|
使用过Windows /XP/Server的用户都清楚系统存在中有~ 个svchost进程但是到了Windows Vista 系统时svchost 进程多达个这些svchostexe都是同一个文件路径下C \Windows\System\svchostexe 它们又有什么区别呢?今天Vista 地带告诉你我们打开Vista 任务管理器可以看到每个svchost进程的用户名都不一样有的是SYSTEM而有的是NETWORK SERVICE 如图 所示 图 我们可以通过Vista任务管理器新的命令行行功能来查看每个进程peb启动cmdline就知道真正对应的是什么组了如果让Vista任务管理器显示命令行可以参考Vista地带 Vista任务管理器的新功能你知道吗 一文它们是imgsvc NetworkServiceNetworkRestricted LocalServiceNoNetwork NetworkService LocalService netsvcs LocalSystemNetworkRestricted LocalServiceNetworkRestricted services rpcss WerSvcGroup DcomLaunch服务组如图所示 图 C:\Windows\System\svchostexe k imgsvc C:\Windows\System\svchostexe k NetworkServiceNetworkRestricted C:\Windows\System\svchostexe k LocalServiceNoNetwork C:\Windows\System\svchostexe k NetworkService C:\Windows\System\svchostexe k LocalService C:\Windows\System\svchostexe k netsvcs C:\Windows\System\svchostexe k LocalSystemNetworkRestricted C:\Windows\System\svchostexe k LocalServiceNetworkRestricted C:\Windows\System\svchostexe k services C:\Windows\System\svchostexe k rpcss C:\Windows\System\svchostexe k WerSvcGroup C:\Windows\System\svchostexe k DcomLaunch 如何辨别是否为真的svchost进程以及svchost进程中的dll加载项是否存在存在异常服务(svchost进程用来加载Windows NT服务组)下面我们拿一个正常Vista进程来分析 首先我们借助Vista地带软件团队原创软件Vista杀毒伴侣来检测从 进程管理列表中我们可以看到选中命令行为svchostexe k SDRSVC服务组这里均为安全的svchost进程通过Vista杀毒伴侣的安全标签中可以看到查看图 图 那么什么样的svchost进程为病毒呢? 在Vista杀毒伴侣中安全标签为【UN】代表未知安全同时我们还可以观察svchost进程命令行并不是以服务组形式启动同时对应Dll模块路径的安全标签为【UN】基本我们可以判断为病毒查看图 图 |
