找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 565|回复: 0

任务管理器最常见的svchost.exe进程详解

[复制链接]
发表于 2017-3-5 09:54:31 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

×
一、svchost.exe是什么?

什么是svchost.exe? 为什么有这么多正在运行的 svchost.exe进程它们占用着大量的内存资源,是不是病毒?
大家对这个进程如此关注并不奇怪,因为有几个一样的进程同时运行这种情况的确少见,
再加上这几年层出不穷、花样翻新的病毒确实也让大家都有些杯弓蛇影、草木皆兵了。


我们知道Windows和Windows的应用软件都要使用大量的DLL(Dynamic Link Libraries,动态链接库)文件,
这些DLL文件一般都要向Windows申请各种各样的Service(服务),而Svchost.exe就是其中一些服务的通用管理进程名(GenericHostProcessName),
简单的说,Svchost.exe是这些服务的总称。每一个Svchost.exe进程以一个Group(组)的方式分组管理各种服务,
每一个Svchost.exe进程(也就是一个Svchost组)中可以同时包含多个服务。WindowsXP中可以有多个Svchost.exe进程同时运行,
之所以这样设计是为了更为方便地分类控制和调试各个进程和服务。
在任务管理器中只能看到Svchost.exe进程而看不到该进程所包含的服务,要想了解每个Svchost.exe进程下到底有什么服务查看方法取决于你的Windows版本

Windows XP
在Windows XP在命令提示符下运行:tasklist /svc
就可以看到每个Svchost.exe进程及其所包含的各种服务(如图),

其中ImageName(映像名)是进程的名称,PID(ProcessID)是进程标识,以数字形式表示,Services(服务)就是进程所包含的各种服务。可惜的是Tasklist只显示各种服务的缩写而不是全称,对于这些缩写一般只有对Windows系统内核十分了解的程序员才能明白其真正意义,它们主要是指网络、域名缓存、远程控制和应用程序接口等服务,当然普通的电脑用户也没必要去过多的了解这些十分专业的名称。如果用户还想进一步了解每个进程调用的DLL文件,可以使用“Tasklist/M”这个命令。使用Tasklist还可查看指定进程的情况,例如想要查看PID为728的进程的情况,可以使用命令       Tasklist /FI "PID eq 728"
Tasklist还有许多命令参数,对它感兴趣的用户可以使用Tasklist/?得到详细的帮助信息。

Windows Vista and Windows 7
Windows Vista 和 Windows 7 中的任务管理器得到了增强,以便您可以很容易看到如 svchost.exe 的主机进程内正在运行的服务。

单击开始按钮输入taskmgr 回车(或右键任务栏-启动任务管理器)。 任务管理器将加载,进程选项卡上单击并单击显示所有用户进程可以查看在svchost.exe 进程的所有进程。 然后,右键单击 svchost.exe 进程,选择转到服务。 您将看到突出显示的所有服务(如图所示)


所有版本的 Windows
Microsoft Sysinternals 有一个很强大的实用程序,Process Explorer, 它可以在所有版本的Windows 上工作,并允许您轻松地查看 svchost.exe 的内部运行的服务。  Process Explorer 下载Download Process Explorer (1.6 MB)。  

二、SVCHOST.EXE病毒辨别
通常情况下svchost.exe不会是病毒的。病毒程序没有办法覆盖系统的svchost.exe。他们一般是采用混淆的方式,让用户产生错觉。一般是把svchost.exe里面的o改成0,注意一个是欧一个是零,改成这样svch0st.exe,让你很难看出来的。
还有一种就是大小写欺骗,木马通常写成SVCHOST.EXE(全大些)或者svchost.EXE(部分大些)等等,而正常的操作系统一般是小写的,所有发现进程里有这些特征的,首先要怀疑是木马,查查毒,分析文件,确认是木马就将其杀掉。
三、SVCHOST.EXE病毒查杀方法

SVCHOST.EXE这个病毒一般有以下几种情况
1、直接是SVCHOST.EXE这个文件但放在其他目录下。清除方法直接查找SVCHOST.EXE这个文件。windowssystem32目录下除外,其他目录下的SVCHOST.EXE全部删除掉。
2、SVCHOST.EXE把里面的O变成0。即SVCH0ST.EXE。知名的网银大盗病毒就是这样。有些不一定便O而是把里面加一个字母或者增加一个字母之类的病毒。比如SVCHAOST.EXE。达到迷惑计算机用户。这种病毒发作力不强。一般就是盗窃用户键盘输入信息并且发送信息到指定的邮箱中去。这种病毒各大流行杀毒软件都能很好的解决。只要把杀毒软件病毒库更新到最新就可以彻底解决这种病毒。
3、SVCHOST.EXE进程CPU使用率100%。出现这种情况一边不是SVCHOST.EXE本身出问题了。而是系统的某个进程大量使用这个进程导致的。比如某个模块大量使用网络资源。举个例子吧比如杀毒软件自动更新程序。这个适合你可以把应用程序一个一个结束调,然后在查看SVCHOST.EXE这个进程CPU使用率还是不是100%就可以判断到底是那个程序出问题了。可以使用上面介绍的Process Explorer是看是否有什么问题。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

返回顶部快速回复上一主题下一主题返回列表找客服手机访问
快速回复 返回顶部 返回列表