ＷＩＮＤＯＷＳ系统进程

1、有以下系统进程
（1）空闲进程（IDLE）每个CPU一个线程，占用空闲的CPU时间
（2）SYSTEM进程（包含大多数内核模式系统线程）
（3）会话管理器（SMSS。EXE）
（4）WINDOWS子系统（CSRSS。EXE）
（5）登录进程（WINLOGON。EXE）
（6）服务控制管理器（SERVICES。EXE）和它创建的子服务进程（比如系统提供的通过服务宿主进程SVCHOST。EXE）
（7）本地安全认证服务器（LSASS。EXE）
2、空闲进程
任务管理器将中断和DPC时间包含在系统空闲时间中
3、SYSTEM进程和系统线程
SYSTEM进程是一种特殊线程的母体，这种特殊线程只在内核模式下运行，为内核模式系统线程。
系统线程有普通用户模式线程的所有属性和环境，但是在内核模式下运行系统空间中加载的代码，并且系统线程没有一个用户进程地址空间，任何的动态存储空间需要从操作系统的内存堆分配，如从一个换页的或非换页的池中分配。
系统线程通过PsCreateSystemThread函数创建，这个函数只能在内核模式下调用
内核会创建一个称为平衡管理器的系统线程，它每秒被唤醒一次，从面有可能发现各种与调度和内存管理相关的事件。
高速缓存管理器使用系统线程来实现预读和滞后写I/O。文件管理器设备驱动程序（SRV。SYS）利用系统线程来响应与网络共享有关的网络I/O。
系统线程默认情况属于SYSTEM进程，但，一个设备驱动程序可以在任何的进程中创建系统线程，从而可以方便访问用户模式地址空间的数据。
4、会话管理器
在启动WINDOWS时，会话管理器（SMSS。EXE）负责许多任务，比如打开额外的页面文件，执行延迟的文件改名，等也将子系统进程（通过只有CSRSS。EXE）和WINLOGON进程启动起来，WINLOGON会依次创建其他的系统进程
SMSS的主线程在执行完成启动初始化后，一直在CSRSS和WINLOGON的进程句柄上等待，如果这两个进程之一非正常终止了，SMSS让系统崩溃
同时SMSS等待子系统的请求和调试事件以及创建新的终端服务器会话请求
5、WINLOGON、LSASS和USERINIT
WINLOGON处理交互式用户登录和注销，登录的身份识别和谁在一个GINA的可替换的DLL实现，标准的WINDOWSGINA即MSGINA。DLL，开发人员可以提供自己的GINADLL实现其他的身份谁方式，如基于声波等，WINLOGON可以加载那些需要执行二级认证的附加网络提供者DLL
用户名和口令捕捉完成后，可以将它们送到本地安全认证服务器进程（LSASS。EXE）进行认证，LSASS调用适当的认证包进行验证，完成验证，调用安全引用监视器中的一个函数（如NTCREATETOKEN）生成访问令牌对象。然后WINLOGON利用这个令牌来创建用户对话中的初始进程
USERINIT执行用户环境中的一些初始化工作，然后在注册表中查找SHELL值，并且创建一个进程运行系统定义的外壳程序（通常是EXPLORER。EXE）
6、服务控制管理器
WINDOWS中的服务既可以指一个服务器进程，也可以指一个设备驱动程序，服务控制管理器是一个特殊的系统进程，它负责启动、停止服务进程，也负责与这些服务进程进行交互。
服务进程和所运行的服务之间总不是一一对应的，有的服务与其他服务共享一个进程