运行->msconfig,然后在服务卡项里,会把所有服务列出来.点击"隐藏所有Microsoft服务"剩下就是三方.
===========
系统进程Svchost.exe不会对系统进行破坏。但是它可能运行了三方的服务。你可以到services.msc里面把所有三方services都禁止看看。
你提到过,“svchost.exe因为pid明显大于1300是一万多甚至几十万的pid" 你看到它运行哪些service没?如果有的话,就直接到注册表
=======================================================
Svchost.exe 是从动态链接库 (DLL) 中运行的服务。也就是说它可以运行微软(也就是可信任 )的services(服务) 和非微软的services。所以它有多个实例。 而且process ID(PID)并不是固定的。
如果你只是想判断某个svchost.exe是不是伪装的系统进程。要看它是否加载了service,而不是单纯地对比PID以及参照正常系统里有多少个svchost.exe。
例子 1:
svchost.exe 752 DcomLaunch
Svchost.exe 加载了一个叫 DcomLaunch 的service.那么这个 Svchost.exe 必然是个系统的进程。如果你想知道DcomLaunch是微软service还是未微软,可以去到服务项目去查。开始-〉运行->打入 services.msc 然后查找是否有个DcomLaunch 的服务。
注明:因为 svchost.exe 是以"service name/服务名称" 为标示运行服务的,所以tasklist -svc 只能列出所运行的service name 不是"display name/显示名称".
比如 "DcomLaunch" 是一个service name, 就好比缩写。 它在 服务项目(services.msc)的display name是 DCOM Server Process Launcher。你查看DCOM Server Process Launcher的属性就可以看出它的service name.
例子 2:
svchost.exe 2020 N/A
没有加载任何服务,肯定是伪系统进程。
Windows Support Professional
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ号:24596024