分析svchost.exe进程
- 类别: 视窗
我不止一次地问自己,为什么打开任务管理器时为什么有这么多svchost.exe进程在运行,除了名称和基本信息外,该进程没有显示其他信息。
我需要另一个软件来帮助我分析svchost.exe进程,并确定它们是否确实需要甚至是恶意的。
第一步是下载优秀的 流程浏览器 来自Sysinternals。该程序提供有关系统上当前正在运行的所有进程的详细信息,包括依赖于它们的服务和文件,以及操作系统上文件的路径。
启动应用程序后,系统上正在运行的所有进程都将显示在“进程资源管理器”中。按CTRL + L在底部显示一个窗格,该窗格显示有关所选进程的大量信息。将鼠标移到该过程上也会显示信息,但不会像底部窗格那样显示深度。
让我们快速看一下 维基百科 不得不说关于svchost.exe
在软件中,Svchost.exe是服务的通用主机进程名称,该服务从Microsoft Windows操作系统的现代版本中的动态链接库(DLL)运行。
在启动时,Svchost.exe检查注册表的服务部分,以构造它必须加载的服务列表。 Svchost.exe的多个实例可以同时运行。每个Svchost.exe会话可以包含一组服务。因此,取决于启动Svchost.exe的方式和位置,可以运行单独的服务。服务的这种分组允许更好的控制和更容易的调试,但是对于希望查看各个服务和进程的内存使用情况或供应商合法性的最终用户来说,也带来了一些困难。
最后一句话几乎解释了我们(用户)所处的困境。我们如何确定svchost.exe进程是合法且需要的,还是浪费内存,处理能力甚至是恶意的?
我将解释如何确定是否需要该过程。返回流程浏览器。
将鼠标悬停在第一个svchost进程上,看看它在说什么。它应该显示路径以及启动此svchost进程的服务。
我的第一个服务是在系统上运行的HTTP SSL服务。我的系统上根本不需要的服务。我首先认为这与打开https网站的能力有关,但事实并非如此。对于最终用户完全没有用。我打开了services.msc并停止了该服务并将其设置为禁用。
svchost进程在“进程资源管理器”中消失了。为了测试一切仍然正常,我在Firefox中打开了一个https URL,它工作得很好。
由于Windows图像获取服务,下一个svchost.exe进程正在运行。我确实有使用此服务的相机,但很少将照片从相机传输到系统。我决定同时禁用和停止此服务,并在我要传输图像时将其激活。并在那里消失了第二个svchost进程。
我使用相同的方法完成了svchost的所有过程:将鼠标悬停在它上面,在搜索引擎中键入有问题的服务,继续阅读并做出是否确实需要的决定。希望安全起见的用户停止该服务并测试一切是否仍照常进行。如果第一次测试成功,然后将其禁用,他们可以将服务设置为手动。
服务信息的良好资源是 黑蛇 。