win7系统的csrss.exe频繁读写硬盘,你是怎么处理的啊
按时间排序
外用软件：优化大师或者超级兔子内部优化基本思想： 1、减少磁盘空间占用 2、终止不常用的系统服务 3、安全问题 4、另外一些技巧 首先问一下，你是不是很想激活XP，不。。。准确的说你是不是想在ms的站上能够升级。如果答案是肯定的话，那我们就先来探讨一下安装的问题，目前流行的V4、V5、V6版本我还是比较推荐的，尤其是V5和V6这两个。安装的过程中有个序列号的问题，我建议你先在机子上算好，然后用这个序列号安装，通常这样安装的XP都可以到MS的站点自由更新。 如果你是已经安装好的XP了，但用的序列号是里到处流传人人都用的那些，也没关系，我们后面会说用sysrep来重新封装的时候会解决序列号更换的问题。 我假设你已经安装完XP了，come on baby ~~ 一、瘦身行动 1、在各种软硬件安装妥当之后，其实XP需要更新文件的时候就很少了。删除系统备份文件吧：开始→运行→sfc.exe /purgecache 近3xxM。 2、删除驱动备份： %windows%\driver cache\i386目录下的driver.cab文件，通常这个文件是76M。 3、偶没有看help的习惯，所以保留着%windows%\help目录下的东西对我来说是一种伤害，呵呵。。。都干掉，近4xM。 4、一会在升级完成后你还会发现%windows%\多了许多类似$NtUninstallQ311889$这些目录，都干掉吧，1x-3xM。 5、正好硬盘中还有win2000/server等，所以顺便把pagefile.sys文件都指向一个地方：控制面板→系统→性能—高级→虚拟内存→更改，注意要点&设置&才会生效。 6、卸载不常用组件：用记事本修改\%windows%\inf\sysoc.inf，用查找/替换功能，在查找框中输入,hide，全部替换为空。这样，就把所有的,hide都去掉了，存盘退出后再运行&添加-删除程序&，就会看见&添加/删除 Windows 组件&中多出不少选项；删除掉游戏啊，码表啊等不用的东西。 7、删除\windows\ime下不用的输入法，8xM。我重新安装了自己用的zrm输入法，赫赫。 8、如果实在空间紧张，启用NTFS的压缩功能，这样还会少用2x% 的空间，不过我没作。 9、关了系统还原，这破功能对我这样常下载、测试软件的人来说简直是灾难，用鼠标右健单击桌面上的&我的电脑&，选择&属性&，找到&系统还原&，选择&在所有驱动器上关闭系统还原&呵呵，又可以省空间了。 10、还有几个文件，挺大的，也没什么用。。。。忘了名字 ：（ ，刚安装的系统可以用查找功能查找大于50M的文件来看看，应该能找到的。 如果你能按照上面的过程做完，你的原本1.4G的XP，完全可以减少到800以下。
win7系统比XP系统对硬件的要求更高,就比如有些机器只能装XP装win7就卡的原因,就相当于开win7开启就自带一个游戏的消耗,
如果在重装系统时，没有做高格。什么都不会受到影响。不过这样做，人会很累。
电脑病毒 用杀毒软件杀毒
多开不是爆内存就是爆显存。特别你开两个游戏如果都是高特效的话，很容易爆显存。win7系统本身对比xp，对内存和显存的占用都要多。你可以对比一下，两个系统下玩游戏时内存和显存的占用
感谢您为社区的和谐贡献力量请选择举报类型
经过核实后将会做出处理感谢您为社区和谐做出贡献
确定要取消此次报名，退出该活动？
请输入私信内容：秒后自动跳转至回答所在的问题页WIN10的注入CSRSS求解
csrss.exeservices.exesmss.exe....等几个系统进程OpenProcess(PROCESS_ALL_ACCESS, false, process_id);NtOpenProcess(&hProcess, PROCESS_ALL_ACCESS, &oa, &cid);都只能打开失败.还尝试了PsExec.exe -i -d -s XXX.exe 启动SYSTEM权限进程,还是打不开.网上搜了一堆资料,说是PsIsProtectedProcess给过滤了.RtlAdjustPrivilege(),win10下这个也废了.Token什么的也没效果.RING3下就没办法了吗.装逼是装不成了,在WIN10面前,这辈子都不可能装逼了.只能来看雪碰碰运气.看雪的大神讲话又好听,个个都是人才.
支付方式：
最新回复 (25)
把你自己进程的PsIsProtectedProcess里的保护位也置1，就能艹那些被保护进程了，还不是美滋滋具体可以参考gh上面一个叫blackbone的项目
把你自己进程的PsIsProtectedProcess里的保护位也置1，就能艹那些被保护进程了，还不是美滋滋具体可以参考gh上面一个叫blackbone的项目
求个64位的ntdll.lib
求个64位的ntdll.lib
装个Windows SDK10，里面自带
把你自己进程的PsIsProtectedProcess里的保护位也置1，就能艹那些被保护进程了，还不是美滋滋具体可以参考gh上面一个叫blackbone的项目
Blackbone,用到驱动了呀
Blackbone,用到驱动了呀
改EPROCESS标志位肯定要驱动啊，不然岂不是内核0day了
改EPROCESS标志位肯定要驱动啊，不然岂不是内核0day了
我抱着RING3下能直接打开CSRSS进程句柄的心态去搜索源码，即使我英文很不好
改EPROCESS标志位肯定要驱动啊，不然岂不是内核0day了
RING3下，没办法打开WIN10的CSRSS了吗
RING3下，没办法打开WIN10的CSRSS了吗[em_51]
是这样的啊
鉴于目前没有收藏功能
所以就留下脚印
是这样的啊
如果都能用上驱动了，干嘛还注入CSRSS，毫无意义的挣扎
如果都能用上驱动了，干嘛还注入CSRSS，毫无意义的挣扎[em_72]
微软又不是傻子随便让你注入WIN10的关键进程
是哈，新版还没有收藏功能啊。
怎么注入CSRSS啊
Win10要注入关键进程是需要驱动的。
csrss注入的DLL能创建窗口么=-=我想问。
win7& 注入CSRSS需要什么要求不，DLL之类的。
win7 注入CSRSS需要什么要求不，DLL之类的。
提权,LdrLoadDll,注入的DLL需要是64位.
按照上面那位大哥说的&hzqst& 把你自己进程的PsIsProtectedProcess里的保护位也置1&，& 我把自己设置成保护了，& 注入的时候debugview里面显示下面的信息，& 大概意思就是我没微软的签名，& 呵呵了，& 这还能有解吗？ & & & &44. & & & &****************************************************************** & & & &44. & & & &*& This& break& indicates& this& binary& is& not& signed& correctly:& \Device\HarddiskVolume2\Users\Public\test_inject64.dll & & & &44. & & & &*& and& does& not& meet& the& system& policy. & & & &44. & & & &*& The& binary& was& attempted& to& be& loaded& in& the& process:& \Device\HarddiskVolume2\Windows\System32\services.exe & & & &44. & & & &*& This& is& not& a& failure& in& CI,& but& a& problem& with& the& failing& binary. & & & &44. & & & &*& Please& contact& the& binary& owner& for& getting& the& binary& correctly& signed. & & & &44. & & & &******************************************************************
按照上面那位大哥说的&hzqst 把你自己进程的PsIsProtectedProcess里的保护位也置1&， 我把自己设置成保护了， 注入的时候debugview里面显示下面的信息 ...
把csrss的保护标志位去掉就行了
把csrss的保护标志位去掉就行了
大哥你脑洞真大，& 我怎么没想到呢？& & 呵呵，& 我先试一下
我是注services.exe，& 把services.exe的保护去掉，& 注入依然提示签名不对，我那个dll是有自己的签名但没微软签名[\\DESKTOP-SSM8QD9] & & & &0. & & & &BlackBone:& OS& version& 10.0.8& -& 0xa00 & & & &0. & & & &BlackBone:& PDE_BASE:& FFFFFBFDC0000000,& PTE_BASE:& FFFFFB & & & &0. & & & &BlackBone:& Dynamic& search& status:& SSDT& -& SUCCESS,& ExRemoveTable& -& SUCCESS & & & &10. & & & &****************************************************************** & & & &10. & & & &*& This& break& indicates& this& binary& is& not& signed& correctly:& \Device\HarddiskVolume2\Users\Public\test_inject64.dll & & & &10. & & & &*& and& does& not& meet& the& system& policy. & & & &10. & & & &*& The& binary& was& attempted& to& be& loaded& in& the& process:& \Device\HarddiskVolume2\Windows\System32\services.exe & & & &10. & & & &*& This& is& not& a& failure& in& CI,& but& a& problem& with& the& failing& binary. & & & &10. & & & &*& Please& contact& the& binary& owner& for& getting& the& binary& correctly& signed. & & & &10. & & & &******************************************************************
我是注services.exe， 把services.exe的保护去掉， 注入依然提示签名不对，我那个dll是有自己的签名但没微软签名
[\\DESKTOP-SSM8QD9]
把进程内的dll加载签名策略也关了，具体怎么关忘了，之前坛子上有人发过win10& ntdll新增函数里面就有
留个爪& 日后准备技术跟进
1.请先关注公众号。
2.点击菜单"更多"。
3.选择获取下载码。win7的系统关机时涉及到哪些操作?_百度知道
win7的系统关机时涉及到哪些操作?
答题抽奖
首次认真答题后
即可获得3次抽奖机会，100%中奖。
用户发起关机指令以后，发起关机指令的程序（调用系统函数库 user32.dll中的ExitWindowsEx函数）会通知Windows子系统CSRSS.EXE，CSRSS.EXE收到通知以后会和Winlogon.EXE做一个数据交换，接着由Winlogon.EXE通知CSRSS.EXE开始关闭系统的流程 。CSRSS.EXE收到Winlogon.EXE的通知以后，会依次查询拥有顶层窗口的用户进程，让这些用户进程退出。如果某一个用户进程在一个默认的超时时间5000毫秒(可以通过修改注册表键值HKEY_CURRENT_USER\Cont rol Panel\Desktop\ HungAppTimeout设定超时时间)内没有退出的话，Windows会显示一个结束任务对话框用于询问用户是否结束这个任务。默认情况下将显示这个对话框并一直保持而不会自动关闭。对于控制台程序来说，基本情况类似，只不过Windows使用HK EY_CURRENT_USER\Control Panel\Desktop\ WaitToKillAppTimeout值来设置超时时间。接着是轮到终止系统进程了（winlogon.exe再次调用ExitWindowsEx关闭COM对象进程）。系统进程包括SMSS.EXE、Winlogon.EXE、Lsass.EXE等。Windows在终止系统进程的时候并不像终止用户进程那样如果无法在规定时间内终止则提示用户，而是跳过这个进程，去执行下一个系统 进程的终止操作。使用的超时时间和第2步使用的时间相同。 上述3个步骤是整个Windows关机过程中最耗费时间的一段，大多数关机缓慢的原因都是因为这3个步骤引起的。完成前3个步骤以后，进入了关机操作的第4个阶段，也是最后一个阶段。Winlogon.EXE调用一个原生API函数NtShutdownSystem()来命令系统执行后面的扫尾工作。在这个阶段里面，Windows执行子系统会完成最后的关机操作，例如:设备驱动在这个阶段里面完成一些驱动设定的特殊操作; 也是在这个阶段，配置管理系统将被修改过的注册表数据会写道磁盘里面。等除了电源管理以后的全部子系统完成退出以后，电源管理完成最后的操作:如重启、关机等。简单地说，在Windows关机时，系统做了以下工作：&&&&&1. 软保护 首先先结束登录用户打开的所有程序，保存用户的设置和系统设置，然后停止系统服务和操作系统大部分进程。&&&&&2. 硬保护 复位硬件，如复位磁盘的磁头、停止硬件驱动程序等。&&&&&3. 断电 断开主板给各硬件设备的电源。当然这步需要主板的电源管理模块支持，一般来说，ATX电源和主板都支持软断电。&在整个关机过程中，软保护是最耗时的，少则五六秒，多则上分钟。刚安装的操作系统，因为未安装驱动和开启额外的系统服务，关机非常快。开启服务一多，关机就慢下来了，特别是安装了有Bug的驱动，问题可能更糟。
为您推荐：
其他类似问题
win7的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。Win7如何提升硬盘读写能力
按时间排序
1、5400转，是你硬盘自身的设计问题，这类硬盘出现在笔记本、节能盘中，通过软件是无法改变的。机械硬盘分5400转和7200转2类。2、AHCI，只是提高硬盘寻道效率，而不是速度，对于机械硬盘来说，是否开启差异不大，但对固态硬盘很有用处。3、开启AHCI蓝屏，是因为装的GHOST系统，硬盘在AHCI模式下，需要安装驱动（在安装中），而目前的DOS、PE是不支持或者支持不好AHCI，所以装完后系统找不到AHCI驱动，自然就蓝屏了。
目前世面上机械硬盘转速主要有5400/分和7200/分两种，你的明显是前一种。关于ahci，开启确实可以提高读写能力，win7及以上可以用，xp若有ahci相关补丁也可以用，网上有开启了ahci的xp的下载，这样就不会有蓝屏了
机械硬盘？提高不了
东芝固态不错
首先你5400转是不是买的节能版硬盘？比如西数绿盘和西数监控盘，还有希捷的低速盘？那速度提高不了，这种盘本来就是做仓库用的，不适合装启动系统。其次现在只要是SATA2.5以后的硬盘，只要你主板上没有IDE接口，就必须用AHCI模式，蓝屏是因为XP的SATA驱动加载失败，只要是win7就没这个问题
增加个SSD是最好的办法
感谢您为社区的和谐贡献力量请选择举报类型
经过核实后将会做出处理感谢您为社区和谐做出贡献
确定要取消此次报名，退出该活动？
请输入私信内容：