Анализ на процесите svchost.exe

Аз неведнъж се питах защо имах толкова много процеси svchost.exe, когато отварях диспечера на задачите, който не показваше допълнителна информация освен име и основна информация.

Имах нужда от друг софтуер, който да ми помогне да анализирам процесите svchost.exe и да определя дали наистина са необходими или дори злонамерени.



Първата стъпка беше да изтеглите отличното Explorer Explorer от Sysinternals. Тази програма дава подробна информация за всички процеси, които в момента работят в системата, включително услуги и файлове, които зависят от тях, както и пътя към файла в операционната система.

Всички процеси, които се изпълняват в системата, се показват в Process Explorer след стартиране на приложението. Натиснете CTRL + L, за да се покаже прозорец в долната част, който показва обширна информация за избрания процес. При преминаване на мишката върху процеса се показва и информация, но не в дълбочина, както прави долния прозорец.

svchost process

Нека да разгледаме набързо какво Wikipedia трябва да каже за svchost.exe



В софтуера Svchost.exe е общо име на хост процес за услуги, които се изпълняват от библиотеки с динамична връзка (DLL) в рамките на съвременни версии на операционната система Microsoft Windows.

При стартиране Svchost.exe проверява частта от услугите на системния регистър, за да изгради списък от услуги, които трябва да зареди. Няколко екземпляра на Svchost.exe могат да работят едновременно. Всяка сесия Svchost.exe може да съдържа групиране на услуги. Следователно, отделни услуги могат да работят, в зависимост от това как и къде се стартира Svchost.exe. Това групиране на услуги позволява по-добър контрол и по-лесно отстраняване на грешки, но също така създава известни затруднения за крайните потребители, които желаят да видят използването на паметта или легитимността на доставчиците на отделни услуги и процеси.

Последното изречение обяснява до голяма степен дилемата, пред която сме ние - потребителите. Как можем да разберем дали процесът svchost.exe е легален и необходим или е загуба на памет, обработваща мощ или дори злонамерен?

Ще обясня как можете да разберете с голяма сигурност дали процесът е необходим или не. Обратно към Process Explorer.

Задръжте курсора на мишката върху първия svchost процес и погледнете какво казва. Той трябва да показва пътя плюс услугите, стартирали този svchost процес.

Първата ми услуга беше HTTP SSL услугата, която работи на моята система. Услуга, която изобщо не е необходима в системата ми. Първо мислех, че има нещо общо с възможността за отваряне на https уебсайтове, но това не е така. Напълно безполезен за крайните потребители. Отворих services.msc и спрях услугата и я настроих и на деактивирана.

Процесът svchost изчезна в Process Explorer. За да проверя, че всичко още работи, отворих https URL в Firefox, който работи отлично.

Следващият процес svchost.exe стартира поради услугата Windows Image Acquisition. Имам камера, която използва тази услуга, но рядко прехвърлям снимки от камерата в моята система. Реших да деактивирам и да спра тази услуга и да я активирам винаги, когато искам да прехвърля изображения. И издуването там изчезна втория процес на svchost.

Преминах целия процес на svchost, използвайки същата методология: Задръжте курсора на мишката върху нея, въведете въпросната услуга в търсачка, прочетете я и вземете решение, ако наистина имам нужда от нея. Потребителите, които искат да бъдат на сигурна страна, спират услугата и тестват дали всичко продължава да работи както обикновено. Алтернативно те биха могли да зададат ръчната услуга, ако първо тестовете са успешни, а по-късно - деактивирани.

Добър ресурс за информация за услугата е Черен пепелянка,