檢查系統是否有不明 svchost.exe 程序正在執行 – Svchost Process Analyzer

在 Windows XP 或是 Windows Vista 作業系統裡打開工作管理員,只要稍微仔細看一下就會發現有好幾個名稱為 svchost.exe 處理程序正在執行。有關這個系統重要的處理程序,在之前發表的這一篇文章有提到,但是這邊再稍微說一下。

Svchost.exe 是 Windows 作業系統一個重要的系統程序,正確的 svchost.exe 存在路徑是 C:\Windows\System32;每當作業系統啟動的時候它就會去執行位在 C:\Windows\System32 的服務檔案 (這些檔案都是 DLL 檔)。我們看到的這些 svchost.exe 其實每一個都同時執行一個以上的服務。

有的惡意程式會以相同的檔案名稱命名,或者是讓系統正牌的 svchost.exe 去執行。藉此增加查緝的困難度。Svchost Process Analyzer 這個免安裝的小程式可以檢查系統所有正在執行的 svchost.exe,並且告訴我們每一個 svchost.exe 程序正在執行哪一些 DLL 檔案 (服務),如果有不明的 svchost.exe 或是不明的服務正在執行的話它會以一個特別的小圖示告訴我們。

Svchost Process Analyzer 其實跟之前介紹過的 Svchost Viewer 很類似,都是分析 svchost.exe 的程式,但是前者介面和顯示方式更為清楚明瞭,而且還會主動通知我們是否有來歷不明的程式正在執行。

Svchost Process Analyzer 基本資料:

使用方法及介面擷圖:

1. 程式一執行後就會馬上開始分析所有正在作業中的 svchost.exe 程序,接著按下【Details】鈕進入詳細訊息介面。

SvchostProcessAnalyzer.01

2. 在這個操作介面裡,上面的區域會顯示每一個正在執行的 svchost.exe 程序,以及它們的 PID、檔案路徑等資訊。下面的區域則是顯示被 svchost.exe 執行的服務、服務名稱和檔案名稱和它的路徑。

如果是正常的服務則該服務名稱前面會顯示一個綠色的打勾圖示。如果是不明的服務則會顯示一個紅色驚嘆號,我們就可以用它提供給我們的資訊上網查詢是否為惡意程式。

SvchostProcessAnalyzer.02

5 thoughts on “檢查系統是否有不明 svchost.exe 程序正在執行 – Svchost Process Analyzer

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *