标题: 进程中为何有6个svchost.exe?
[打印本页]
作者: htysm
时间: 2006-6-29 08:26
标题: 进程中为何有6个svchost.exe?
如图:请高手解释一下是什么原因,不会是病毒吧?
附件
1: 
pross.JPG (2006-6-29 08:26, 53.8 KiB, 下载附件所需积分 1点
,下载次数: 2)
作者: 雨露
时间: 2006-6-29 09:40
好像没问题!
在微软知识库314056中对Svchost.exe有如下描述:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
其实Svchost.exe是Windows XP系统的一个核心进程。Svchost.exe不单单只出现在Windows XP中,在使用NT内核的Windows系统中都会有Svchost.exe的存在。一般在Windows 2000中Svchost.exe进程的数目为2个,而在Windows XP中Svchost.exe进程的数目就上升到了4个及4个以上。所以看到系统的进程列表中有几个Svchost.exe不用那么担心。
Svchost.exe到底是做什么用的呢?
首先我们要了解一点那就是Windows系统的中的进程分为:独立进程和共享进程这两种。由于Windows系统中的服务越来越多,为了节约有限的系统资源微软把很多的系统服务做成了共享模式。那Svchost.exe在这中间是担任怎样一个角色呢?
Svchost.exe的工作就是作为这些服务的宿主,即由Svchost.exe来启动这些服务。Svchost.exe只是负责为这些服务提供启动的条件,其自身并不能实现任何服务的功能,也不能为用户提供任何服务。Svchost.exe通过为这些系统服务调用动态链接库(DLL)的方式来启动系统服务。
如果没有运行很多程序,而Svchost.exe进程却很多,而且占用CPU特别多,就值得怀疑了!
作者: htysm
时间: 2006-6-29 10:12
re:afnspy
感谢!已给你加+6分.
作者: cccfish
时间: 2006-7-27 17:33
学习了!
作者: 3742668
时间: 2006-8-1 14:48
XP系统,运行cmd,输入wmic,然后输入process,得到各个svchost.exe的参数,路径等等信息,通过这些信息判断是否为系统文件就知道了。同样的,这个方法也可以用来判断其他进程,不过无法判断是否插入dll。
作者: electronixtar
时间: 2006-8-1 15:05
输入
netstat -nba
(不是篮球NBA哦)
可以看看是否svchost打开了陌生端口,如果有陌生端口很可能是dll木马!
作者: 3742668
时间: 2006-8-1 22:13
Originally posted by electronixtar at 2006-8-1 15:05:
输入
netstat -nba
(不是篮球NBA哦)
可以看看是否svchost打开了陌生端口,如果有陌生端口很可能是dll木马!
不陌生的端口也可能被非法程序利用,更详细的内容应该运行:
netstat /a /b /n /o /v
由于它的参数格式比较宽松,可以简写为:
netstat /abnov
或者
netstat -abnov
更多的用法可以参考netstat /?或者 帮助与支持
不过用netstat大多数时候并不能看出什么结果,所以更多的时候是去判断它所调用的dll:
tasklist /m /fi "imagename eq svchost.exe"
配合上wmic来判断schost.exe或者该进程中插入的dll是否可疑,刚开始的时候可能会觉得很麻烦,不过如果如果对系统有一定的了解的话应该会轻松不少。
作者: kingchain
时间: 2006-10-15 22:25
学习ING
作者: pengfei
时间: 2006-10-16 01:53
判断该进程是否为合法进程, 最主要就是查看该进程的程序路径了, 如果svcchost.exe存在于%windir%\system32目录下就完全正常, 若发现在其他目录, 那么很可能是木马病毒.
建议用冰刃等工具查一下进程, 不但可以看到进程的路径, 还可以查找是否有线程插入. 木马病毒伪装成系统进程名很普遍, 一定要小心...
作者: lh82102849
时间: 2006-10-21 06:53
学习了
谢谢分享
作者: electronixtar
时间: 2006-10-21 06:56
作者: wl00560
时间: 2006-10-21 09:35
这个要看路径的,楼主还是查一下这些进程的路径吧