7 sposobów łatwej identyfikacji nazwy usługi SVCHOST.EXE

2017-07-31 01:41:03
Główny·Windows·7 sposobów łatwej identyfikacji nazwy usługi SVCHOST.EXE

Poza zwykłym używaniem Menedżera zadań Windows do kończenia zawieszonego zadania lub procesu, bardzo przydatne jest również szybkie sprawdzenie aktywnych programów na komputerze. Być może zauważyłeś, że na karcie procesów znajduje się całkiem sporo plików svchost.exe i prawdopodobnie zastanawiasz się, co to jest i dlaczego jest ich tak wiele? Zasadniczo SVCHOST jest używany przez system Windows do uruchamiania wielu usług Windows, a powodem, dla którego usługi Windows używają svchost.exe do uruchomienia jest to, że znajdują się one w plikach DLL, a nie w niezależnym pliku wykonywalnym (.EXE). Jeśli nie wiesz, Usługi Windows to jedna z metod uruchamiania w systemie Windows, w której można automatycznie uruchomić w tle, nawet nie wymagając od użytkownika zalogowania się na swoje konto w systemie Windows, w przeciwieństwie do innych metod uruchamiania, w których programy będą uruchamiane tylko wtedy, gdy użytkownik jest zalogowany do systemu Windows.

Zwykle użytkownicy ignorowaliby plik svchost.exe wymieniony w Menedżerze zadań systemu Windows i szukali tylko podejrzanych nazw obrazów. W tym przypadku niektóre złośliwe oprogramowanie wykorzystuje nazwę pliku jako svchost.exe, mając nadzieję, że nie zauważysz jego obecności. Jednym z łatwych sposobów na wykrycie podejrzanego svchost.exe jest sprawdzenie nazwy użytkownika używanej do uruchomienia svchost.exe. Jeśli svchost jest uruchamiany przez SYSTEM, NETWORK SERVICE lub LOCAL SERVICE, powinien być uzasadniony, ale jeśli jest uruchamiany na Twoim koncie użytkownika, musisz sprawdzić, czy plik svchost.exe znajduje się w innym miejscu niż C: \ Windows \ System32 \. Jeśli chcesz zidentyfikować usługi uruchamiane za svchost.exe, oto 7 sposobów na zrobienie tego. 1. Menedżer zadań Windows

Począwszy od systemu Windows Vista, Microsoft ułatwił to, ponieważ Menedżer zadań może wyświetlać nazwę usługi związaną z procesem svchost.exe. Aby uruchomić Menedżera zadań systemu Windows, kliknij prawym przyciskiem myszy pasek zadań i wybierz „Uruchom Menedżera zadań”. Możesz też nacisnąć jednocześnie Ctrl + Shift + Esc. Następnie wszystko, co musisz zrobić, to kliknąć prawym przyciskiem myszy proces svchost.exe i wybrać „ Idź do usług ”, gdzie automatycznie przejdziesz do karty Usługi i podświetloną nazwę usługi.

Możesz uruchomić lub zatrzymać usługę, klikając prawym przyciskiem myszy nazwę usługi. Problem polega na tym, że niektóre wirusy wyłączają Menedżera zadań systemu Windows poprzez zmianę wartości rejestru i ważne jest, aby znać inne metody identyfikacji nazwy usługi svchost.exe.


2. Wiersz polecenia

Inną metodą ujawnienia usługi powiązanej z svchost.exe jest użycie tasklist.exe z wiersza polecenia. W wierszu polecenia wpisz poniższe polecenie, naciśnij klawisz Enter, a nazwa usługi zostanie wyświetlona po prawej stronie wyjścia listy zadań.

tasklist / svc / fi "IMAGENAME eq svchost.exe"

Istnieją pewne ograniczenia w korzystaniu z narzędzia wiersza polecenia tasklist.exe, ponieważ jest to tylko nazwa usługi tajemniczej, a nie nazwa wyświetlana lub opis. Podobnie jak Menedżer zadań, również wiersz polecenia może zostać wyłączony przez złośliwe oprogramowanie, dlatego czasem dobrze jest mieć narzędzia innych firm.


3. Process Explorer

Process Explorer jest dziadkiem wszystkich menedżerów zadań. Jak dotąd wydaje się być najbardziej wszechstronnym narzędziem do kontrolowania i przeglądania informacji związanych z svchost.exe. Wystarczy dwukrotnie kliknąć svchost.exe w Process Explorer i kliknąć kartę Usługi.

Najpierw zobaczysz wszystkie usługi zarejestrowane w przeglądanym procesie, a następnie wyświetli nazwę usługi, nazwę wyświetlaną i ścieżkę do załadowanego pliku DLL. Możesz także skonfigurować uprawnienia do usługi, a także zatrzymać, ponownie uruchomić, wstrzymać i wznowić usługę.

Pobierz Process Explorer


4. Process Hacker

Process Hacker to kolejny popularny darmowy i potężny menedżer zadań open source, który jest w stanie wyświetlać i kontrolować usługi z procesu svchosts.exe. Podobnie jak Process Explorer, kliknij dwukrotnie proces svchost.exe i przejdź do karty Usługi. Lista powiązanych usług jest pokazana i możesz ją zatrzymać lub wstrzymać. Dwukrotne kliknięcie usługi spowoduje wyświetlenie bardziej zaawansowanego okna właściwości w celu skonfigurowania uprawnień, typu uruchamiania, kontroli błędów i wielu innych.

Dostępne są wersje instalacyjne i przenośne, w tym wersje 32-bitowe i 64-bitowe.

Pobierz Process Hacker


5. Analizator procesów Svchost

Svchost Process Analyzer to darmowy i przenośny program, który analizuje svchost.exe i pokazuje usługi powiązane z procesem. Kliknięcie dowolnego identyfikatora w górnym oknie spowoduje wyświetlenie usług na dole wraz z plikiem DLL i statusem. Opis usługi zostanie automatycznie odświeżony i wyświetlony na górnym pasku programu. To narzędzie może wyświetlać tylko informacje, ale brak opcji sterowania.

Pobierz Svchost Process Analyzer


6. Svchost Viewer

Svchost Viewer to kolejne bezpłatne narzędzie typu open source hostowane w CodePlex, które zapewnia podstawowe informacje, takie jak nazwa usługi i opis. Istnieją również dwa pola wyboru pokazujące, czy usługa może zostać wstrzymana lub zatrzymana. Jeśli można go zatrzymać, kliknij pasek menu Service Control i wybierz „Stop Selected Service”. Ciekawą informacją pokazaną w Svchost Viewer jest ilość zapisanych i odczytanych danych.

Pobierz Svchost Viewer


7. Usługi w Svchost

Usługi w Svchost to bardzo prosty program, który po prostu pokazuje usługi w svchosts.exe. Nie ma opisu, kontroli ani informacji o pliku DLL. Jedyną unikalną funkcją tego narzędzia jest możliwość przeglądania usług na komputerach zdalnych poprzez wprowadzenie nazwy komputera lub adresu IP.

Istnieją wymagania, jeśli chcesz uzyskać usługi na komputerze zdalnym. Po pierwsze wymaga konta użytkownika, które ma ustawione hasło (puste hasło nie jest dozwolone), a usługa Rejestru zdalnego musi zostać uruchomiona ręcznie. Upewnij się, że Zapora systemu Windows nie blokuje połączenia. Po spełnieniu wszystkich tych 3 wymagań należy ręcznie uwierzytelnić się na komputerze zdalnym, uzyskując dostęp do folderów współdzielonych. Po uwierzytelnieniu wpisz nazwę komputera i kliknij przycisk Uzyskaj usługi.

Pobierz Usługi w Svchost

Wybór Redakcji