Analitzant els processos svchost.exe

M’he preguntat més d’una vegada per què tenia tants processos svchost.exe en funcionament en obrir el gestor de tasques que no mostrava informació addicional a més del nom i la informació bàsica.

Necessitava un altre programari que m’ajudés a analitzar els processos svchost.exe i determinar si realment eren necessaris o fins i tot malintencionats.

El primer pas va ser descarregar l’excel·lent Explorador de processos de Sysinternals. Aquest programa proporciona informació detallada sobre tots els processos que s’executen actualment al sistema, inclosos els serveis i fitxers que en depenen, així com la ruta del fitxer del sistema operatiu.

Tots els processos que s’executen al sistema es mostren a l’explorador de processos després d’iniciar l’aplicació. Premeu CTRL + L per mostrar un panell a la part inferior que mostri informació àmplia sobre el procés seleccionat. Si mous el ratolí sobre el procés també es mostra la informació, però no en profunditat, com fa el panell inferior.

svchost process

Anem a fer una ullada ràpida a què passa Viquipèdia té a dir sobre svchost.exe

Al programari Svchost.exe és un nom de procés genèric genèric per a serveis que s’executen des de biblioteques d’enllaços dinàmics (DLL) dins de les versions modernes del sistema operatiu Microsoft Windows.

En iniciar, Svchost.exe comprova la part dels serveis del registre per construir una llista de serveis que ha de carregar. Es poden executar múltiples instàncies de Svchost.exe al mateix temps. Cada sessió de Svchost.exe pot contenir una agrupació de serveis. Per tant, es poden executar serveis separats, segons com i on s'iniciï Svchost.exe. Aquesta agrupació de serveis permet un millor control i depuració més fàcil, però també causa certa dificultat per als usuaris finals que desitgin veure l'ús de la memòria o la legitimitat del venedor de serveis i processos individuals.

L’última frase explica pràcticament el dilema que nosaltres (els usuaris) tenim. Com podem esbrinar si un procés svchost.exe és legítim i necessari o una pèrdua de memòria, poder de processament o fins i tot malintencionat?

Us explicaré com es pot trobar amb bona certesa si el procés és necessari o no. Torna a l'explorador de processos.

Passeu el ratolí sobre el primer procés de svchost i feu una ullada a què diu. Hauria de mostrar la ruta més els serveis que han iniciat aquest procés de svchost.

El meu primer servei va ser el servei HTTP SSL que funcionava al meu sistema. Un servei que no és necessari del tot al meu sistema. Primer cop vaig pensar que tenia alguna cosa a veure amb la capacitat d’obrir llocs web https, però aquest no és el cas. Completament inútil per als usuaris finals. Vaig obrir services.msc i vaig aturar el servei i el vaig configurar a desactivat.

El procés svchost va desaparèixer a l'Explorador de processos. Per provar que tot funcionava, vaig obrir una URL https a Firefox que funcionava perfectament.

El següent procés svchost.exe es va executar a causa del servei de Windows Image Acquisition. Tinc una càmera que utilitza aquest servei, però rarament transfereixo imatges de la càmera al meu sistema. Vaig decidir desactivar i aturar aquest servei també i activar-lo quan vulgui transferir imatges. I el buf va desaparèixer el segon procés de svchost.

Vaig passar tot el procés de svchost mitjançant la mateixa metodologia: passeu el ratolí sobre ell, escriviu el servei en qüestió en un motor de cerca, llegiu-lo i prengueu una decisió si realment el necessitava. Els usuaris que vulguin estar al costat segur aturen el servei i posen a prova si tot funciona encara com de costum. De manera alternativa, podrien configurar el servei com a manual si primer es tenen èxit les proves i després les deshabiliten.

Un bon recurs per obtenir informació sobre serveis Escurçó negre .