Analyse der Prozesse svchost.exe
- Kategorie: Windows
Ich habe mich mehr als einmal gefragt, warum beim Öffnen des Task-Managers so viele svchost.exe-Prozesse ausgeführt wurden, bei denen außer Name und Basisinformationen keine zusätzlichen Informationen angezeigt wurden.
Ich brauchte eine andere Software, mit der ich die Prozesse von svchost.exe analysieren und feststellen konnte, ob sie wirklich benötigt oder sogar bösartig waren.
Der erste Schritt war das Herunterladen der ausgezeichneten Process Explorer von Sysinternals. Dieses Programm enthält detaillierte Informationen zu allen Prozessen, die derzeit auf dem System ausgeführt werden, einschließlich der davon abhängigen Dienste und Dateien sowie den Pfad zur Datei auf dem Betriebssystem.
Alle Prozesse, die auf dem System ausgeführt werden, werden nach dem Starten der Anwendung im Prozess-Explorer angezeigt. Drücken Sie STRG + L, um unten einen Bereich anzuzeigen, in dem ausführliche Informationen zum ausgewählten Prozess angezeigt werden. Wenn Sie die Maus über den Vorgang bewegen, werden ebenfalls Informationen angezeigt, jedoch nicht wie im unteren Bereich.
Werfen wir einen kurzen Blick auf was Wikipedia muss über svchost.exe sagen
In der Software ist Svchost.exe ein generischer Hostprozessname für Dienste, die aus DLLs (Dynamic Link Libraries) in modernen Versionen des Microsoft Windows-Betriebssystems ausgeführt werden.
Beim Start überprüft Svchost.exe den Diensteteil der Registrierung, um eine Liste der Dienste zu erstellen, die geladen werden müssen. Es können mehrere Instanzen von Svchost.exe gleichzeitig ausgeführt werden. Jede Svchost.exe-Sitzung kann eine Gruppierung von Diensten enthalten. Daher können separate Dienste ausgeführt werden, je nachdem, wie und wo Svchost.exe gestartet wird. Diese Gruppierung von Diensten ermöglicht eine bessere Kontrolle und ein einfacheres Debuggen, verursacht jedoch auch Schwierigkeiten für Endbenutzer, die die Speichernutzung oder die Legitimität der Anbieter einzelner Dienste und Prozesse sehen möchten.
Der letzte Satz erklärt so ziemlich das Dilemma, in dem wir - die Benutzer - sind. Wie können wir herausfinden, ob ein svchost.exe-Prozess legitim und notwendig ist oder eine Verschwendung von Speicher, Rechenleistung oder sogar böswillig?
Ich werde erklären, wie Sie mit guter Sicherheit herausfinden können, ob der Prozess benötigt wird oder nicht. Zurück zum Prozess-Explorer.
Bewegen Sie die Maus über den ersten Svchost-Vorgang und sehen Sie sich an, was darin steht. Es sollte den Pfad sowie die Dienste anzeigen, die diesen svchost-Prozess gestartet haben.
Mein erster Dienst war der HTTP-SSL-Dienst, der auf meinem System ausgeführt wurde. Ein Dienst, der auf meinem System überhaupt nicht benötigt wird. Ich dachte zuerst, es hätte etwas mit der Möglichkeit zu tun, https-Websites zu öffnen, aber das ist nicht der Fall. Völlig nutzlos für Endbenutzer. Ich habe services.msc geöffnet, den Dienst gestoppt und ebenfalls deaktiviert.
Der Prozess svchost ist im Prozess-Explorer verschwunden. Um zu testen, ob alles noch funktioniert, habe ich in Firefox eine https-URL geöffnet, die einwandfrei funktioniert.
Der nächste svchost.exe-Prozess wurde aufgrund des Windows Image Acquisition-Dienstes ausgeführt. Ich habe eine Kamera, die diesen Dienst nutzt, aber ich übertrage selten Bilder von der Kamera auf mein System. Ich habe beschlossen, diesen Dienst ebenfalls zu deaktivieren und zu beenden und ihn zu aktivieren, wann immer ich Bilder übertragen möchte. Und Puff dort verschwand der zweite Svchost-Prozess.
Ich habe alle svchost-Prozesse mit derselben Methode durchlaufen: Bewegen Sie die Maus darüber, geben Sie den betreffenden Dienst in eine Suchmaschine ein, lesen Sie ihn durch und treffen Sie eine Entscheidung, ob ich ihn wirklich benötige. Benutzer, die auf der sicheren Seite sein möchten, beenden den Dienst und testen, ob noch alles wie gewohnt funktioniert. Sie können den Dienst alternativ auf manuell einstellen, wenn die ersten Tests erfolgreich sind, und später auf deaktiviert.
Eine gute Quelle für Serviceinformationen ist Schwarze Viper .