Az svchost.exe folyamatok elemzése
- Kategória: Ablakok
Többször is megkérdeztem magamtól, hogy miért futott oly sok svchost.exe folyamat a feladatkezelő megnyitásakor, amely a név és az alapinformációk mellett nem jelenített meg további információkat.
Szükségem volt egy másik szoftverre, amely segítene elemezni az svchost.exe folyamatokat, és meghatározni, hogy valóban szükségük van-e rájuk, vagy akár rosszindulatúak-e.
Az első lépés a kiváló letöltés volt Process Explorer a Sysinternals-től. Ez a program részletes információkat nyújt a rendszerben jelenleg futó folyamatokról, ideértve az ezektől függő szolgáltatásokat és fájlokat, valamint az operációs rendszeren található fájl elérési útját.
Az alkalmazás indítása után a rendszeren futó összes folyamat megjelenik a Process Explorerben. A CTRL + L billentyűkombinációval egy ablaktáblát jeleníthet meg az alján, amely részletes információkat jelenít meg a kiválasztott folyamatról. Az egér mozgatása a folyamat felett információt jelenít meg, de nem olyan mélyen, mint az alsó ablaktábla.
Vessünk egy pillantást mi Wikipedia mondani kell az svchost.exe-ről
A szoftverben az Svchost.exe egy általános gazdafolyamat-szolgáltatás a Microsoft Windows operációs rendszer modern verzióin belül dinamikus link-könyvtárakból (DLL) futó szolgáltatásokhoz.
Indításkor az Svchost.exe ellenőrzi a beállításjegyzék szolgáltatási részét, hogy összeállítsa a betöltött szolgáltatások listáját. Az Svchost.exe több példánya futhat egyszerre. Minden Svchost.exe munkamenet szolgáltatási csoportokat tartalmazhat. Ezért külön szolgáltatások futtathatók, az Svchost.exe indítási módjától és helyétől függően. Ez a szolgáltatások csoportosítása lehetővé teszi a jobb irányítást és a könnyebb hibakeresést, de némi nehézséget okoz a végfelhasználók számára is, akik szeretnék látni az egyes szolgáltatások és folyamatok memóriahasználatát vagy az eladó legitimitását.
Az utolsó mondat nagyjából megmagyarázza azt a dilemmát, amelyben mi - a felhasználók - belépünk. Hogyan lehet kitalálni, hogy az svchost.exe folyamat legitim és szükséges-e, vagy a memória, a feldolgozási teljesítmény pazarlása vagy akár rosszindulatú?
El fogom magyarázni, hogy miként tudod megbizonyosodni arról, hogy a folyamatra szükség van-e vagy sem. Vissza a Process Explorer-hez.
Vigye az egeret az első svchost folyamat fölé, és nézd meg, mit mond. Meg kell jelenítenie az elérési utat és a svchost folyamatot elindító szolgáltatásokat.
Az első szolgáltatásom a HTTP SSL szolgáltatás volt, amely a rendszeremön futott. Olyan szolgáltatás, amelyre a rendszeremre egyáltalán nincs szükség. Először azt hittem, hogy ennek valami köze van a https-webhelyek megnyitásának képességéhez, de ez nem a helyzet. Teljesen haszontalan a végfelhasználók számára. Megnyitottam a services.msc szolgáltatást, leállítottam a szolgáltatást és le is kapcsoltam.
Az svchost folyamat eltűnt a Process Explorerben. Annak kipróbálására, hogy minden még mindig működik, megnyittam egy https URL-t a Firefoxban, amely tökéletesen működött.
A következő svchost.exe folyamat a Windows Image Acquisition szolgáltatás miatt futott. Van egy kamerám, amely ezt a szolgáltatást használja, de ritkán továbbítom a képeket a fényképezőgépről a rendszeremre. Úgy döntöttem, hogy letiltom és leállítom ezt a szolgáltatást is, és aktiválom, amikor csak képeket szeretnék átvinni. És a puff eltűnt a második svchost-folyamatból.
Az összes svchost folyamaton ugyanazt a módszertant alkalmaztam: Vigyük az egeret rá, írjuk be a szóban forgó szolgáltatást egy keresőmotorba, olvassuk fel rajta, és döntsünk, ha igazán szükségem van rá. Azok a felhasználók, akik biztonságban akarnak lenni, leállítják a szolgáltatást, és tesztelik, hogy minden továbbra is a szokásos módon működik-e. Alternatív megoldásként manuálisan is beállíthatják a szolgáltatást, ha az első tesztek sikeresek, majd később le vannak tiltva.
A szolgáltatásinformációk jó forrása Fekete Viper .