熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows系統管理 >> 正文

揭秘Vista進程中12個svchost.exe

2022-06-13   來源: Windows系統管理 

  使用過Windows /XP/Server的用戶都清楚系統存在中有~ 個svchost進程但是到了Windows Vista 系統時svchost 進程多達這些svchostexe都是同一個文件路徑下C \Windows\System\svchostexe 它們又有什麼區別呢?今天Vista 地帶告訴你我們打開Vista 任務管理器可以看到每個svchost進程的用戶名都不一樣有的是SYSTEM而有的是NETWORK SERVICE 如圖 所示
    
   

  

  圖

    我們可以通過Vista任務管理器新的命令行行功能來查看每個進程peb啟動cmdline就知道真正對應的是什麼組了如果讓Vista任務管理器顯示命令行可以參考Vista地帶 Vista任務管理器的新功能你知道嗎 一文它們是imgsvc NetworkServiceNetworkRestricted LocalServiceNoNetwork NetworkService LocalService netsvcs LocalSystemNetworkRestricted LocalServiceNetworkRestricted services rpcss WerSvcGroup DcomLaunch服務組如圖所示
    
   

  svchost.exe

  圖

  C:\Windows\System\svchostexe k imgsvc
    C:\Windows\System\svchostexe k NetworkServiceNetworkRestricted
    C:\Windows\System\svchostexe k LocalServiceNoNetwork
    C:\Windows\System\svchostexe k NetworkService
    C:\Windows\System\svchostexe k LocalService
    C:\Windows\System\svchostexe k netsvcs
    C:\Windows\System\svchostexe k LocalSystemNetworkRestricted
    C:\Windows\System\svchostexe k LocalServiceNetworkRestricted
    C:\Windows\System\svchostexe k services
    C:\Windows\System\svchostexe k rpcss
    C:\Windows\System\svchostexe k WerSvcGroup
    C:\Windows\System\svchostexe k DcomLaunch

  如何辨別是否為真的svchost進程以及svchost進程中的dll加載項是否存在存在異常服務(svchost進程用來加載Windows NT服務組)下面我們拿一個正常Vista進程來分析

  首先我們借助Vista地帶軟件團隊原創軟件Vista殺毒伴侶來檢測進程管理列表中我們可以看到選中命令行為svchostexe k SDRSVC服務組這裡均為安全的svchost進程通過Vista殺毒伴侶的安全標簽中可以看到查看圖
    
   

  圖
    
    那麼什麼樣的svchost進程為病毒呢? 在Vista殺毒伴侶中安全標簽為【UN】代表未知安全同時我們還可以觀察svchost進程命令行並不是以服務組形式啟動同時對應Dll模塊路徑的安全標簽為【UN】基本我們可以判斷為病毒查看圖
   

  圖


From:http://tw.wingwit.com/Article/os/xtgl/201311/8939.html
    推薦文章
    Copyright © 2005-2022 電腦知識網 Computer Knowledge   All rights reserved.