进程如何识别亦真亦假的Svchost

svchost.exe是什么进程，是病毒吗？一、svchost.exe是什么svchost.exe是windows操作系统一个非常重要的进程模块。

因此很多病毒都利用svchost.exe来迷惑大家。

但是只要我们仔细观察就会知道是不是病毒。

正常的XP操作系统下有五到六个svchost.exe进程，其中SYSTEM用户名下有3个svchost.exe，NETWORK SERVICE用户名下有2个svchost.exe，LOCAL SERVICE用户名下有1个svchost.exe。

其他系统也是大致如此，他们的用户名都是SYSTEM、NETWORK SERVICE、LOCAL SERVICE这三个，如果不是这三个用户名那么就有可能是病毒了。

而且还有非常重要的一点就是正常的svchost.exe这个程序是在windows\system32这个目录下。

如果其它目录下有svchost.exe那肯定就是病毒了。

进程里面的svchost.exe个数不重要，关键看他是什么用户名而且位置是不是在windows\system32这个目录下。

举个例子：木马很喜欢安装在C:\windows\目录下，因为很具有迷惑性哦，其实它就是木马，将它杀掉。

二、SVCHOST.EXE病毒辨别通常情况下svchost.exe不会是病毒的。

病毒程序没有办法覆盖系统的svchost.exe。

他们一般是采用混淆的方式，让用户产生错觉。

一般是把svchost.exe里面的o改成0，注意一个是欧一个是零，改成这样svch0st.exe，让你很难看出来的。

还有一种就是大小写欺骗，木马通常写成SVCHOST.EXE（全大些）或者svchost.EXE（部分大些）等等，而正常的操作系统一般是小写的，所有发现进程里有这些特征的，首先要怀疑是木马，查查毒，分析文件，确认是木马就将其杀掉。

三、SVCHOST.EXE病毒查杀方法SVCHOST.EXE这个病毒一般有以下几种情况1、直接是SVCHOST.EXE这个文件但放在其他目录下。

Svchost.exe进程介绍Svchost病毒清除方法Svchost.exe在windows进程中占据很大一部分的资源，而且这个进程非常容易被病毒所利用。

Svchost.exe被病毒利用之后，系统常会弹出Svchost.exe错误，当然Svchost病毒也有专杀工具。

那么Svchost.exe是什么进程呢?Svchost病毒又该怎么去清除呢?接下来就让我们一起来了解下吧。

很多朋友对Svchost进程都不太了解，有时在工作管理员中一旦看到有多个该进程，就以为自己的电脑中了病毒或木马，其实并非如此!正常情况下，windows中可以有多个Svchost.exe进程同时运行，例如Windows 2000至少有2个Svchost进程，Windows XP中有4个以上，Windows 2003中则有更多，所以当你看到多个Svchost进程时，未必就是病毒!Svchost.exe是什么?Svchost.exe文件存在于“%system root%system32”(例如C:Windowssystem32)目录下，它是Windows NT核心的重要进程(Windows 9X没有该进程)，专门为系统启动各种服务的。

例如Svchost.exe调用rpcss.dll档，就会启动rpcss服务(remote procedure call).Svchost.exe实际上是一个服务宿主，它本身并不能给使用者提供任何服务，但是可以用来运行动态连结程式库DLL档，从而启动对应的服务。

Svchost.exe进程可以同时启动多个服务。

Svchost.exe是一个系统的核心进程，并不是病毒进程。

但由于Svchost.exe进程的特殊性，所以病毒也会千方百计的入侵Svchost.exe。

通过查看Svchost.exe进程的执行路径可以确认是否中毒如果你怀疑电脑有可能被病毒感染，Svchost.exe的服务出现异常的话通过搜索Svchost.exe档就可以发现异常情况。

全面认识Svchost.exe进程很多朋友对svchost.exe进程都不太了解，有时在任务管理器中一旦看到有多个该进程（图1中有6个），就以为自己的电脑中了病毒或木马，其实并非如此！正常情况下，windows 中可以有多个svchost.exe进程同时运行，例如Windows2000至少有2个Svchost进程，WindowsXP中有4个以上，Windows2003中则有更多，所以当你看到多个svchost进程时，未必就是病毒！svchost.exe进程是干什么的？svchost.exe文件存在于“%systemroot%\system32”（例如C:\Windows\system32）目录下，它是WindowsNT核心的重要进程（Windows9X没有该进程），专门为系统启动各种服务的。

例如Svchost.exe调用rpcss.dll文件，就会启动rpcss 服务（remoteprocedurecall）。

svchost.exe实际上是一个服务宿主，它本身并不能给用户提供任何服务，但是可以用来运行动态链接库DLL文件，从而启动对应的服务。

Svchost.exe进程可以同时启动多个服务。

svchost是如何启动系统服务的？由于系统服务都是以动态链接库(DLL)形式实现的，它们把可执行程序指向svchost，因此svchost只要调用某个动态链接库，即可启动对应的服务。

那么svchost启动某服务时，又是如何知道应该调用哪个动态链接库？这是由于系统服务在注册表中都设置了相关参数，因此svchost通过读取某服务在注册表中的信息，即可知道应该调用哪个动态链接库，从而启动该服务。

下面我们以svchost启动helpsvc(HelpandSupport)服务为例，介绍其启动服务的方法。

在WindowsXP中点击“开始”“运行”，输入“services.msc”命令，弹出服务对话框，然后双击打开“HelpandSupport”服务属性对话框，可以看到helpsvc服务的可执行文件的路径为“C:\WINDOWS\System32\svchost.exe-knetsvcs”（如图2），说明helpsvc服务是依靠SVCHOST调用“netsvcs”参数来实现的，而参数的内容则是存放在系统注册表中的。

系统档案：亦真亦假的Svchost.exe作者：软件DIY 责任编辑：caihao√了解Svchost.exe的功能√判断真假Svchost.exe进程√清除伪装成Svchost.exe的病毒、木马关于“系统蓝色档案”栏目Svchost.exe、lsass.exe、wdfmgr.exe，打开进程列表后你会发现一大堆不知用途的进程，究竟是系统进程还是木马病毒？如果打开系统文件夹，一大堆奇奇怪怪名称的文件，更是会把你弄得晕头转向。

很多朋友因此而始终抱有一种未知的恐惧，认为木马、黑客无处不在，即使是高手，也不能把这些陌生的系统文件说个明明白白。

为消除大家的疑惑，从这期开始为大家带来一档新的连载栏目——系统蓝色档案为大家曝光这些隐秘文件的秘密。

两位主人公，现在就来认识一下。

主人公介绍小菜：刚接触电脑不久的菜鸟，但对电脑知识有着非常浓厚的学习兴趣，常说的一句话是“菜鸟先飞”。

大嘴:乐于助人的老鸟，经常被别人冠以“大嘴高手”称号，不过这并不是指他嘴特别大，而是一谈到电脑知识就滔滔不绝。

一、紧急状况:系统发现严重病毒小菜刚刚学习了进程的概念和知识，于是就打开“任务管理器”观察系统中的进程，这一看不要紧，还真发现了一个“病毒”——Svchost.exe，这家伙在系统进程列表中竟然有5个之多(见图1)，于是小菜就逐个结束这些进程，没想到第二个进程结束后还会再生，而结束第四个进程时更离谱，系统提示“系统即将关机，离关机还有60秒”，进程再生、错误提示，这些典型的病毒“症状”更让小菜相信“Svchost.exe”是病毒无疑，但无法结束进程，又该怎么清除病毒呢？小菜只好请来了大嘴。

图1 数量众多的SVCHOST进程大嘴过来后还没看电脑，就先告诉小菜，系统中的Svchost.exe进程是正常系统进程，不是病毒，不仅仅是你，其他朋友一看到系统中这么多的Svchost.exe进程，第一反应也感觉它是病毒，虽然系统中有多个Svchost.exe进程是正常的，但也不保证都是正常的。

电脑常用系统进程Taskmgr.exe :Explorer.exe:显示桌面等Sogoucloud.exe:搜狗拼音新添加的“云计算”进程，负责输出每次打字时的云计算候选项（在候选栏的第二位）欢的话可以自己关掉。

选项在“设置属性”对话框的“高级”选项卡中(智能输入栏--开启云计算候选)，勾掉云计算即可了QQExternal.exeKSafeSvc.exe(duba)KSafeTray.exe(duba)TXPlaatform.exe(QQ)Kxetray.exe(duba)QQProtect.exe*Spoolsv.exe(打印机)*svchost.exe(5个)*lsass.exe(可能是病毒)*services.exe(终止进程后会重启,安全级别0肯能有木马病毒)*winlogon.exe(可能。

)*csrss.exe(keneng)*smss.exe*conime.exe(conime.exe是输入法编辑器相关程序。

允许用户使用标准键盘就能输入复杂的字符与符号，需要注意它同时可能是一个bfghost1.0远程控制后门程序。

此程序允许攻击者访问你的计算机，窃取密码和个人数据。

建议立即删除此进程。

)*ctfmon.exe(ctfmon.exe是Microsoft Office产品套装的一部分，是有关输入法的一个可执行程序。

它可以选择用户文字输入程序，和微软Office XP语言条。

这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。

另外，ctfmon.exe可能被感染上木马而成为病毒程序。

)Kxescore.exe(duba baomi)System.exe(??)System idle p(?)。

识别真假SVCHOST．EXE
张新奎
【期刊名称】《网管员世界》
【年(卷),期】2008(000)022
【摘要】SVCHOST．EXE虽然是基于NT核心技术的操作系统非常重要的进程。

WindowsXP／2003等操作系统都涉及SVCHOST．EXE进程，但该进程在某些时候却可能成为病毒、木马的“帮凶”。

因此，如何快速准确地识别出SVCHOST．EXE的真假，成为非常关键的一环。

【总页数】1页(P89)
【作者】张新奎
【作者单位】河北石家庄
【正文语种】中文
【中图分类】TP316.7
【相关文献】
1.Windows XP中快速识别真假SVCHOST.EXE [J], 张新奎
2.慧眼辨真假识别真假三菱桶装8X DVD刻录盘 [J],
3.慧眼辨真假--识别真假航嘉冷静王钻石版电源 [J], 托蒂与巴蒂村里人
4.识别真假SVCHOST．EXE [J], 张新奎
5.真假配件识别——用软件识别各类CPU的真假 [J], ;
因版权原因，仅展示原文概要，查看原文内容请购买。

教怎样你识别真假svchost.exe真假ＳＶＣＨＯＳＴ．ＥＸＥ的分析．帮助你识别系统ＳＶＣＨＯＳＴ进程是否被病毒感染：svchost.exe是nt核心系统的非常重要的进程，对於2000、xp来说，不可或缺。

很多病毒、木马也会调用它。

所以，深入了解这个程序，是玩电脑的必修课之一。

大家对windows操作系统一定不陌生，但你是否註意到系统中“svchost.exe”这个文件呢？细心的朋友会发现windows中存在多个“svchost”进程（通过“ctrl+alt+del”键打开任务管理器，这里的“进程”标签中就可看到了），為什么会这样呢？下面就来揭开它神秘的面纱。

发现在基於nt内核的windows操作系统家族中，不同版本的windows系统，存在不同数量的“svchost”进程，用户使用“任务管理器”可查看其进程数目。

一般来说，win2000有两个svchost进程，winxp中则有四个或四个以上的svchost进程（以后看到系统中有多个这种进程，千万别立即判定系统有病毒了哟），而win2003 server中则更多。

这些svchost进程提供很多系统服务，如：rpcss服务（remote procedure call）、dmserver服务（logical disk manager）、dhcp服务（dhcp client）等。

如果要了解每个svchost进程到底提供了多少系统服务，可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看，该命令是win2000 support tools提供的。

在winxp则使用“tasklist /svc”命令。

svchost中可以包含多个服务深入windows系统进程分為独立进程和共享进程两种，“svchost.exe”文件存在於“%sys temroot% system32”目录下，它属於共享进程。

随著windows系统服务不断增多，為了节省系统资源，微软把很多服务做成共享方式，交由 svchost.exe进程来啟动。

svchost.exe病毒解析以及清除方法svchost.exe在windows进程中占据很大一部分的资源，svchost.exe非常容易被病毒所利用。

svchost.exe病毒利用之后，系统常会弹出svchost.exe错误，当然 svchost.exe病毒也有专杀工具。

svchost是什么进程？svchost.exe病毒又该怎么去清楚呢？svchost是什么进程我们知道Windows和Windows 的应用软件都要使用大量的DLL（Dynamic Link Libraries，动态链接库）文件，这些DLL文件一般都要向Windows申请各种各样的Service（服务），而Svchost. exe 就是其中一些服务的通用管理进程名（Generic Host Process Name），简单的说，Svchost.exe是这些服务的总称。

每一个Svchost. exe 进程以一个 Group（组）的方式分组管理各种服务，每一个 Svchost.exe服务。

Windows XP 中可以有多个 Svchost.exe 进程同时运行，之所以这样设计是为了更为方便地分类控制和调试各个进程和服务。

Svchost.exe在Windows XP的系统目录\Windows\System32\ 下，在启动的时候，Svchost.exe根据注册表中的相关信息建立一个服务列表并根据这个列表加载相关的服务。

一般来说，Svchost.exe 总是根据HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Curre ntVersion\Svchost下面的键值分组管理DLL 申请的服务，这里的每一键值对应一个独立的Svchost.exe进程，也就是说这里的键值就是在任务管理器中我们看到的Svchost.exe进程。

当然，由于这里的键值并不是一次性全部加载，而是根据需要才加载，因此这里的键值数要多于在任务管理器中看到的Svchost.exe进程数，而每个Svchost.exe进程所包含的服务名、参数值和DLL则来自HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\ Service这个键值。

判断可疑进程的方法
判断可疑进程的方法主要包括以下几个方面：
1. 检查进程的名称和路径：通过查看进程的名称和路径，可以初步判断进程是否为正常应用程序。

如果只知道进程的名称，可以通过查找该进程对应的完整执行路径，以了解其是否为正常应用程序。

2. 查看进程的属性：通过查看可疑进程的属性，例如名称、大小、创建日期等，来判断是否为正常应用程序或系统文件。

如果不确定，可以使用杀毒软件进行扫描。

3. 检查运行日志：检查操作系统和应用程序的运行日志，以了解可疑进程或文件的活动记录。

这些记录可能包含与安装、修改、启动或停止相关的信息。

4. 使用网络监控工具：使用网络监控工具(例如Wireshark)观察网络流量，并检测任何与可疑进程或文件有关联的网络活动。

5. 分析代码签名：检查代码签名以确定可疑进程或文件是否由受信任实体签名。

这可以帮助识别恶意软件并区分其它相似但无害的应用程序。

6. 执行反病毒扫描：使用反病毒软件执行全面扫描以检测和清除恶意软件。

一些高级反病毒软件还提供行为分析功能，能够帮助用户识别和阻止零日攻击等未知威胁。

7. 使用沙盘环境测试：使用沙盘环境测试可疑进程或文件，以模拟其在真实环境中的行为。

这可以帮助分析人员了解可疑进程或文件是否存在恶意行为，并制定相应的安全策略。

8. 寻求专业人员协助：如果自己无法处理可疑进程或文件，建议寻求专业人员（例如安全工程师）的协助，以确保网络和计算机系统的安全性。

通过以上方法，可以有效地判断可疑进程，并采取相应的措施进行处理，以保障系统的安全性和稳定性。

一般电脑中都有20-33个进程在后台运行着。

有的占用了太多的系统资源，造成机器运行缓慢。

更为不幸的是，一些进程是间谍软件和木马，如此你的隐私和机器的控制权会被黑客所掌控。

不安全风险进程A180ax.exe是注册为TROJ.ISTZONE.H的下载器。

这个进程通常与其它病毒捆绑，用于下载其它病毒到您的计算机上。

a.exeW32.Ahlem.A@mm蠕虫程序，通过电子邮件传播感染到您的计算机上。

actalert.exe一个广告软件程序。

这个进程监视您的浏览习惯，并将相关数据回传到其服务器上用于分析。

这个程序也会弹出广告窗口。

adaware.exe一个快速扩散寄生病毒。

这个程序会不断的复制自身到新的目录当中。

Alchem.exe一个来自的广告程序。

这个进程监视您的浏览习惯，并将相关数据回传到其服务器上用于分析。

这个程序也会弹出广告窗口。

alevir.exe该进程对于存在共享的网络具有非常大的风险。

aqadcup.exeBackdoor.Agent.bg蠕虫。

这个病毒通过发送Email在网络上传播，当您打开病毒发送的附件时，就会被感染，它会在您的机器上建立一个SMTP服务用以发送邮件。

archive.exe该进程会挟持您的Internet Explorer浏览器的设定，并在桌面上建立连接为了它的合作伙伴。

这个程序通常有安装协议，与它们软件进行捆绑。

arr.exe一个拨号器，会访问拨打收费非常高的电话号码，用以访问色情网站。

这个程序在网络上，通过误导用户同意许可来进行安装。

ARUpdate.exe一个来自Adroar的间谍软件。

这个进程监视您的浏览习惯，并将相关数据回传到其服务器上用于分析。

这个程序也会弹出广告窗口。

asm.exe一个广告程序。

这个进程监视您的浏览习惯，并将相关数据回传到其服务器上用于分析。

这个程序也会弹出广告窗口。

av.exeW32/Alphx.worm蠕虫病毒。

这个病毒会更改您的Internet Explorer首页。

教您如何识别非法进程附手工杀毒技巧2007年10月17日星期三 18:46简单地说，进程是程序在计算机上的一次执行活动。

当你运行一个程序，你就启动了一个进程。

进程又分为系统进程和用户进程。

系统进程主要用于完成操作系统的功能，而QQ、Foxmail等应用程序的进程就是用户进程。

进程的重要性体现在可以通过观察它，来判断系统中到底运行了哪些程序，以及判断系统中是否入驻了非法程序。

正确地分析进程能够帮助我们在杀毒软件不起作用时，手动除掉病毒或木马。

瞭望进程如何知道系统中目前有哪些进程？在Windows98/Me/2000/XP/2003中，按下“Ctrl+Alt+Delete”组合键就可以直接查看进程，或打开“Windows 任务管理器”的“进程”选项来查看进程。

通常来说，系统常见的进程有winlogon.exe，services.exe，explorer.exe，svchost.exe等。

要熟悉进程，首先就要熟悉最常见的系统进程，这样当发现其它奇怪的进程名（如HELLO，GETPASSWORD，WINDOWSSERVICE等等）时就方便判断了。

一些常见的进程进程名描述smss.exe Session Managercsrss.exe 子系统服务器进程winlogon.exe 管理用户登录services.exe 包含很多系统服务lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。

svchost.exe Windows 2000/XP 的文件保护系统SPOOLSV.EXE 将文件加载到内存中以便迟后打印。

explorer.exe 资源管理器internat.exe 托盘区的拼音图标mstask.exe 允许程序在指定时间运行.regsvc.exe 允许远程注册表操作。

(系统服务)→remoteregistertftpd.exe 实现 TFTP Internet 标准。

【Csrss】：这是Windows的核心部份之一，全称为Client Server Process。

我们不能结束该进程。

这个只有4K的进程经常消耗3MB到6MB左右的内存，建议不要修改此进程，让它运行好了。

【Ctfmon】：这是安装了WinXP(尤其是安装ofice XP)后，在桌面右下角显示的“语言栏”，如果不希望它出现，可通过下面的步骤取消：双击“控制面板”，“区域和语言设置”，单击“语言”标签，单击“详细信息”按钮，打开“文字服务和输入语言”对话框，单击下面“首选项”的“语言栏”按钮，打开“语言栏设置”对话框，取消“在桌面上显示语言栏”的勾选即可。

不要小看这个细节，它会为你节省1.5MB到4MB的内存。

【dovldr32】：如果你有一个Creative SBLive系列的声卡，就可能击现这个进程，它占用大约2.3MB到2.6MB的内存。

有些奇怪的是，当我从任务栏禁止了这个进程后，通过DVD 实验，并没有发生任何错误。

但如果你将这个文件重新命名了，就会出现windows的文件保护警告窗口，而且Creative Mixer和AudioHQ程序加载出错。

当然你希望节省一些内存，那么可以将它禁止。

【explorer】：这可不是Internet Explorer，explorer.exe总是在后台运行，它控制着标准的用户界面、进程、命令和桌面等，如果打开“任务管理器”，就会看到一个explorer.exe在后台运行。

根据系统的字体、背景图片、活动桌面等情况的不同，通常会消耗5.8MB到36MB 内存不等。

【Ldle】：如果你在“任务管理器”看到它显示99%的占用率，千万不要害怕，实际上这是好事，因为这表示你的计算机目前有99%的性能等待你使用！这是关键进程，不能结束。

该进程只有16KB的大小，循环统计CPU的空闲度。

【IEXPLORE】：这才是IE浏览器。

当我们用它上网冲浪时，它占有7.3MB甚至更多的内存。

如何才能辨别哪些是正常的Svchost.exe进程，而哪些是病毒进程呢？Svchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost”，每个键值表示一个独立的Svchost.exe组。

微软还为我们提供了一种察看系统正在运行在Svchost.exe列表中的服务的方法。

以Windows XP为例：在“运行”中输入：cmd，然后在命令行模式中输入：tasklist /svc。

系统列出服务列表。

如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为：“tlist -s”即可。

如果你怀疑计算机有可能被病毒感染，Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。

一般只会找到一个在：“C:\Windows\System32”目录下的Svchost.exe程序。

如果你在其他目录下发现Svchost.exe程序的话，那很可能就是中毒了。

还有一种确认Svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。

但是由于在Windows系统自带的任务管理器不能察看进程路径，所以要使用第三方的进程察看工具。

方法一：关闭“为菜单和工具提示使用过渡效果”1、点击【开始】－－【控制面板】2、在【控制面板】里面双击【显示】3、在【显示】属性里面点击【外观】标签页4、在【外观】标签页里面点击【效果】5、在【效果】对话框里面，清除“为菜单和工具提示使用过渡效果”前面的复选框接着点击两次【确定】按钮。

方法二：在使用鼠标右键点击文件或目录的时候先使用鼠标左键选择你的目标文件或目录。

然后再使用鼠标右键以磐英EP-4BDAE主板为例，开机按键盘上的“Delete”键进入主板BIOS，在“Frequency/V oltage Control”菜单下有数项子菜单：“CPU FSB/Speed（CPU外频调节）”、“AGP/PCI Clock”（分频及锁定设置）、“Memory Frequency（内存异步设置）”、“CPU Vcore V oltage（CPU内核电压调节）”。

莫把李鬼作李逵悉心分辨svchost进程
邱朱胜;王晓红
【期刊名称】《玩电脑》
【年(卷),期】2004(000)010
【摘要】在9月号的杂志中我们一起了解了病毒的几种伪装方法．其中”进程注入式”伪装法是一种隐蔽性强、危险性高的伪装方法。

本文就来介绍病毒经常伪装的系统进程之一：svchost．教大家辨清李鬼和李逵。

【总页数】2页(P100-101)
【作者】邱朱胜;王晓红
【作者单位】无
【正文语种】中文
【中图分类】TP316
【相关文献】
1.民间组织,辨清李逵还是李鬼 [J], 王纯;
2.李逵还是李鬼?\r\"晓宇火锅\"引发的知识产权纠纷案 [J],
3.岂能让“李鬼误李逵” [J], 姜云霄
4.告别“李逵和李鬼”!瓦楞展时代,UFI为中国国际瓦楞展正名! [J],
5.李鬼和李逵必有一战 [J], 周慧娴
因版权原因，仅展示原文概要，查看原文内容请购买。