同名文件。2、再用这三个文件覆盖Windowssystem32 目录下的同名文件,此时会弹出“Windows 文件保护”对话框,选择“取消”,然后选择“是”。然后你就可以按“Ctrl+Shift+Esc”或“Ctrl+Alt+Del”来使用新的任务管理器了。点击“进程”标签,然后在查看菜单下的“选择列。。。”中可以设置显示“命令行”和“映象路径”五. 任务管理器的一个特殊功能在点击菜单―》关机―》关闭选项的时候同时按住ctrl键的话。机器会在1秒左右关闭。更多请访问https://www.doczj.com/doc/3c7930807.html,/
如何打开资源管理器 资源管理器启动方法大全 “资源管理器”是Windows 系统提供的资源管理工具,我们可以用它查看本台电脑的所有资源,特别是它提供的树形的文件系统结构,使我们能更清楚、更直观地认识电脑的文件和文件夹,这是“我的电脑”所没有的。在实际的使用功能上“资源管理器”和“我的电脑”没有什么不一样的,两者都是用来管理系统资源的,也可以说都是用来管理文件的。另外,在“资源管理器”中还可以对文件进行各种操作,如:打开、复制、移动等。下面一起来看看如何打开资源管理器的方法。 资源管理器启动方法 法一:双击桌面资源管理器快捷方式图标; 法二:单击任务栏资源管理器快捷方式图标; 法三:右击任务栏上“开始”按钮—>选择“资源管理器” 法四:右击桌面上“我的电脑”、“我的文档”、“网上邻居”、“回收站”等系统图标,从快捷菜单中选择“资源管理器”命令; 法四:在“开始”菜单—>程序—>附件中选择“资源管理器”。 法五:快捷键:winkey+e 法六:在“我的电脑”窗口中,单击工具栏上的“文件夹”按钮。 资源管理器的组成
(1)左窗口 ● 左窗口显示各驱动器及内部各文件夹列表等。 ● 选中(单击文件夹)的文件夹称为当前文件夹,此时其图标呈打开状态,名称呈反向显示。 ● 文件夹左方有+标记的表示该文件夹有尚未展开的下级文件夹,单击+可将其展开(此时变为-),没有标记的表示没有下级文件夹。 (2)右窗口 ● 右窗口显示当前文件夹所包含的文件和下一级文件夹。 ● 右窗口的显示方式可以改变:右击或选择菜单查看—>大图标、小图标、列表、详细资料或缩略图。 ● 右窗口的排列方式可以改变:右击或选择菜单排列图标—>按名称、按类型、按大小、按日期或自动排列。 (3)窗口左右分隔条: 拖动可改变左右窗口大小。 (4)菜单栏、状态栏、工具栏 Win键(印有Windows标志的那个按键,在键盘的左下方。) 在现在的键盘的两边有一个标着Windows图标Windows键,简称为Win键。配合它能够快速打开一些非常实用的系统功能。但有些报纸、杂志介绍得不全。今笔者将它们一一罗列,供大家参考:Win+F1 打开Windows的帮助文件 Win+F 打开Windows的查找文件窗口 Win+E 打开Windows的资源管理器
Windows任务管理器的设计与实现毕业设计(作业) 毕 业 指 导 学生学院 系 专业 学生要求 交 199 windows任务管理器设计与实现 年12月19日XXXX
: ::::::: 摘要 据国外研究公司统计随着个人电脑进入千家万户,电脑操作系统中的任务管理器也越来越为越来越多的用户所熟悉和使用。 任务管理器是一个在视窗系统中管理应用程序和进程的工具。它通常由视窗操作系统提供,并有提供增强功能的第三方软件。通过任务管理器,用户可以轻松查看当前运行的程序、进程、用户、网络连接以及系统对内存和CPU资源的使用情况,并可以强制结束一些程序和进程。此外,用户可以监控系统资源的使用。 视窗任务管理器首次出现在微软公司1998年发布的视窗98操作系统中。从那以后,微软视窗操作系统的所有版本都集成了任务管理器。任务管理器不是视窗系统的专利。它广泛用于各种操作系统。苹果的苹果操作系统中有一个类似的活动监视器,基于Linux的ubuntu操作系统中有一个类似的功能系统监视器 窗口任务管理器提供有关计算机性能的信息,并显示有关计算机上运行的程序和进程的详细信息。如果您连接到网络,您还可以查看网络状态,并快速了解网络如何工作。它的用户界面提供了六个菜单项,包括文件、选项、视图、窗口、关机、帮助,以及五个选项卡,包括应用程序、进程、性能、网络和用户
项目的设计是一个模拟视窗任务管理器开发的视窗过程管理软件。主要设计是一个基于窗体的C#程序。标签控件放置在主对话框上,创建了应用程序、过程和性能的三个页面。标签控件用于选择和显示页面。这三个页面分别用于显示当前运行的窗口程序、进程和进程模块以及系统资源使用情况该程序还实现了结束任务和管理流程的基本功能。在的设计过程中,任务、进程、线程模块和系统资源使用等信息可以通过调用窗口应用编程接口函数来获得最后,在Windows10系统上对系统进行了测试,实现了流程管理的基本功能。关键词:任务经理;螺纹;过程;API 条目 1目录摘要.................................................................................................................. .. (i) 第一章简介 (1) 1.1项目背景:.............................................1 1.2国内外研究现状;................................1 1.3研究意义.............................的主要研究内容.................1 1.4的论文简要介绍了MicrosoftVisualStudio的开发环境.............................2 1.5。. (2) 1.5.1发展历史................................2 1.6工艺和螺纹介绍.. (4)
Windows2003 事件查看器事件ID对应解释 使用本模块可以实现下列目标: ?识别由Microsoft? Windows Server? 2003 操作系统生成的安全事件。 返回顶部 适用范围 本模块适用于下列产品和技术: ?W indows Server 2003 返回顶部 如何使用本模块 本模块是“Windows Server 2003 安全指南”的补充内容。本模块中的表可以用作快速参考,以帮助您识别在Microsoft? Windows 操作系统事件日志中所记录的与安全有关的事件。本模块还可以用来帮助配置系统监视软件,如Microsoft Operations Manager (MOM)。 返回顶部 帐户登录事件 表1 显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。 表1:审核帐户登录事件 事件 事件描述 ID 672 已成功颁发和验证身份验证服务(AS) 票证。 673 授权票证服务(TGS) 票证已授权。TGS 是由Kerberos v5 票证授权服务(TGS) 颁发的票证,允许用户对域中的特定服务进行身份验证。 674 安全主体已更新AS 票证或TGS 票证。 675 预身份验证失败。用户键入错误的密码时,密钥发行中心(KDC) 生成此事件。 676 身份验证票证请求失败。在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。 677 TGS 票证未被授权。在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。 678 帐户已成功映射到域帐户。 681 登录失败。尝试进行域帐户登录。在Windows XP Professional 或Windows Server 家族的成员中不生成此事件。 682 用户已重新连接至已断开的终端服务器会话。 683 用户未注销就断开终端服务器会话。
Windows启动过程详解 我们每天都在和Windows打交道,很多人可能每天都要面对多次W indows的启动过程,可是您知道在Windows的启动过程背后,隐藏着什么秘密吗?在这一系列过程中都用到了哪些重要的系统文件?系统的启动分为几个步骤?在这些步骤中计算机中发生了什么事情?这些就是本文试图告诉您的。 本文的适用范围 随着技术的发展,我们能够见到的计算机硬件种类越来越多。以计算机上最重要的组件CPU来说,目前就有很多选择。当然,这里的选择并不是说AMD或者Intel这种产品品牌,而是指其内部的体系结构。目前常见的CPU体系结构主要基于复杂指令集(Complex I nstruction Set Computing,CISC)或者精简指令集(Reduced Ins truction Set Computing,RISC),我们常用的Intel的Pentium、C eleron系列以及AMD的Athlon、Sempron系列都是基于复杂指令集的,而这些基于复杂指令集的CPU还有32位和64位的寄存器数据带宽区别。关于这些指令集以及寄存器数据带宽之间的区别等内容比较繁杂,而且不是本文的重点,感兴趣的朋友可以自己在网上搜索相关内容。因为CPU种类的不同,在不同CPU的系统中运行的Wind ows的启动过程也有一些小的不同。本文将会以目前来说最普遍的,在x86架构的系统上安装的32位Windows XP Professional为例向
您介绍。 基本上,操作系统的引导过程是从计算机通电自检完成之后开始进行的,而这一过程又可以细分为预引导、引导、载入内核、初始化内核,以及登录这五个阶段。 在继续阅读之前,首先请注意图1,这是Windows XP的操作系统结构,其中包括了一些在后台工作的组件以及经常和我们打交道的程序。在了解Windows XP的启动过程之前,对系统结构有一个初步概念是很重要的。
教你怎么用任务管理器 任务管理器相信大家都很熟悉,因为它是windows系统中大家经常会用到的一个程序,通常它主要被用来管理计算机进程或者查看计算机实时的工作状态。实际上它还有不少的妙用。 1.在网吧也能“运行” 经常泡在网吧的朋友们都知道,网吧的机子通常来说都会将运行对话框屏蔽掉,如果大家碰上某些情况需要使用运行对话框就只能束手无策了。其实这个时候任务管理器能被临时用来代替运行对话框的作用。 先按住“Ctrl+Alt+Del”组合键尝试一下能否调出任务管理器,能调出就好办了,我们依次任务管理器的菜单“文件→新建任务”,弹出“创建新任务”窗口,输入内容试试看,它跟运行对话框效果是一样的哦! 2.快速刷新注册表 许多软件在安装后会提示我们需要重新启动才能让软件正常使用,其实大部分时候这些软件只是在“小题大做”,因为重启仅仅是为了让注册表更新而已,我们可以利用任务管理器来更快地让软件生效。 方法为:在“进程”选项卡中用鼠标选择“explorer.exe”进程,然后右下角的“结束进程”按钮将它结束,这个时候桌面显示消失了。不必惊慌,我们在“创建新任务”窗口中输入“explorer.exe”。运行即可让桌面恢复显示,同时计算机的注册表也会被更新,现在软件就能正常使用了。 3.优化游戏运行 许多朋友都和一样还在使用1GB以下的内存,所以当我们玩3D游戏的时候就会觉得运行有些卡,这个时候除了使关闭游戏以外的所有程序以外,似乎再没有其他节省内存的办法了,其实我们可以在运行游戏前先在任务管理器中结束“ex plorer.exe”进程,因为它在很多情况下可都是内存耗用大户,结束它可为我们的游戏增加几十MB的可用内存,游戏效果当然会有改善。 不过此时没了桌面显示,启动游戏的方法也有所改变,我们需要打开“文件→新建任务”,然后“浏览”按钮进入游戏目录载入游戏主程序,“确定”即可运行游戏。 4.恢复浏览器网址列表 在国内被众多用户宠爱的多页面浏览器傲游和GreenBrowse都设置有一个人性化的功能,即在关闭浏览器时可以保留当前浏览的网页地址为列表以便下次打开继续浏览。不过如果在下次浏览网页之前不小心调用了它们来打开过其他关联文件,那么你保留的重要网页地址便会化为乌有了。 别着急,下面请你跟我们一起来对它施以小小“魔法”吧,保证让你的网页地址都恢复回来。记住,下次当你不小心调用了浏览器时,千万不要急忙,这时我们可以按下“Ctrl+Alt+Del”组合键,调出“Windows任务管理器”,在“进程”选项窗口内找出与傲游对应的“Maxthon.exe”映像,鼠标选中后按右下角“结束进程”将浏览器强制退出。现在重启浏览器看看,网页地址列表完整如初吧。 5.让电脑一秒关机 有时我们赶时间离开可能等不及电脑慢吞吞关机过程,但又担心插座未断电造成电能浪费,如果使用的是Windows XP系统,我们此时可以用任务管理器实现一秒关机。先调出“任务管理器”,按住“Ctrl”键同时窗口菜单“关机→关闭”,一秒钟后电脑关闭,OK,现在可以断开插座电源马上“闪人”了。
windows 任务管理器各进程详解 Win2000/XP 的任务管理器是一个非常有用的工具, 它能提供我们很多信息, 比如现在系统中运行的程序 (进程 ,但是面对那些文件可执行文件名我们可能有点茫然,不知道它们是做什么的,会不会有可疑进程 (病毒,木马等。本文的目的就是提供一些常用的 Win2000/XP 中的进程名,并简单说明它们的用处。 在 W2K/XP中,同时按下 crtl+shift+Esc键,可以打开 Windows 任务管理器,单击“进程” , 可以看到很多正在运行的进程,仔细看看有很多奇怪的 EXE 文件在运行?下面这些并不是真正的服务,而是在不同情况下运行的程序或进程,很多还是必需的进程。 【 Csrss 】 :这是 Windows 的核心部份之一,全称为 Client Server Process。我们不能结束该进程。这个只有 4K 的进程经常消耗 3MB 到 6MB 左右的内存, 建议不要修改此进程, 让它运行好了。 【 Ctfmon 】 :这是安装了 WinXP(尤其是安装 ofice XP后,在桌面右下角显示的“语言栏” , 如果不希望它出现, 可通过下面的步骤取消:双击“控制面板” , “区域和语言设置” , 单击“语言”标签,单击“详细信息”按钮,打开“文字服务和输入语言”对话框,单击下面“首选项”的“语言栏”按钮,打开“语言栏设置”对话框,取消“在桌面上显示语言栏”的勾选即可。不要小看这个细节,它会为你节省 1.5MB 到 4MB 的内存。 【 dovldr32】 :如果你有一个 Creative SBLive 系列的声卡,就可能击现这个进程,它占用大约 2.3MB 到 2.6MB 的内存。有些奇怪的是, 当我从任务栏禁止了这个进程后, 通过 DVD 实验, 并没有发生任何错误。但如果你将这个文件重新命名了,就会出现 windows 的文件保护警告窗口,而且 Creative Mixer 和 AudioHQ 程序加载出错。当然你希望节省一些内存,那么可以将它禁止。 【 explorer 】 :这可不是 Internet Explorer , explorer.exe 总是在后台运行,它控制着标准的用户界面、进程、命令和桌面等,如果打开“任务管理器” ,就会看到一个