csrss.exe：这是子系统服务器进程，负责控制WINDOWS创建或删除线程以及16位的虚拟DOS环境。
　　system ldle process：作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。
　　smss.exe：这是一个会话管理子系统，负责启动用户会话。
　　services.exe：这是一个系统服务管理工具。
　　lsass.exe：这是一个本地安全授权服务。
　　explorer.exe：资源管理器，打开后会看到。
　　spoolsv.exe：管理缓冲区中的打印和传真作业。
　　svchost.exe：系统启动的时候，svchost.exe将检查注册表中的位置来创建需要加载的服务列表。
　　木马通常取名是与系统文件接近的，大家检测时就要注意。通常先通过用户名查看法来判别。例如是木马system.exe用户登录为administrator，一看就知道不是系统SYSTEM调用的进程，而是用户administrator调试的，判断为木马，马上结束进程。其次就是CPU占有率法，通常木马在远程访问观看你桌面时都出现CPU使用100%上下的资源，判断文件为木马。