揭秘Vista进程中12个svchost.exe (2) C:\Windows\System32\svchost.exe -k LocalService C:\Windows\System32\svchost.exe -k netsvcs C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted C:\Windows\System32\svchost.exe -k services C:\Windows\System32\svchost.exe -k rpcss C:\Windows\System32\svchost.exe -k WerSvcGroup C:\Windows\System32\svchost.exe -k DcomLaunch
如何辨别是否为真的svchost进程以及svchost进程中的dll加载项是否存在存在异常服务。(svchost进程用来加载Windows NT服务组)。下面我们拿一个正常Vista进程来分析。
首先我们借助Vista地带软件团队原创软件-Vista杀毒伴侣1.0来检测.从 “进程管理”列表中我们可以看到“选中命令行”为svchost.exe -k SDRSVC服务组,这里均为安全的svchost进程,通过Vista杀毒伴侣的“安全”标签中可以看到。查看图3:
图3 那么什么样的svchost进程为病毒呢? 在Vista杀毒伴侣中“安全”标签为【UN】代表未知安全。同时我们还可以观察svchost进程命令行并不是以服务组形式启动,同时对应Dll模块路径的“安全”标签为【UN】,基本我们可以判断为病毒,查看图4:
