svchost.exe为什么老在执行东西

w99308702

2012/5/2        19:31:33        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files\Common Files\Thunder Network\Kankan\Pusher\xappllv.dll        防病毒最大保护:禁止 Svchost 执行非 Windows 可执行文件        已阻止的操作: 执行

svchost.exe怎么老是有程序调用去执行东西。这个进程有事系统进程，如果长期阻止他执行是否会对程序的使用造成影响，还有就是这个默认规则实际的作用有多大？

墨池

这个，从咖啡以外的的角度讲，是别的程序向svchost.exe发送消息，让它执行自己的程序，以达到自己办不到的目的，而咖啡没有细致的发送消息等防护机制（内核欠缺），所以拦截的日志只能显示为svchost.exe为父进程，实际上是别人请它帮忙干的。
咖啡规则背后的天书规则，目前还不能完全参透。这条规则作用很明显，是对调用svchost.exe进程的防护。启用则不报告，报告不如不启用。启用的话，目前没有发现对正常系统与软件有影响。

xxygttt

1：svchost.exe是一个中介，应用程序通过它来加载dll，这些dll大都是与系统服务有关的。（你装的这个软件估计注册了服务，通过cmd 输入  services.msc 看看，是否真的有服务）。百度一下这个svchost.exe，你会知道的更多。那么正常的软件可以放行的。
2：这条默认的规则防止系统使用非微软的服务。安全性有所提高。例如一个软件注册了系统服务，咖啡可以阻止加载这个服务（也就是dll）。
说的不对的，请指正！

w99308702

墨池 发表于 2012-5-2 21:07 这个，从咖啡以外的的角度讲，是别的程序向svchost.exe发送消息，让它执行自己的程序，以达到自己办不到的目 ...

收到，膜拜下墨池大神，我还是启用不报告吧，见红就想排哈哈

w99308702

xxygttt 发表于 2012-5-2 21:56 1：svchost.exe是一个中介，应用程序通过它来加载dll，这些dll大都是与系统服务有关的。（你装的这个软件估 ...

我也不懂啊，就当学习了

ayoon

w99308702 发表于 2012-5-3 11:19
收到，膜拜下墨池大神，我还是启用不报告吧，见红就想排哈哈

这样的话。。。貌似很多软件都会不正常。。。如腾讯、迅雷、杀毒软件等等

大猫熊

w99308702 发表于 2012-5-3 11:19
收到，膜拜下墨池大神，我还是启用不报告吧，见红就想排哈哈

建议关闭~~这条规则的防护能力一般~

w99308702

alexyangjie 发表于 2012-5-4 00:10
建议关闭~~这条规则的防护能力一般~

收到，我现在是开启不报告，那我等下关闭算了