取证题中系统文件

取证题中很容易遇见一些系统文件，如果能够理解各系统文件的名称和功能，就能方便取证分析。

A

audiodg.exe

• Windows音频设备图形隔离程序，旨在防止未授权软件或硬件捕获高清晰度格式的内容。

C

csrss.exe

• 本进程的主要是控制图形子系统、负责管理线程，并执行 MS-DOS 环境的图形窗口及其他某些部分。

D

dwm.exe

• dwm.exe 是桌面窗口管理器，是 Windows 7/Vista 操作系统定义的系统进程，跟桌面相关。

dllhost.exe

• 用于管理DLL应用。

E

explorer.exe

• explorer.exe 是 Windows 程序管理器或者文件资源管理器。

L

lsass.exe

• lsass.exe 是一个系统进程，用于微软 Windows 系统的安全机制。它用于本地安全和登陆策略。

lsm.exe

• lsm.exe 是一个系统进程，为本地会话管理器服务。

M

mscorsvw.exe

• 用于预编译 .net 的 assemblies，并非系统核心进程。

R

rundll32.exe

• 用于在内存中运行 DLL 文件，它们会在应用程序中被使用。
• 小心 rundl132.exe。

S

searchIndexer.exe、SearchFilterHost.exe、SearchProtocolHost.exe

• 微软桌面搜索索引程序。

services.exe

• services.exe 是微软 Windows 操作系统的一部分。用于管理启动和停止服务（包括计算机启动和关机）。

smss.exe

• 该进程为会话管理子系统用以初始化系统变量，负责启动用户会话，MS-DOS 驱动名称类似 LPT1 以及 COM，调用 Win32 壳子系统和运行在 Windows 登陆过程。

spoolsv.exe

• spoolsv.exe 是 Print Spooler 的进程，管理所有本地和网络打印队列及控制所有打印工作。

sppsvc.exe

• 用于检测安装和 Windows 和 Windows 应用程序的数字许可证的。

svchost.exe

• svchost.exe 是从动态链接库（DLL）中运行的服务的通用主机进程名称。
• 许多服务通过注入到该程序中启动，所以会有多个该文件的进程。

T

taskhost.exe

• taskhost.exe 进程负责 Windows 计划任务程序的，通过此程序可以定时设置系统中的相关操作。

V

vmacthlp.exe

• VMware Activation Helper

vmtoolsd.exe

• VMware Tools Core Service

W

wininit.exe

• wininit.exe 是 Windows NT 6.x 系统的一个核心进程。wininit.exe 的工作是开启一些主要的Vista-Win7、Win8后台服务。

winlogon.exe

• winlogon.exe 是 Windows NT 用户登陆程序，用于管理用户登录和退出。

wmiprvse.exe

• wmiprvse.exe 是 Windows 管理规范，用于请求有关 Windows 操作系统状态和其它数据信息时提供、返回这些信息。

wmpnetwk.exe

• wmpnetwk.exe 是 WidowMediaPlayern 内置网路共享组件进程名称。