系统空闲进程(Idle)
该进程的ID为0,其中每个处理器或核对应有一个线程。
System进程
在Windows XP和Windows Server 2003中改进程的ID为4,它包含了内核模式系统进程。系统辅助线程,以及执行体和驱动程序通过PsCreateSystemThread创建的线程,都在System进程中。
会话管理器(Session manager, smss.exe)
这是Windows系统中第一个创建的用户模式进程。Smss在Windows启动过程中承担了一些重要的步骤,例如创建环境变量等,尤为重要的是,它启动了子系统进程csrss.exe和登陆进程winlogon.exe。另外,会话管理器也负责创建新的终端服务器会话(terminal server session),包括建立会话空间的数学结构,然后为新建的终端服务器会话加载子系统,启动csrss.exe和登陆进程winlogon.exe。
登录进程(winlogon.exe)
它负责处理交互用户的登录和注销。当用户按下Ctrl+Alt+Del组合键(称为安全注意序列[SAS, Secure Attention Sequence])时,winlogon就会接到登录请求,然后激发安全认证过程,并启动用户会话中的初始进程。在用户会话的任何时候,当用户按下了SAS组合键,winlogon都会提示一个安全对话框,其中通常包含“注销”、“启动任务管理器”、“锁定任务管理器”、“锁定计算机”、“更改密码”、“关机”等选项。
Windows子系统进程(csrss.exe)
正如本章前文所提到的,Windows子系统进程负责为用户提供一个子系统环境,包括提供控制台窗口的功能,以及创建或删除进程和线程。
本地安全权威子系统进程(Isass.exe)
它负责本地系统安全策略,例如允许哪些用户登录到本地系统中、口令策略、授予用户和用户组的特权,以及系统安全审计设置;调试也负责认证用户的身份,以及将安全审计消息发送到系统的事件日志(Event Log)中。
Shell进程(explorer.exe)
这是Windows的默认Shell,它提供了系统与用户打交道的各种界面,包括开始菜单、任务栏、资源管理器窗口等几乎所有Windows用户都熟悉的界面。
服务控制管理器(services.exe)
它负责管理Windows的系统服务,这里的系统服务是指一些特殊进程,它们通常并不与登录用户进行交互,因而被配置成可以在系统引导时自动启动起来,无须交互登录过程。Windows中有很多功能组件是以服务的方式来实现的,比如事件日志、任务调度器和各种网络组件等。