network service 是什么进程？

这是一个系统进程，相关信息如下，我猜测与本进程无关，可能哪个进程与它有冲突，或者病毒在做怪。你试着进带网络的安全模式下看看是不是还是会这样呀，如果不是那就是其它进程与它冲突的原因了！ 什么是 Network Service？ 问：在 IIS 6 中，Web 应用程序的工作进程设置为以进程标识“Network Service”运行。在 IIS 5 中，进程外 Web 应用程序则设置为以 IWAM_<服务器名> 帐户运行，这个帐户是普通的本地用户帐户。可否提供有关这个新帐户的信息，它对于安全性以及管理来说很重要吗？ 答：Network Service 是 Windows Server 2003 中的内置帐户。您说得很对，了解 IIS 5 上的本地用户帐户（IUSR 和 IWAM）与这个内置帐户之间的区别是非常重要的。为了理解这一点，您应该知道，Windows 操作系统中的所有帐户都分配了一个 SID（安全标识，Security ID）。服务器是根据 SID，而不是与 SID 相关的名称来识别服务器上所有帐户的，而你我在与用户界面进行交互时，则是使用名称进行交互的。服务器上创建的绝大部分帐户都是本地帐户，都具有一个唯一的 SID，用于标识此帐户隶属于该服务器用户数据库的成员。由于 SID 只是相对于服务器是唯一的，因此它在任何其他系统上无效。所以，如果您为本地帐户分配了针对某文件或文件夹的 NTFS 权限，然后将该文件及其权限复制到另一台计算机上时，目标计算机上并没有针对这个迁移 SID 的用户帐户，即使其上有一个同名帐户也是如此。这使得包含 NTFS 权限的内容复制可能出现问题。 内置帐户是由操作系统创建的、一类较为特别的帐户或组，例如 System 帐户、Network Service 和 Everyone 组。这些对象的重要特征之一就是，它们在所有系统上都拥有一个相同的、众所周知的 SID。当将分配了 NTFS 权限的文件复制到内置帐户时，权限在服务器之间是有效的，因为内置帐户的 SID 在所有服务器上都是相同的。Windows Server 2003 服务中的 Network Service 帐户是特别设计的，专用于为应用程序提供访问网络的足够权限，而且在 IIS 6 中，无需提升权限即可运行 Web 应用程序。这对于 IIS 安全性来说，是一个特大的消息，因为不存在缓冲溢出，怀有恶意的应用程序无法破译进程标识，或是对应用程序的攻击不能进入 System 用户环境。更为重要的一点是，再也不能形成针对 System 帐户的“后门”，例如，再也无法通过 InProcessIsapiApps 元数据库项利用加载到 Inetinfo 的应用程序。 Network Service 帐户在创建时不仅仅考虑了在 IIS 6 中的应用。它还具有进程标识 W3WP.exe 的绝大部分（并不是全部）权限。如同 ASPNET 用户为了运行 ASP.net 应用程序，需要具有 IIS 5 服务器上某些位置的访问权限，进程标识 W3WP.exe 也需要具有类似位置的访问权限，而且还需要一些默认情况下没有指派给内置组的权限。 为了管理的方便，在安装 IIS 6 时创建了 IIS_WPG 组（也称为 IIS 工作进程组，IIS Worker Process Group），而且它的成员包括 Local System（本地系统）、Local Service（本地服务）、Network Service（网络服务）和 IWAM 帐户。IIS_WPG 的成员具有适当的 NTFS 权限和必要的用户权限，可以充当 IIS 6 中工作进程的进程标识。以下位置具有指派给 IIS_WPG 的权限： %windir%\help\iishelp\common – 读取 %windir%\IIS Temporary Compressed Files – 列出、读取、写入 %windir%\system32\inetsrv\ASP Compiled Template – 读取 Inetpub\wwwroot（或内容目录）- 读取、执行 另外，IIS_WPG 还具有以下用户权限： 忽略遍历检查（SeChangeNotifyPrivilege） 作为批处理作业登录（SeBatchLogonRight） 从网络访问此计算机（SeNetworkLogonRight） 因此，Network Service 帐户提供了访问上述位置的权限，具有充当 IIS 6 工作进程的进程标识的充足权限，以及具有访问网络的权限。参考资料： http://zhidao.baidu.com/question/2576427.html

svchost.exe是nt核心系统的非常重要的进程，对于2000、xp来说，不可或缺。但是很多病毒、木马也会调用它。
在基于nt内核的windows操作系统家族中，不同版本的windows系统，存在不同数量的“svchost”进程，用户使用“任务管理器”可查看其进程数目。一般来说，win2000有两个svchost进程，winxp中则有四个或四个以上的svchost进程（以后看到系统中有多个这种进程，千万别立即判定系统有病毒了哟），而win2003 server中则更多。这些svchost进程提供很多系统服务，如：rpcss服务（remote procedure call）、dmserver服务（logical disk manager）、dhcp服务（dhcp client）等。
如果要了解每个svchost进程到底提供了多少系统服务，可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看，该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。
svchost中可以包含多个服务
因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm”）。但windows系统存在多个svchost进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。
假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中，因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径，可以使用第三方进程管理软件，如“windows优化大师”进程管理器，通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。

svchost.exe是windows操作系统一个非常重要的进程模块。因此很多病毒都利用svchost.exe来迷惑大家。但是只要我们仔细观察就会知道是不是病毒。

正常的XP操作系统下有五到六个svchost.exe进程，其中SYSTEM用户名下有3个svchost.exe，NETWORK SERVICE用户名下有2个svchost.exe，LOCAL SERVICE用户名下有1个svchost.exe。其他系统也是大致如此，他们的用户名都是SYSTEM、NETWORK SERVICE、LOCAL SERVICE这三个，如果不是这三个用户名那么就有可能是病毒了。而且还有非常重要的一点就是正常的svchost.exe这个程序是在 windows\system32这个目录下。如果其它目录下有svchost.exe那肯定就是病毒了。进程里面的svchost.exe个数不重要，关键看他是什么用户名而且位置是不是在windows\system32这个目录下。举个例子：木马很喜欢安装在C:\windows\目录下，因为很具有迷惑性哦，其实它就是木马，将它杀掉。

是网络服务进程