問
我的系統進程裡有四個svchost
exe
聽說有些木馬就是偽裝成系統的進程
不知道這個是不是?
答
svchost
exe 存在 %windir%\system
\wins 下
如果懷疑svchost
exe是病毒可以通過以下方法來證實是不是病毒
可以去 wins 目錄找找有無多余
可以搜搜windows文件夾中 svchost
exe 看看有幾個(應為
個)
tlist
s察看
也可以下載一個可以看帶路徑名的進程的浏覽工具
問
svchost
exe是起什麼作用的進程?
答
Svchost
exe文件對那些從動態連接庫中運行的服務來說是一個普通的主機進程名
Svhost
exe文件定位在系統的%systemroot%\system
文件夾下
在啟動的時候
Svchost
exe檢查注冊表中的位置來構建需要加載的服務列表
這就會使多個Svchost
exe在同一時間運行
每個Svchost
exe的回話期間都包含一組服務
以至於單獨的服務必須依靠Svchost
exe怎樣和在那裡啟動
這樣就更加容易控制和查找錯誤
Svchost
exe 組是用下面的注冊表值來識別
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost每個在這個鍵下的值代表一個獨立的Svchost組
並且當你正在看活動的進程時
它顯示作為一個單獨的例子
每個鍵值都是REG_MULTI_SZ類型的值而且包括運行在Svchost組內的服務
每個Svchost組都包含一個或多個從注冊表值中選取的服務名
這個服務的參數值包含了一個ServiceDLL值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
From:http://tw.wingwit.com/Article/os/xtgl/201311/8649.html
