注册
 找回密码
 注册
江西广告网
查看: 832|回复: 1
打印 上一主题 下一主题

揭秘Vista进程中12个svchost.exe

[复制链接]

该用户从未签到

1
跳转到指定楼层
发表于 2008-12-17 13:34:09 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
使用过Windows 2000/XP/Server2003的用户都清楚系统存在中有2"4 个svchost进程。但是到了Windows Vista 系统时svchost 进程多达12个。这些svchost.exe都是同一个文件路径下C :\Windows\System32\svchost.exe ,它们又有什么区别呢?今天Vista 地带告诉你。我们打开Vista 任务管理器可以看到每个svchost进程的用户名都不一样,有的是SYSTEM而有的是NETWORK SERVICE ,如图1 所示: 图1 我们可以通过Vista任务管理器新的“命令行”行功能来查看每个进程peb启动cmdline就知道真正对应的是什么组了。如果让Vista任务管理器显示“命令行”可以参考Vista地带 Vista任务管理器的新功能你知道吗 一文。它们是imgsvc NetworkServiceNetworkRestricted LocalServiceNoNetwork NetworkService LocalService netsvcs LocalSystemNetworkRestricted LocalServiceNetworkRestricted services rpcss WerSvcGroup DcomLaunch服务组,如图2所示 图2 C:\Windows\System32\svchost.exe -k imgsvc C:\Windows\System32\svchost.exe -k NetworkServiceNetworkRestricted C:\Windows\System32\svchost.exe -k LocalServiceNoNetwork C:\Windows\System32\svchost.exe -k NetworkService C:\Windows\System32\svchost.exe -k LocalService C:\Windows\System32\svchost.exe -k netsvcs C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted C:\Windows\System32\svchost.exe -k services C:\Windows\System32\svchost.exe -k rpcss C:\Windows\System32\svchost.exe -k WerSvcGroup C:\Windows\System32\svchost.exe -k DcomLaunch [1] [2] 下一页 < 如何辨别是否为真的svchost进程以及svchost进程中的dll加载项是否存在存在异常服务。(svchost进程用来加载Windows NT服务组)。下面我们拿一个正常Vista进程来分析。 首先我们借助Vista地带软件团队原创软件-Vista杀毒伴侣1.0来检测.从 “进程管理”列表中我们可以看到“选中命令行”为svchost.exe -k SDRSVC服务组,这里均为安全的svchost进程,通过Vista杀毒伴侣的“安全”标签中可以看到。查看图3: 图3 那么什么样的svchost进程为病毒呢? 在Vista杀毒伴侣中“安全”标签为【UN】代表未知安全。同时我们还可以观察svchost进程命令行并不是以服务组形式启动,同时对应Dll模块路径的“安全”标签为【UN】,基本我们可以判断为病毒,查看图4: 图4 上一页 [1] [2] <
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表