Analysere svchost.exe-prosessene

Jeg spurte meg mer enn en gang hvorfor jeg hadde så mange svchost.exe-prosesser som kjørte da jeg åpnet oppgavebehandleren som ikke viste ytterligere informasjon foruten navn og grunnleggende informasjon.

Jeg trengte en annen programvare som ville hjelpe meg med å analysere svchost.exe-prosessene og finne ut om de virkelig var nødvendige eller til og med ondsinnede.



Det første trinnet var å laste ned det utmerkede Prosess Explorer fra Sysinternals. Dette programmet gir detaljert informasjon om alle prosesser som for tiden kjører på systemet, inkludert tjenester og filer som er avhengig av dem, samt banen til filen på operativsystemet.

Alle prosesser som kjører på systemet vises i Process Explorer etter å ha startet applikasjonen. Trykk CTRL + L for å vise en rute nederst som viser omfattende informasjon om den valgte prosessen. Når du beveger musen over prosessen, vises også informasjon, men ikke i dybden, slik den nederste ruten gjør.

svchost process

La oss ta en rask titt på hva Wikipedia har å si om svchost.exe



I programvaren er Svchost.exe et generisk vertsprosessnavn for tjenester som kjører fra dynamiske linkbiblioteker (DLLs) innen moderne versjoner av Microsoft Windows-operativsystemet.

Ved oppstart sjekker Svchost.exe tjenestedelen av registeret for å konstruere en liste over tjenester som det må lastes inn. Flere forekomster av Svchost.exe kan kjøres samtidig. Hver Svchost.exe-økt kan inneholde en gruppering av tjenester. Derfor kan separate tjenester kjøres, avhengig av hvordan og hvor Svchost.exe startes. Denne gruppering av tjenester tillater bedre kontroll og enklere feilsøking, men det medfører også noen vanskeligheter for sluttbrukere som ønsker å se minnebruken eller leverandørens legitimitet for individuelle tjenester og prosesser.

Den siste setningen forklarer ganske mye dilemmaet vi - brukerne - er i. Hvordan kan vi finne ut om en svchost.exe-prosess er legitim og nødvendig eller sløsing med minne, prosessorkraft eller til og med ondsinnet?

Jeg skal forklare hvordan du kan finne ut av det med god sikkerhet om prosessen er nødvendig eller ikke. Tilbake til Process Explorer.

Hold musen over den første svchost-prosessen og se på hva den sier. Den skal vise banen pluss tjenestene som startet denne svchost-prosessen.

Min første tjeneste var HTTP SSL-tjenesten som kjørte på systemet mitt. En tjeneste som ikke er nødvendig i det hele tatt på systemet mitt. Jeg trodde først det hadde noe å gjøre med muligheten til å åpne https nettsteder, men dette er ikke tilfelle. Helt ubrukelig for sluttbrukere. Jeg åpnet services.msc og stoppet tjenesten og satte den også til deaktivert.

Svchost-prosessen forsvant i Process Explorer. For å teste at alt fortsatt fungerte, åpnet jeg en https-url i Firefox som fungerte helt greit.

Den neste svchost.exe-prosessen kjørte på grunn av Windows Image Acquisition-tjenesten. Jeg har et kamera som bruker denne tjenesten, men jeg overfører sjelden bilder fra kameraet til systemet mitt. Jeg bestemte meg for å deaktivere og stoppe denne tjenesten også og aktivere den når jeg vil overføre bilder. Og puff der forsvant den andre svchost-prosessen.

Jeg gikk gjennom all svchost-prosess ved å bruke den samme metodikken: Hold musen over den, skriv inn den aktuelle tjenesten i en søkemotor, lest opp den og ta en beslutning om jeg virkelig trengte den. Brukere som ønsker å være på den sikre siden, stopper tjenesten og tester om alt fremdeles fungerer som vanlig. De kan alternativt stille tjenesten til manuell hvis de første testene er vellykkede og deretter senere deaktivert.

En god ressurs for serviceinformasjon er Svart Viper.