揭秘Vista进程中12个svchost.exe

    使用过Windows 2000/XP/Server2003的用户都清楚系统存在中有2~4 个svchost进程。但是到了Windows Vista 系统时svchost 进程多达12个。这些svchost.exe都是同一个文件路径下C ：\Windows\System32\svchost.exe ，它们又有什么区别呢？今天Vista 地带告诉你。我们打开Vista 任务管理器可以看到每个svchost进程的用户名都不一样，有的是SYSTEM而有的是NETWORK SERVICE ，如图1 所示：

图1

    我们可以通过Vista任务管理器新的“命令行”行功能来查看每个进程peb启动cmdline就知道真正对应的是什么组了。如果让Vista任务管理器显示“命令行”可以参考Vista地带 Vista任务管理器的新功能你知道吗一文。它们是imgsvc NetworkServiceNetworkRestricted LocalServiceNoNetwork NetworkService LocalService netsvcs LocalSystemNetworkRestricted LocalServiceNetworkRestricted services rpcss WerSvcGroup DcomLaunch服务组，如图2所示

svchost.exe

图2

    C:\Windows\System32\svchost.exe -k imgsvc
    C:\Windows\System32\svchost.exe -k NetworkServiceNetworkRestricted
    C:\Windows\System32\svchost.exe -k LocalServiceNoNetwork
    C:\Windows\System32\svchost.exe -k NetworkService
    C:\Windows\System32\svchost.exe -k LocalService
    C:\Windows\System32\svchost.exe -k netsvcs
    C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
    C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
    C:\Windows\System32\svchost.exe -k services
    C:\Windows\System32\svchost.exe -k rpcss
    C:\Windows\System32\svchost.exe -k WerSvcGroup
    C:\Windows\System32\svchost.exe -k DcomLaunch

[1] [2] 下一页

如何辨别是否为真的svchost进程以及svchost进程中的dll加载项是否存在存在异常服务。（svchost进程用来加载Windows NT服务组）。下面我们拿一个正常Vista进程来分析。

    首先我们借助Vista地带软件团队原创软件-Vista杀毒伴侣1.0来检测.从 “进程管理”列表中我们可以看到“选中命令行”为svchost.exe -k SDRSVC服务组，这里均为安全的svchost进程，通过Vista杀毒伴侣的“安全”标签中可以看到。查看图3：

                                                                                          图3

    那么什么样的svchost进程为病毒呢? 在Vista杀毒伴侣中“安全”标签为【UN】代表未知安全。同时我们还可以观察svchost进程命令行并不是以服务组形式启动，同时对应Dll模块路径的“安全”标签为【UN】，基本我们可以判断为病毒，查看图4：

[1] [2] 下一页