問:我的系統進程裡有四個svchost.exe,聽說有些木馬就是偽裝成系統的進程,不知道這個是不是?
答:svchost.exe 存在 %windir%\system32\wins 下。
如果懷疑svchost.exe是病毒可以通過以下方法來證實是不是病毒:1.可以去 wins 目錄找找有無多余,2.可以搜搜windows文件夾中 svchost.exe 看看有幾個(應為1個),3.tlist -s察看,4.也可以下載一個可以看帶路徑名的進程的浏覽工具。
問:svchost.exe是起什麼作用的進程?
答:Svchost.exe文件對那些從動態連接庫中運行的服務來說是一個普通的主機進程名。Svhost.exe文件定位在系統的%systemroot%\system32文件夾下。在啟動的時候,Svchost.exe檢查注冊表中的位置來構建需要加載的服務列表。這就會使多個Svchost.exe在同一時間運行。每個Svchost.exe的回話期間都包含一組服務,以至於單獨的服務必須依靠Svchost.exe怎樣和在那裡啟動。這樣就更加容易控制和查找錯誤。
Svchost.exe 組是用下面的注冊表值來識別。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost每個在這個鍵下的值代表一個獨立的Svchost組,並且當你正在看活動的進程時,它顯示作為一個單獨的例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括運行在Svchost組內的服務。每個Svchost組都包含一個或多個從注冊表值中選取的服務名,這個服務的參數值包含了一個ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service