C:\Windows\System32\svchost.exe -k imgsvc
C:\Windows\System32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\System32\svchost.exe -k NetworkService
C:\Windows\System32\svchost.exe -k LocalService
C:\Windows\System32\svchost.exe -k netsvcs
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k services
C:\Windows\System32\svchost.exe -k rpcss
C:\Windows\System32\svchost.exe -k WerSvcGroup
C:\Windows\System32\svchost.exe -k DcomLaunch
如何辨别是否为真的svchost进程以及svchost进程中的dll加载项是否存在存在异常服务。(svchost进程用来加载Windows NT服务组)。下面我们拿一个正常Vista进程来分析。
首先我们借助Vista地带软件团队原创软件-Vista杀毒伴侣1.0来检测.从 “进程管理”列表中我们可以看到“选中命令行”为svchost.exe -k SDRSVC服务组,这里均为安全的svchost进程,通过Vista杀毒伴侣的“安全”标签中可以看到。
那么什么样的svchost进程为病毒呢? 在Vista杀毒伴侣中“安全”标签为【UN】代表未知安全。同时我们还可以观察svchost进程命令行并不是以服务组形式启动,同时对应Dll模块路径的“安全”标签为【UN】,基本我们可以判断为病毒,查看图3:
图3
责任编辑:虫虫
您现在的位置: 