内核文件
单处理器
64位:NTOSKRNL.EXE
32位:NTKRNLPA.EXE(支持PAE) 或者NTOSKRNL.EXE(不支持PAE)
多处理器
64位:NTKRNLPA.EXE
32位:NTKRPAMP.EXE(支持PAE ) 或者NTKRNLMP.EXE(不支持PAE)
空闲进程与系统进程
0和4号进程与其他进程最大的区别:没有实体,假进程,在硬盘上找不到实体
系统进程(System)是所有程序的宿主,相当于父亲
常用的子系统
CSRSS.EXE Windows子系统服务进程的主程序
ADVAPI32.DLL 数据加密API:Crpt开头
用户和账号管理API:Lsa开头
注册表操作API:Reg开头
WMIAPI:以WMI开头
终端服务API:以Wts开头
GDI32.DLL 图形绘制API
KERNEL32.DLL 进程/线程管理API
调试API:Debug开头
文件操作API
内存操作API
USER32.DLL 消息管理、窗口管理、用户输入 | 
雷达卡
发表于 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶