檢查系統是否有不明 svchost.exe 程序正在執行 – Svchost Process Analyzer

binbinges

转自 http://blog.joaoko.net/archives/1246



在 Windows XP 或是 Windows Vista 作業系統裡打開工作管理員，只要稍微仔細看一下就會發現有好幾個名稱為 svchost.exe 處理程序正在執行。有關這個系統重要的處理程序，在之前發表的這一篇文章有提到，但是這邊再稍微說一下。
Svchost.exe是 Windows 作業系統一個重要的系統程序，正確的 svchost.exe 存在路徑是C:\Windows\System32；每當作業系統啟動的時候它就會去執行位在 C:\Windows\System32 的服務檔案(這些檔案都是 DLL 檔)。我們看到的這些 svchost.exe 其實每一個都同時執行一個以上的服務。
有的惡意程式會以相同的檔案名稱命名，或者是讓系統正牌的 svchost.exe 去執行。藉此增加查緝的困難度。Svchost Process Analyzer這個免安裝的小程式可以檢查系統所有正在執行的 svchost.exe，並且告訴我們每一個 svchost.exe 程序正在執行哪一些 DLL檔案 (服務)，如果有不明的 svchost.exe 或是不明的服務正在執行的話它會以一個特別的小圖示告訴我們。
Svchost Process Analyzer 其實跟之前介紹過的 Svchost Viewer 很類似，都是分析 svchost.exe 的程式，但是前者介面和顯示方式更為清楚明瞭，而且還會主動通知我們是否有來歷不明的程式正在執行。
Svchost Process Analyzer 基本資料：

• 軟體首頁：http://www.neuber.com/free/svchost-analyzer/index.html
• 介面語言：英文
• 檔案大小：369.3 KB (免安裝執行檔)
• 下載連結：請按我

使用方法及介面擷圖：
1. 程式一執行後就會馬上開始分析所有正在作業中的 svchost.exe 程序，接著按下【Details】鈕進入詳細訊息介面。

2. 在這個操作介面裡，上面的區域會顯示每一個正在執行的 svchost.exe 程序，以及它們的 PID、檔案路徑等資訊。下面的區域則是顯示被 svchost.exe 執行的服務、服務名稱和檔案名稱和它的路徑。
如果是正常的服務則該服務名稱前面會顯示一個綠色的打勾圖示。如果是不明的服務則會顯示一個紅色驚嘆號，我們就可以用它提供給我們的資訊上網查詢是否為惡意程式。

yy258

不错，支持楼主，

人间幽魂

下载了，玩玩。呵呵

rayviso

svchost 主要是支持后台服务运行。在2000以上的系统中可以在cmd命令中输入tasklist  /svc命令进行svchost.exe命令的查看。

aa8110806

用CMD命令就可以了  一般系统最多有5个svchost.exe 而且正常的svchost.exe有服务

如果看见没有服务的svchost.exe就可能是恶意进程了

huangyang

选择好的进程管理器就可以看到了。

wolf64

原帖由 aa8110806 于 2009-6-26 17:13 发表
用CMD命令就可以了  一般系统最多有5个svchost.exe 而且正常的svchost.exe有服务

如果看见没有服务的svchost.exe就可能是恶意进程了

是吗？我的机子有6个svchost.exe.不过都有服务。

ngh55

这个能用，Svchost Viewer 不知怎么回事我无法用，初始化程序失败。

Svchost Process Analyzer 并不太准

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs  键    原本



能够识别服务



加上字串
SecureType                    0x00000001        
把  Type                0x00000020(32)         改成     Type                  0x00000010(16)   
成为


Svchost       network    就会 拒绝访问   它就不能识别有没有服务，报此进程为非微软文件。



其实只有一个   windows\system32\svcohost.exe ，因为禁止了此进程访问就不能识别了。

[ 本帖最后由 ngh55 于 2009-6-28 18:41 编辑 ]

Alexander

搬个凳子学习学习，谢谢！

Asher-V

原帖由 wolf64 于 2009-6-26 20:58 发表


是吗？我的机子有6个svchost.exe.不过都有服务。

YES,我的机子有时也有6个，也都有服务。