Analiza procesa svchost.exe
- Kategorija: Windows
Više sam se puta pitao zašto sam pokrenuo toliko postupaka svchost.exe prilikom otvaranja upravitelja zadataka koji nije sadržavao nikakve druge podatke osim imena i osnovnih podataka.
Trebao mi je drugi softver koji će mi pomoći analizirati procese svchost.exe i utvrditi jesu li oni zaista potrebni ili čak zlonamjerni.
Prvi korak je bio preuzimanje izvrsnog Istraživač procesa od Sysinternalsa. Ovaj program daje detaljne informacije o svim procesima koji se trenutno izvode u sustavu, uključujući usluge i datoteke koje ovise o njima, kao i put do datoteke u operativnom sustavu.
Svi procesi koji se izvode u sustavu prikazani su u Programu Explorer nakon pokretanja aplikacije. Pritisnite CTRL + L za prikaz okna na dnu koje prikazuje opsežne informacije o odabranom procesu. Pomicanje miša preko postupka prikazuje i podatke, ali ne u dubinu, kao što to čini dno okna.
Pogledajmo brzo što Wikipedija mora reći o svchost.exe
U softveru Svchost.exe generički je naziv glavnog računala za usluge koje pokreću iz biblioteka dinamičnih veza (DLL-ova) unutar modernih verzija operacijskog sustava Microsoft Windows.
Pri pokretanju, Svchost.exe provjerava servisni dio registra kako bi stvorio popis usluga koje mora učitati. Istovremeno može pokrenuti više primjeraka Svchost.exe. Svaka sesija Svchost.exe može sadržavati grupiranje usluga. Stoga se zasebne usluge mogu pokrenuti, ovisno o tome kako i gdje je pokrenut Svchost.exe. Ovo grupiranje usluga omogućuje bolju kontrolu i lakše uklanjanje pogrešaka, ali također stvara poteškoće krajnjim korisnicima koji žele vidjeti upotrebu memorije ili zakonitost dobavljača za pojedine usluge i procese.
Posljednja rečenica u velikoj mjeri objašnjava dilemu pred kojom se mi - korisnici nalazimo. Kako možemo shvatiti je li postupak svchost.exe zakonit i potreban ili je gubitak memorije, moć obrade ili čak zlonamjeran?
Objasnit ću vam kako sa velikom sigurnošću možete saznati treba li postupak ili ne. Natrag na Process Explorer.
Zadržite miša iznad prvog procesa svchost i pogledajte što govori. Na njemu bi trebao biti prikazan put plus usluge koje su pokrenule ovaj svchost proces.
Moja prva usluga bila je HTTP SSL usluga koja se izvodila na mom sustavu. Usluga koja uopće nije potrebna u mom sustavu. Prvo sam pomislio da to ima veze sa mogućnošću otvaranja https web stranica, ali to nije slučaj. Potpuno beskorisno za krajnje korisnike. Otvorio sam services.msc i zaustavio uslugu te je također uključio u onesposobljenu.
Proces svchost nestao je u Process Exploreru. Kako bih testirao da sve i dalje radi otvorio sam https url u Firefoxu koji radi savršeno u redu.
Sljedeći postupak svchost.exe pokrenut je zbog usluge Windows Image Acquisition. Imam kameru koja koristi ovu uslugu, ali rijetko prenosim slike s kamere u moj sustav. Odlučio sam onemogućiti i zaustaviti ovu uslugu i aktivirati je kad god želim prenijeti slike. A tamo je nestao drugi svchost postupak.
Prošao sam sve svchost postupke koristeći se istom metodologijom: pokažite mišem preko njega, upišite dotičnu uslugu u tražilicu, pročitajte je i donesite odluku je li mi stvarno potrebna. Korisnici koji žele biti na sigurnoj strani prekidaju uslugu i testiraju radi li sve i dalje kao i obično. Oni bi alternativno mogli postaviti uslugu na priručnik ako su prvi testovi uspješni, a kasnije onemogućeni.
Dobar je resurs za informacije o uslugama Crna viper ,