關於工作管理員中的 svchost.exe

[jemshon]

有人說正常應該是只有4個...但小弟問了周遭蠻多朋友的
有人事4個 有人是5個 ,所以很不解
請問到底應該是幾個才正常,會是木馬作的怪嗎?

 

[最愛濱崎步]

Originally posted by jemshon@Feb 2 2005, 05:31 PM

有人說正常應該是只有4個...但小弟問了周遭蠻多朋友的
有人事4個 有人是5個 ,所以很不解
請問到底應該是幾個才正常,會是木馬作的怪嗎?

我有6個 我也不知道那是啥 :PPP:

 

[ctxultra]

到 Win 裡服務的地方仔細看一下你有開的服務就瞭解了 :lol:

另外的確是有木馬會偽裝成 svchost.exe,
像是最近正熱的盜天堂密碼木馬程式 :O||:

 

[風微微]

svchost.exe
(1.)微軟定義：Svchost.exe是從動態鏈接庫(DLL)中運行的服務的通用主機進程名稱
(2.)檔案位置：“%SystemRoot%System32”資料夾中
(3.)弁鄑@用：當系統啟動時，Svchost將檢查註冊表中的服務部分，以構建需要加載的服務清單。Svchost的多個實例可以同時運行。每個Svchost會話可以包含一組服務，以便根據Svchost的啟動方式和位置的不同運行不同的服務，這樣可以更好地進行控制且更加便於調試
(4.)不同版本的Windows系統，存在不同數量的Svchost程式。一般來說，Windows 2000有兩個Svchost程式，而Windows XP則有四個或四個以上的Svchost程式(以上皆是言在工作管理員內出現)
(5.)特性：Svchost隻是作為服務的宿主，本身並不實現什麼弁遄C如果需要使用Svchost來啟動某個DLL形式實現的服務，該DLL的載體Loader指向Svchost，在啟動服務的時候由Svchost調用該服務的DLL來實現啟動的目的。使用Svchost啟動某個服務的DLL文件是由註冊表中的參數來決定的

Svchost類似運輸調配站，主要是負責資訊調配，此項作用，使病毒可趁之機，再此加料，總讓人以為是病毒程式

正常來說會有5個。

 

[troublebear]

好險 ...我只有五個 :MMM:

 

[hum2100]

我六個阿 :SSS:

 

[d1438a]

我只有4個捏 :|||:
會不會出事阿 :co: :PPP:

 

[skillzero]

我也只有4個... :ph34r:

 

[k7tp]

我有4個 :OPP: os xp1 ;ya;

 

[Jeremy Wei]

Originally posted by ctxultra@Feb 2 2005, 07:23 PM
到 Win 裡服務的地方仔細看一下你有開的服務就瞭解了 :lol:

另外的確是有木馬會偽裝成 svchost.exe,
像是最近正熱的盜天堂密碼木馬程式 :O||:

有些木馬是採用與系統服務程式名稱相似的檔案，以達魚目混珠之效
之前幫老闆的電腦掃木馬時，看到記憶體裡一堆「乍看之下」很像是系統服務的東東
e.g.,
"scvhost.exe"(←正牌的是"svchost.exe")
"lsasss.exe"(←正牌的是"lsass.exe")

除此之外，如果在工作管理員中看到某些不知名的程式，莫名其妙地在連上網路之後就吃掉所有的CPU資源的話，那十之八九應該是木馬程式