檢查系統是否有不明 svchost.exe 程序正在執行 – Svchost Process Analyzer

在 Windows XP 或是 Windows Vista 作業系統裡打開工作管理員,只要稍微仔細看一下就會發現有好幾個名稱為 svchost.exe 處理程序正在執行。有關這個系統重要的處理程序,在之前發表的這一篇文章有提到,但是這邊再稍微說一下。

Svchost.exe 是 Windows 作業系統一個重要的系統程序,正確的 svchost.exe 存在路徑是 C:\Windows\System32;每當作業系統啟動的時候它就會去執行位在 C:\Windows\System32 的服務檔案 (這些檔案都是 DLL 檔)。我們看到的這些 svchost.exe 其實每一個都同時執行一個以上的服務。

有的惡意程式會以相同的檔案名稱命名,或者是讓系統正牌的 svchost.exe 去執行。藉此增加查緝的困難度。Svchost Process Analyzer 這個免安裝的小程式可以檢查系統所有正在執行的 svchost.exe,並且告訴我們每一個 svchost.exe 程序正在執行哪一些 DLL 檔案 (服務),如果有不明的 svchost.exe 或是不明的服務正在執行的話它會以一個特別的小圖示告訴我們。

Svchost Process Analyzer 其實跟之前介紹過的 Svchost Viewer 很類似,都是分析 svchost.exe 的程式,但是前者介面和顯示方式更為清楚明瞭,而且還會主動通知我們是否有來歷不明的程式正在執行。

Svchost Process Analyzer 基本資料:

使用方法及介面擷圖:

1. 程式一執行後就會馬上開始分析所有正在作業中的 svchost.exe 程序,接著按下【Details】鈕進入詳細訊息介面。

SvchostProcessAnalyzer.01

2. 在這個操作介面裡,上面的區域會顯示每一個正在執行的 svchost.exe 程序,以及它們的 PID、檔案路徑等資訊。下面的區域則是顯示被 svchost.exe 執行的服務、服務名稱和檔案名稱和它的路徑。

如果是正常的服務則該服務名稱前面會顯示一個綠色的打勾圖示。如果是不明的服務則會顯示一個紅色驚嘆號,我們就可以用它提供給我們的資訊上網查詢是否為惡意程式。

SvchostProcessAnalyzer.02

對一堆正在執行的 svchost.exe 好奇嗎?Svchost Viewer 可以給你答案

當我們打開「Windows 工作管理員」並且檢視所有在系統上執行的處理程序時,會發現裡面有好幾個名為 svchost.exe 的處理程序正在執行。不知情的人還可能以為電腦是不是中了什麼毒,不然怎麼同時會有這麼多個執行中的 svchost.exe,進而擅自以暴力的方式強迫結束 svchost.exe 的處理程序,然後便出現系統當機的情形…

其實 svchost.exe 是微軟作業系統裡一個重要的執行檔,根據 Windows 工作管理員裡的描述,它的中文名稱是「Windows Services 的主機程序」。實際上 Windows 裡面絕大部份的服務都必須依靠它才能啟動。不過也因為它佔了 Windows 作業系統裡極重要的角色,所以曾經真的有病毒利用它來進行系統的破壞。

關於 svchost.exe 更多的介紹可以閱讀這篇文章:工作管理員中有很多SVCHOST.EXE在執行,作用是什麼?

今天要介紹的一個小軟體叫做 Svchost Viewer,它會列出所有正在系統中執行的 svchost.exe,並且顯示這些處理程序的相關細節,像是:有哪一些服務正在這個 svchost.exe 上面執行、服務名稱、服務的描述以及 svchost.exe 它本身的 PID (處理程序 ID),讓我們可以清楚地知道這些正在執行中的 svchost.exe 倒底是些什麼東西。

當 svchost.exe 出現異常的使用狀況時,例如突然佔用大量的記憶體或是使 CPU 資源,我們就可以利用 Windows 工作管理員來找出這個使用異常的 svchost.exe 的 PID,然後再打開 Svchost Viewer 找出這個 PID 的 svchost.exe 有沒有什麼外來的、可疑的程式正在使用它,然後以此判斷電腦是不是有被病毒入侵。

Svchost Viewer 基本資料:

  • 軟體首頁:http://www.codeplex.com/svchostviewer
  • 目前版本:0.3.0.0
  • 軟體性質:免費軟體 (開放 C# 源始碼)
  • 介面語言:英文
  • 檔案大小:壓縮檔 13.9 KB,解壓後 48.5 KB
  • 軟體下載:請點我
  • 注意事項:Svchost Viewer 不須安裝,解壓之後即可直接執行,但是系統必須裝有 .NET Framework 2.0 或以上版本。

Svchost Viewer 介面擷圖:

SvchostViewer.Main