許多的木馬、間諜、廣告、病毒等相關程式,都會利用 svchost.exe 程式名稱來偽裝成正常程式。我們可以利用 tasklist 來檢查。
在 XP 環境下執行 cmd 進入到命令列視窗,然後執行下列指令:
C:\>tasklist /svc /fi "imagename eq svchost.exe"
Image Name PID Services
========================= ====== =============================================
svchost.exe 1424 DcomLaunch, TermService
svchost.exe 1512 RpcSs
svchost.exe 1636 AudioSrv, Browser, CryptSvc, Dhcp, dmserver,
ERSvc, EventSystem, lanmanserver,
lanmanworkstation, Netman, Nla, RasMan,
Schedule, seclogon, SENS, SharedAccess,
ShellHWDetection, srservice, TapiSrv,
Themes, TrkWks, W32Time, winmgmt, wuauserv,
WZCSVC
svchost.exe 1788 Dnscache
svchost.exe 1884 LmHosts, RemoteRegistry, SSDPSRV, WebClient
svchost.exe 892 stisvc
可以很清楚的看到 有哪些服務 跟SVCHOST有關
沒有留言:
張貼留言