Analyse van de svchost.exe-processen
- Categorie: Ramen
Ik heb mezelf meer dan eens afgevraagd waarom ik zoveel svchost.exe-processen had lopen bij het openen van de taakbeheerder die geen aanvullende informatie weergaf naast de naam en basisinformatie.
Ik had andere software nodig die me zou helpen de svchost.exe-processen te analyseren en te bepalen of ze echt nodig of zelfs kwaadaardig waren.
De eerste stap was om het uitstekende Procesverkenner van Sysinternals. Dit programma geeft gedetailleerde informatie over alle processen die momenteel op het systeem worden uitgevoerd, inclusief services en bestanden die daarvan afhankelijk zijn, evenals het pad naar het bestand op het besturingssysteem.
Alle processen die op het systeem draaien, worden weergegeven in Process Explorer na het starten van de applicatie. Druk op CTRL + L om onderaan een paneel weer te geven met uitgebreide informatie over het geselecteerde proces. Als u de muis over het proces beweegt, wordt ook informatie weergegeven, maar niet in de diepte zoals het onderste paneel doet.
Laten we even kijken wat Wikipedia heeft te zeggen over svchost.exe
In software is Svchost.exe een generieke hostprocesnaam voor services die worden uitgevoerd vanuit Dynamic-Link Libraries (DLL's) binnen moderne versies van het Microsoft Windows-besturingssysteem.
Bij het opstarten controleert Svchost.exe het servicesgedeelte van het register om een lijst samen te stellen met services die het moet laden. Meerdere exemplaren van Svchost.exe kunnen tegelijkertijd worden uitgevoerd. Elke Svchost.exe-sessie kan een groep services bevatten. Daarom kunnen afzonderlijke services worden uitgevoerd, afhankelijk van hoe en waar Svchost.exe wordt gestart. Deze groepering van services maakt een betere controle en eenvoudiger foutopsporing mogelijk, maar veroorzaakt ook enige problemen voor eindgebruikers die het geheugengebruik of de legitimiteit van de leverancier van individuele services en processen willen zien.
De laatste zin verklaart zo ongeveer het dilemma waar wij - de gebruikers - in zitten. Hoe kunnen we erachter komen of een svchost.exe-proces legitiem en nodig is of een verspilling van geheugen, verwerkingskracht of zelfs kwaadaardig?
Ik ga uitleggen hoe je er met een goede zekerheid achter kunt komen of het proces nodig is of niet. Terug naar Process Explorer.
Beweeg de muis over het eerste svchost-proces en kijk wat het zegt. Het zou het pad moeten weergeven plus de services die dit svchost-proces hebben gestart.
Mijn eerste service was de HTTP SSL-service die op mijn systeem werd uitgevoerd. Een service die helemaal niet nodig is op mijn systeem. Ik dacht eerst dat het iets te maken had met de mogelijkheid om https-websites te openen, maar dit is niet het geval. Volkomen nutteloos voor eindgebruikers. Ik opende services.msc en stopte de service en stelde deze ook in op uitgeschakeld.
Het svchost-proces is verdwenen in Process Explorer. Om te testen of alles nog werkte, opende ik een https-url in Firefox die prima werkte.
Het volgende svchost.exe-proces werd uitgevoerd vanwege de Windows Image Acquisition-service. Ik heb een camera die deze service gebruikt, maar ik breng zelden foto's van de camera naar mijn systeem over. Ik heb besloten om deze service ook uit te schakelen en te stoppen en te activeren wanneer ik afbeeldingen wil overbrengen. En bladerdeeg daar verdween het tweede svchost-proces.
Ik heb het hele svchost-proces doorlopen met dezelfde methodologie: beweeg de muis erover, typ de betreffende service in een zoekmachine, lees het en neem een beslissing of ik het echt nodig had. Gebruikers die aan de veilige kant willen zijn, stoppen de service en testen of alles nog naar behoren werkt. Ze kunnen de service ook op handmatig instellen als de eerste tests succesvol zijn en later op uitgeschakeld.
Een goede bron voor service-informatie is Zwarte Viper .