Analýza procesov svchost.exe
- Kategórie: Windows
Viac ako raz som sa pýtal, prečo som mal spustených toľko procesov svchost.exe pri otváraní správcu úloh, ktorý okrem názvu a základných informácií nezobrazoval žiadne ďalšie informácie.
Potreboval som ďalší softvér, ktorý by mi pomohol analyzovať procesy svchost.exe a zistiť, či boli skutočne potrebné alebo dokonca škodlivé.
Prvým krokom bolo stiahnutie vynikajúcich Prieskumník procesov od Sysinternals. Tento program poskytuje podrobné informácie o všetkých procesoch, ktoré sú aktuálne spustené v systéme, vrátane služieb a súborov, ktoré od nich závisia, ako aj cestu k súboru v operačnom systéme.
Všetky procesy, ktoré sú spustené v systéme, sa po spustení aplikácie zobrazia v Prieskumníkovi procesov. Stlačením klávesov CTRL + L sa v dolnej časti zobrazí tabla, ktorá zobrazuje rozsiahle informácie o vybranom procese. Pohybom myši nad procesom sa zobrazia aj informácie, ale nie do hĺbky, ako to robí spodná tabla.
Poďme sa rýchlo pozrieť na čo Wikipedia má povedať o svchost.exe
V softvéri Svchost.exe je všeobecný názov hostiteľského procesu pre služby, ktoré fungujú z dynamických knižníc (DLL) v moderných verziách operačného systému Microsoft Windows.
Pri štarte program Svchost.exe skontroluje časť databázy služieb, aby zostavil zoznam služieb, ktoré musí načítať. Súčasne je možné spustiť viacero inštancií programu Svchost.exe. Každá relácia Svchost.exe môže obsahovať zoskupenie služieb. Preto je možné spustiť samostatné služby v závislosti od toho, ako a kde sa spustí program Svchost.exe. Toto zoskupenie služieb umožňuje lepšiu kontrolu a ľahšie ladenie, ale tiež spôsobuje určité ťažkosti pre koncových používateľov, ktorí chcú vidieť využitie pamäte alebo legitímnosť jednotlivých služieb a procesov zo strany dodávateľa.
Posledná veta do značnej miery vysvetľuje dilemu, v ktorom sa nachádzame my - používatelia. Ako môžeme zistiť, či je proces svchost.exe legitímny a potrebný alebo či je to strata pamäte, kapacity spracovania alebo dokonca škodlivý obsah?
Vysvetlím, ako môžete s istotou zistiť, či je tento proces potrebný alebo nie. Späť na Prieskumník procesov.
Umiestnite kurzor myši na prvý proces svchost a pozrite sa, čo sa hovorí. Mal by zobrazovať cestu plus služby, ktoré začali tento proces svchost.
Mojou prvou službou bola služba HTTP SSL, ktorá bola spustená v mojom systéme. Služba, ktorá v mojom systéme vôbec nie je potrebná. Najprv som si myslel, že to má niečo spoločné so schopnosťou otvárať webové stránky https, ale nie je tomu tak. Úplne k ničomu pre koncových používateľov. Otvoril som services.msc a zastavil službu a tiež ju vypol.
Proces svchost zmizol v Process Explorer. Aby som otestoval, že všetko stále funguje, otvoril som v prehliadači Firefox https URL, ktorý fungoval úplne dobre.
Nasledujúci proces svchost.exe prebiehal z dôvodu služby Windows Image Acquisition. Mám kameru, ktorá používa túto službu, ale zriedka prenášam obrázky z fotoaparátu do môjho systému. Túto službu som sa rozhodol vypnúť a zastaviť a aktivovať ju vždy, keď chcem preniesť obrázky. A nadýchnutie tam zmizlo druhý svchost proces.
Prešiel som celým procesom svchost pomocou rovnakej metodológie: Umiestnite kurzor myši naň, zadajte príslušnú službu do vyhľadávacieho nástroja, prečítajte si ju a urobte rozhodnutie, či to skutočne potrebujem. Používatelia, ktorí chcú byť na bezpečnej strane, zastavia službu a otestujú, či všetko stále funguje ako obvykle. Ak boli prvé testy úspešné a potom neskôr deaktivované, mohli by službu nastaviť na manuálnu.
Dobrým zdrojom informácií o službách je Čierna zmija ,