Phân tích các quy trình svchost.exe
- Thể LoạI: Các Cửa Sổ
Tôi đã hơn một lần tự hỏi mình tại sao tôi có quá nhiều quy trình svchost.exe đang chạy khi mở trình quản lý tác vụ mà không hiển thị thêm thông tin nào ngoài tên và thông tin cơ bản.
Tôi cần một phần mềm khác có thể giúp tôi phân tích các quy trình svchost.exe và xác định xem chúng có thực sự cần thiết hay thậm chí là độc hại hay không.
Bước đầu tiên là tải xuống Trình khám phá quy trình từ Sysinternals. Chương trình này cung cấp thông tin chi tiết về tất cả các tiến trình hiện đang chạy trên hệ thống bao gồm các dịch vụ và tệp phụ thuộc vào chúng cũng như đường dẫn đến tệp trên hệ điều hành.
Tất cả các tiến trình đang chạy trên hệ thống được hiển thị trong Process Explorer sau khi khởi động ứng dụng. Nhấn CTRL + L để hiển thị một ngăn ở dưới cùng hiển thị thông tin mở rộng về quy trình đã chọn. Di chuyển chuột qua quy trình cũng hiển thị thông tin nhưng không sâu như ngăn dưới cùng.
Chúng ta hãy xem nhanh những gì Wikipedia phải nói về svchost.exe
Trong phần mềm, Svchost.exe là tên quy trình máy chủ lưu trữ chung cho các dịch vụ chạy từ thư viện liên kết động (DLL) trong các phiên bản hiện đại của hệ điều hành Microsoft Windows.
Khi khởi động, Svchost.exe kiểm tra phần dịch vụ của sổ đăng ký để tạo danh sách các dịch vụ mà nó phải tải. Nhiều phiên bản của Svchost.exe có thể chạy cùng một lúc. Mỗi phiên Svchost.exe có thể chứa một nhóm các dịch vụ. Do đó, các dịch vụ riêng biệt có thể chạy, tùy thuộc vào cách thức và vị trí khởi động Svchost.exe. Nhóm dịch vụ này cho phép kiểm soát tốt hơn và gỡ lỗi dễ dàng hơn, nhưng nó cũng gây ra một số khó khăn cho người dùng cuối muốn xem việc sử dụng bộ nhớ hoặc tính hợp pháp của nhà cung cấp của các dịch vụ và quy trình riêng lẻ.
Câu cuối cùng giải thích khá nhiều tình thế tiến thoái lưỡng nan mà chúng ta - những người dùng - đang gặp phải. Làm thế nào chúng ta có thể tìm ra liệu một quy trình svchost.exe là hợp pháp và cần thiết hay lãng phí bộ nhớ, sức mạnh xử lý hoặc thậm chí độc hại?
Tôi sẽ giải thích cách bạn có thể tìm ra một cách chắc chắn nếu quá trình này có cần thiết hay không. Quay lại Process Explorer.
Di chuột qua quy trình svchost đầu tiên và xem nó đang nói gì. Nó sẽ hiển thị đường dẫn cộng với các dịch vụ đã bắt đầu quá trình svchost này.
Dịch vụ đầu tiên của tôi là dịch vụ HTTP SSL đang chạy trên hệ thống của tôi. Một dịch vụ hoàn toàn không cần thiết trên hệ thống của tôi. Đầu tiên tôi nghĩ rằng nó có liên quan gì đó đến khả năng mở trang web https nhưng không phải vậy. Hoàn toàn vô dụng đối với người dùng cuối. Tôi đã mở services.msc và dừng dịch vụ cũng như đặt nó thành tắt.
Quá trình svchost đã biến mất trong Process Explorer. Để kiểm tra xem mọi thứ vẫn hoạt động, tôi đã mở một url https trong Firefox, nó hoạt động hoàn toàn tốt.
Quá trình svchost.exe tiếp theo đang chạy do dịch vụ Windows Image Acquisition. Tôi có một máy ảnh đang sử dụng dịch vụ này nhưng tôi hiếm khi chuyển ảnh từ máy ảnh sang hệ thống của mình. Tôi quyết định tắt và dừng dịch vụ này cũng như kích hoạt nó bất cứ khi nào tôi muốn chuyển hình ảnh. Và quá trình svchost thứ hai đã biến mất.
Tôi đã trải qua tất cả quy trình svchost bằng cùng một phương pháp: Di chuột qua nó, nhập dịch vụ được đề cập vào công cụ tìm kiếm, đọc nó và đưa ra quyết định nếu tôi thực sự cần nó. Người dùng muốn an toàn thì hãy dừng dịch vụ và kiểm tra xem mọi thứ vẫn hoạt động như bình thường. Theo cách khác, họ có thể đặt dịch vụ thành thủ công nếu các thử nghiệm đầu tiên thành công và sau đó là vô hiệu hóa.
Một nguồn tốt cho thông tin dịch vụ là Viper đen .