我有两个进程似乎总是在读取/写入硬盘LSASS.EXE:CRSS.EXE
CSRSS.EXE每秒读取 1-2 次LSASS.EXE写入/读取 1 次/秒
这两个进程都是在启动时启动的。它们为什么要进行如此多的读取/写入操作?
答案1
CSRSS 是“客户端/服务器运行时子系统”,它是用户模式系统的一部分(与内核模式相反,请参阅链接了解更多解释)。
根据这地点:
CSRSS 负责控制台窗口、创建和/或删除线程以及实现 16 位虚拟 MS-DOS 环境的某些部分。
还有一个维基百科条目在上面。
LSASS 是“本地安全认证服务器”。以下是它能做什么:
[...] 负责在系统上执行安全策略。它验证登录 Windows 计算机或服务器的用户、处理密码更改并创建访问令牌。它还写入 Windows 安全日志。
我不是 Windows 专家,但正如你所见,这两个过程是基本的对于 Windows 的操作,我不会怀疑他们是否需要不断地从硬盘读取/写入来执行他们的任务。
请注意,这两个文件通常是病毒的目标,病毒会伪装成该进程。
答案2
我正在调查同样的问题;procmon 报告 lsass.exe 和 explorer.exe 的持续 I/O,主要是针对注册表。即使使用 Process Explorer 暂停进程也不会停止 I/O,这有点奇怪。可以不断听到驱动器的声音,所有其他正在运行的程序都已终止,因此这不是 AV 扫描或其他任何东西,并且计算机已检查过恶意软件。
另一个可能的解决方案是它与页面文件访问有关,但我不明白为什么 Windows (XP) 在运行的进程如此之少的情况下要不断地将页面移到磁盘。Windows 更新也已关闭。