Analysoidaan svchost.exe-prosesseja
- Luokka: Windows
Kysyin itseltään useita kertoja, miksi minulla oli käynnissä niin monia svchost.exe-prosesseja, kun avasin tehtävähallintaa, joka ei näyttänyt mitään lisätietoja nimen ja perustietojen lisäksi.
Tarvitsin toisen ohjelmiston, joka auttaisi minua analysoimaan svchost.exe-prosesseja ja määrittämään, tarvitaanko niitä todella vai ovatko haitallisia.
Ensimmäinen askel oli ladata erinomainen Prosessienhallinta Sysinternalsista. Tämä ohjelma antaa yksityiskohtaisia tietoja kaikista järjestelmässä tällä hetkellä käynnissä olevista prosesseista, mukaan lukien niistä riippuvat palvelut ja tiedostot sekä polun tiedostoon käyttöjärjestelmässä.
Kaikki järjestelmässä käynnissä olevat prosessit näytetään Process Explorerissa sovelluksen käynnistämisen jälkeen. Painamalla CTRL + L saat näkyviin ruudun alareunaan, joka näyttää laajoja tietoja valitusta prosessista. Hiiren siirtäminen prosessin yli näyttää myös tietoja, mutta ei syvällisesti, kuten alaruudussa.
Katsotaanpa nopeasti mitä wikipedia täytyy sanoa svchost.exe
Ohjelmistossa Svchost.exe on yleinen isäntäprosessinimi palveluille, jotka toimivat dynaamisen linkin kirjastoista (DLL) Microsoft Windows -käyttöjärjestelmän nykyaikaisissa versioissa.
Käynnistyksen yhteydessä Svchost.exe tarkistaa rekisterin palvelutiedot rakentaaksesi luettelon palveluista, jotka sen on ladattava. Useita Svchost.exe-esiintymiä voi suorittaa samanaikaisesti. Jokainen Svchost.exe-istunto voi sisältää palveluryhmän. Siksi erilliset palvelut voidaan suorittaa riippuen siitä, miten ja missä Svchost.exe käynnistetään. Tämä palveluiden ryhmittely mahdollistaa paremman hallinnan ja helpomman virheenkorjauksen, mutta se aiheuttaa myös joitain vaikeuksia loppukäyttäjille, jotka haluavat nähdä yksittäisten palvelujen ja prosessien muistin käytön tai myyjän oikeutuksen.
Viimeisessä virkkeessä selitetään melkoisesti ongelma, johon me - käyttäjät - olemme. Kuinka voimme selvittää, onko svchost.exe-prosessi laillinen ja tarpeellinen vai onko muistin tuhlaaminen, prosessointivoima vai edes haittaohjelma?
Aion selittää, kuinka voit selvittää varmuudella, tarvitaanko prosessia vai ei. Takaisin Process Exploreriin.
Vie hiiri ensimmäisen svchost-prosessin päälle ja katso, mitä se sanoo. Sen pitäisi näyttää polku sekä palvelut, jotka aloittivat tämän svchost-prosessin.
Ensimmäinen palveluni oli HTTP SSL -palvelu, joka oli käynnissä järjestelmässäni. Palvelu, jota ei tarvita lainkaan järjestelmässäni. Ajattelin ensin, että sillä oli jotain tekemistä mahdollisuuden kanssa avata https-verkkosivustoja kanssa, mutta näin ei ole. Täysin hyödytön loppukäyttäjille. Avasin services.msc, lopetin palvelun ja asetin sen myös pois käytöstä.
Svchost-prosessi katosi Process Explorer -sovellukseen. Testaakseni, että kaikki toimi edelleen, avasin https-URL-osoitteen Firefoxissa, joka toimi täydellisesti.
Seuraava svchost.exe-prosessi oli käynnissä Windows Image Acquisition -palvelun takia. Minulla on kamera, joka käyttää tätä palvelua, mutta siirrän harvoin kuvia kamerasta järjestelmään. Päätin myös poistaa tämän palvelun käytöstä ja lopettaa sen ja aktivoida sen aina, kun haluan siirtää kuvia. Ja puff siellä katosi toisen svchost-prosessin.
Kävin läpi kaikki svchost-prosessit käyttäen samaa metodologiaa: Vie hiiri sen päälle, kirjoita kyseinen palvelu hakukoneeseen, lue se ja tee päätös, jos tarvitsin sitä todella. Käyttäjät, jotka haluavat olla turvallisella puolella, pysäyttävät palvelun ja testaavat, toimiiko kaikki edelleen normaalisti. He voisivat vaihtoehtoisesti asettaa palvelun manuaaliseksi, jos ensin tehdyt testit ovat onnistuneet ja sitten myöhemmin pois käytöstä.
Hyvä resurssi palvelutietoon on Musta Viper.