Ano ang svchost.exe, kung paano ito gumagana, at kung paano ito i-diagnose

Sa Windows, svchost.exe Lumilitaw ito kahit saan at, para sa marami, ito ay isang tunay na itim na kahon. Normal lang iyon: ito ay isang pangunahing bahagi ng system, ngunit sa parehong oras ang pangalan nito ay ginagamit din ng ilan malware para i-camouflage ang sarili. Kung nag-aalala ka tungkol sa CPU, RAM, o kahit na pagkonsumo ng network na nauugnay sa svchost, at gusto mong malaman kung paano kontrolin ang mga proseso at serbisyo, narito ang isang malinaw at praktikal na paliwanag.

Tingnan natin kung ano ito, kung paano ito gumagana, kung bakit may dose-dosenang mga pagkakataon kung minsan, kung paano i-verify kung okay ang lahat, at kung ano ang gagawin kung pinaghihinalaan mo ang malisyosong aktibidad. Kasama rin namin ang mga hakbang sa diagnose sa Task Manager, mga rekomendasyon sa Process Explorer at mga opsyon upang ligtas na ihinto o patayin ang mga may problemang proseso.

Ano ang svchost.exe at bakit ito umiiral?

El Host ng Serbisyo (svchost.exe) ay isang generic na proseso na ginagamit ng Windows upang i-load at patakbuhin ang mga serbisyo kung saan naroroon ang code dll file. Dahil ang Windows ay hindi maaaring magpatakbo ng mga DLL nang direkta, ito ay gumagamit ng svchost.exe bilang isang "shell" upang ilunsad at pamahalaan ang mga ito sa loob ng isa o higit pang magkakahiwalay na proseso, at maaari mong malaman kung paano Baguhin ang mga serbisyo sa Windows 11.

Upang mapabuti ang katatagan, ang mga serbisyo ay nakapangkat sa mga pamilya na may katulad na mga kinakailangan sa seguridad at ang bawat pangkat ay tumatakbo sa loob ng sarili nitong halimbawa ng svchost.exe. Sa ganitong paraan, kung ang isang serbisyo ay nabigo, ang natitirang mga grupo ay hindi nahuhuli sa error at pinapanatili ng system ang pagkakabukod kinakailangan.

Kasama sa mga karaniwang pangkat ng mga serbisyo na maaaring i-host sa ilalim ng svchost.exe ang mga kategoryang nauugnay sa mga account ng serbisyo at antas ng pag-access, gaya ng Serbisyong lokal o Lokal na sistema, na nagpapahintulot sa bawat serbisyo na tumakbo nang may naaangkop na mga pahintulot.

• Serbisyong lokal: Nagpapatakbo ng mga serbisyo na may limitadong mga lokal na pahintulot.
• Lokal na serbisyo na walang network: katulad ng nauna, ngunit walang access sa network.
• Pinaghihigpitang network ng lokal na serbisyo: mas limitadong access sa network.
• Lokal na sistema: nakataas na mga pribilehiyo ng system.
• Pinaghihigpitan ang network ng lokal na system: variant na may mga paghihigpit.
• serbisyo sa network: mga serbisyong nangangailangan ng pagkakakilanlan sa network.

Paano gumagana ang svchost.exe sa pagsasanay

Ang misyon ng svchost.exe ay mag-load ng mga DLL ng serbisyo at panatilihing tumatakbo ang mga ito upang gumana nang normal ang mga function ng system (network, seguridad, pagpapanatili, atbp.). Ang bawat instance ng svchost ay maaaring mag-host ng isa o higit pang mga serbisyo, at ang Windows ay nagpapatakbo ng maraming pagkakataon nang sabay-sabay upang ipamahagi ang load at pagbutihin ang system resilience.

Ang paghihiwalay na ito ayon sa mga grupo ay nangangahulugan na kung ang isang serbisyo ay nag-crash o kailangang i-restart, ang iba ay patuloy na gagana. Ito ay isang diskarte na idinisenyo upang i-optimize ang mga mapagkukunan at bawasan ang mga epekto sa katatagan ng kagamitan.

Paano tingnan ang mga serbisyo sa likod ng svchost.exe sa Task Manager

1. Pindutin Ctrl + Shift + Esc upang direktang buksan ang Task Manager.
2. Kung nakita mo ang simpleng view, mag-click sa Higit pang mga detalye upang ipakita ang lahat ng mga proseso.
3. Sa tab na Mga Proseso, pag-uri-uriin ayon sa pangalan at hanapin ang mga entry "Host ng SerbisyoPalawakin ang mga ito upang makita kung ano ang mga serbisyo naka-host sa bawat pagkakataon, at sa gayon ay magagawa mo pamahalaan ang mga serbisyo gamit ang mga serbisyo.msc.
4. Mag-right click sa “Service Host” na interesado ka at piliin Pumunta sa mga detalye o "Buksan ang lokasyon ng file" upang siyasatin ang executable.

Bakit napakaraming pagkakataon ng svchost.exe?

Ang Windows ay nagpapatakbo ng maraming serbisyo. Kung lahat sila ay nasa isang proseso, ang anumang kabiguan ay maaaring magpahina ng mga kritikal na pag-andar. Sa pamamagitan ng pagpapalaganap ng mga serbisyo sa maraming pagkakataon ng svchost.exe, nakakamit ang katatagan at binabawasan ang panganib mula sa mga pagkabigo ng chain. Nakakatulong din itong ipamahagi ang CPU at paggamit ng memorya nang mas mahusay.

Since Windows 10 version 1703 (Creators Update), sa mga computer na may higit sa 3,5 GB ng RAM at desktop publishing, nagpasya ang Microsoft maghiwalay pa lalo Mga Serbisyo: Sa halip na pagsama-samahin ang mga ito, marami na ang tumatakbo sa sarili nilang proseso ng SVCHOST. Pinapadali ng refactoring na ito na malaman kung aling serbisyo ang kumukonsumo ng mga mapagkukunan sa anumang oras.

Mga kalamangan ng paglipat kapag may sapat na memorya: alkalde pagiging maaasahan (paghihiwalay sa pagitan ng mga serbisyo), pagbabawas ng pagsisikap sa suporta, pagpapabuti ng katiwasayan (mas kaunting shared surface), mas mahusay na scalability (configuration at mga pribilehiyo sa bawat serbisyo) at mas malinaw na diagnostics (paggamit ng CPU, I/O at network bawat serbisyo).

• Na may mas mababa sa 3,5 GB ng RAM: Patuloy na pinagsasama-sama ng Windows ang mga serbisyo upang makatipid ng memorya.
• May 3,5 GB o higit pa: Maraming mga serbisyo ang tumatakbo sa magkakahiwalay na proseso upang mapabuti ang pagmamasid at katatagan.

Tandaan na ang paghihiwalay ng mga serbisyo ay nagpapataas sa kabuuang bilang ng mga svchost na instance at samakatuwid ang bilang ng mga instance ay maaaring lumaki. paggamit ng memorya global. Karaniwang makita ang mga bilang ng ~17–21 na proseso kapag pinagsama-sama at ~67–74 kapag pinaghiwalay, na nag-iiba-iba depende sa aktibidad ng system.

Paano suriin ang epekto ng paghihiwalay ng mga serbisyo

Kung gusto mong mag-eksperimento, sa isang virtual machine na may Windows 10 1703 maaari mong ayusin ang RAM at i-restart upang makita kung paano nagbabago ang view ng Task Manager. Sa 3484 MB o mas kaunti, makikita mo ang mga nakapangkat na proseso; na may 3486 MB o higit pa, makakakita ka ng higit pang magkakahiwalay na proseso.

Get-Process SvcHost | Group-Object -Property ProcessName | 
Format-Table Name, Count, @{n='Mem (KB)';e={'{0:N0}' -f (($_.Group|Measure-Object WorkingSet -Sum).Sum / 1KB)};a='right'} -AutoSize

Ang utos na iyon ng PowerShell pangkatin ang mga instance ng SvcHost at ipinapakita ang bilang ng mga proseso at kabuuang memorya na kinakatawan nila, perpekto para sa pagsukat ng epekto ng paghihiwalay.

Ligtas ba ang svchost.exe o maaaring ito ay isang virus?

ang mga lehitimong pagkakataon Ang mga svchost.exe file ay ligtas at mahalaga, ngunit ang ilang mga umaatake ay gumagawa ng malware na gumagamit ng pangalang iyon upang hindi matukoy. Ang pinaka-maaasahang tagapagpahiwatig ay ang kanilang ubicación: Ang mga lehitimong kopya ay matatagpuan sa “C:\Windows\System32”. Kung makakita ka ng "svchost.exe" sa mga folder tulad ng Download o Temp, maghinala.

Ang iba pang mga proseso ng system ay nagtataas din ng mga katanungan. Halimbawa, csrss.exe (Client Server Runtime) ay lehitimo at kritikal; ito ay magiging kahina-hinala lamang kung ito ay nasa labas ng System32 o hindi wastong nilagdaan. Bilang karagdagan, mayroong isang executable na tinatawag utcsvc.exe (telemetry/diagnostics) na kung minsan ay gumagamit ng CPU o na-flag ng ilang partikular na engine bilang isang PUP; karaniwan itong kasama ng Windows at hindi ito nakakahamak sa sarili nito.

Ang isa pang karaniwang taktika ng malware ay ang sinadyang misnaming: mga variant tulad ng svhost.exe o svchosl.exe Baka subukan nilang lituhin ka. Palaging suriin ang eksaktong pangalan, ang digital na lagda at ang source folder mula sa Task Manager, at kung kailangan mo ng forensic analysis tingnan kung paano haharapin artifact sa Windows.

Tingnan gamit ang Process Explorer at VirusTotal

Upang magpatuloy sa isang hakbang, maaari mong gamitin Proseso ng Explorer (mula sa Microsoft/Sysinternals). I-download ang kasalukuyang bersyon, i-unzip, at patakbuhin procexp64.exe sa 64-bit system (o procexp.exe (32-bit). Pagbukud-bukurin ang column ng mga proseso ayon sa alpabeto upang mabilis na mahanap kung ano ang interesado ka.

I-activate ang column VirusTotal sa Process Explorer (Options > VirusTotal.com > Suriin ang VirusTotal). Isang resulta 0 / 7x karaniwang nagsasaad na walang makinang nakakakita ng mga problema. Ang isang 1/7x ay maaaring isang false positive, ngunit ang mas mataas na mga halaga ay nangangailangan ng a buong pagsusuri ng sistema.

Ano ang gagawin kung ang svchost.exe ay gumagamit ng maraming CPU, RAM, o network

Maaaring may dahilan ang mataas na pagkonsumo lehitimo o may problema. Kasama sa mga lehitimo ang pag-install ng mga update sa Windows, pag-index, defragmentation, o mga serbisyo tulad ng Superfetch/SysMain, na kilala sa labis na paggamit ng disk/CPU sa ilang mga computer. Sa mga kasong ito, dapat bumaba ang paggamit pagkatapos makumpleto ang mga gawain.

Kung napansin mo na ang network ay mabagal at nakikita mo ang svchost.exe na kumukonsumo ng bandwidth, tingnan kung mayroong anumang mga gawain Windows Update o iba pang mga serbisyong diagnostic. Suriin din ang iyong browser: ang mga maling extension o masyadong maraming tab ay maaaring magbabad sa mga mapagkukunan at malito ang diagnosis.

Gamitin ang Task Manager upang matukoy kung aling mga partikular na serbisyo sa loob ng bawat gawain ang tumatakbo. Host ng Serbisyo ay aktibo. Sa pamamagitan ng pagpapalawak sa bawat svchost.exe, makikita mo ang mga nauugnay na serbisyo at magagawa mong masuri ang epekto ng mga ito sa CPU, memorya, disk, at pula.

Upang panatilihing maliksi ang system, isaalang-alang i-uninstall ang mga programa na hindi mo na ginagamit at nililinis ang nalalabi ng software. meron mga kagamitan sa pag-optimize (halimbawa, ang mga mula sa mga security provider tulad ng Avast Cleanup) na tumutulong sa pag-alis pansamantalang mga file at mga proseso sa boot na nagpaparusa sa pagganap; suriin din ang Mga serbisyo ng third-party na nagpapabagal sa Windows 11.

Paano ihinto ang isang serbisyo na hino-host ng svchost.exe (nang may pag-iingat)

Ang pagtatapos ng mga proseso ng system ay dapat gawin sa kabutihan. Ang pag-abala sa isang kritikal na svchost ay maaaring ma-destabilize ang Windows o i-shut down ang mga pangunahing function. Bago mo hawakan ang anuman, i-save ang iyong gawa, at tingnan kung ano mga serbisyong hindi mo dapat i-disable.

1. Buksan ang Task Manager gamit ang Ctrl + Shift + Esc at pindutin Higit pang mga detalye.
2. Pagbukud-bukurin ayon sa pangalan, hanapin ang may problemang "Service Host", i-right click at piliin Tapusin ang gawain. Kung aktibong ginagamit ito ng isang program, mapipigilan ito ng Windows upang protektahan ang iyong computer. katatagan ng sistema.

Kung kailangan mong ihinto ang isang partikular na serbisyo, mas mainam na gawin ito mula sa services.msc o ang Windows Services console, kung saan maaari mong i-pause o i-restart ang serbisyo nang hindi pinapatay ang buong nauugnay na proseso ng svchost, at matutunan kung paano ibalik ang mga tinanggal na serbisyo kung may mali.

Paano alisin ang malware na nagpapanggap bilang svchost.exe

Kung pinaghihinalaan mo ang impeksyon (svchost.exe sa labas ng System32, multiple mga deteksyon sa VirusTotal, patuloy na hindi maipaliwanag na mga spike ng mapagkukunan), kumikilos nang may masusing paglilinis.

Una, magpatakbo ng isang pag-scan na may a pangtanggal ng malware na maaaring makakita at maghiwalay ng mga bahaging nauugnay sa pekeng svchost.exe. Pakitandaan na ang mga tool na ito ay nilayon upang puksain ang mga impeksiyon kapag naroroon na at hindi ito kapalit ng maaasahang suite ng seguridad residente.

Kung hinarangan ng malware ang Task Manager o ang console, i-reboot sa Ligtas na mode at patakbuhin muli ang antivirus. Kapag nakuha mo muli ang access sa linya comandos, gamitin ang system file checker tool upang ayusin ang pinsala.

1. Buksan ang Start, i-type CMD, i-right click at piliin Tumakbo bilang tagapangasiwa.
2. Isulat sa escribe: sfc / scannow at pindutin ang Enter. Hayaan itong matapos. Kung lumalabas pa rin ang mga sirang file, ulitin ang pag-scan hanggang tatlo mga oras

Bilang pangalawang opinyon, maaari mong ipasa ang mga kinikilalang tool tulad ng AdwCleaner, Malwarebytes o Hitmanpro upang palawakin ang saklaw laban sa adware, PUP at TroyanosKung ang isang detection ay hindi maaaring hot-clean, sundin ang mga tagubilin para sa pag-quarantine at pagtanggal sa pag-reboot.

Mga pagbubukod, mga advanced na detalye at mga registry key

Kahit na sa mga computer na may higit sa 3,5 GB ng RAM, nananatili ang ilang mga serbisyo pinangkat sa pamamagitan ng disenyo. Kasama sa mga karaniwang halimbawa ang Base Filtering Engine (BFE), Windows Firewall (Mpssvc), at mga bahagi ng RPC gaya ng endpoint mapper. extremoAng pagsasama-sama ng mga ito ay binabawasan ang pagiging kumplikado at pinipigilan ang mga pagkasira ng pagganap.

Maaaring tukuyin ng mga administrator ang mga serbisyong hindi mahahati sa pamamagitan ng pagtatanong sa halaga SvcHostSplitDisable sa iyong mga service key sa ilalim ng: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services. Isang halaga ng "1" pinipigilan ang paghihiwalay ng partikular na serbisyong iyon.

Kung pinamamahalaan mo ang maraming mga koponan, ginagawang mas madali ang paghihiwalay pagkilala (tingnan kung aling serbisyo ang gumagamit ng CPU o network nang hindi pinalawak ang mga grupo nang paisa-isa), sa halaga ng katamtamang pagtaas sa pagkonsumo ng memorya sa background.

Mabilis na mga tip sa diagnostic

• Lokasyon ng file: Mula sa Task Manager, "Buksan ang lokasyon ng file." Kung hindi ito System32, ito ay masama.
• Digital na pirma: Sa ilalim ng Properties > Digital Signatures dapat mong makita ang Microsoft Trusted Publisher sa mga lehitimong pagkakataon.
• paggamit ng network: Ang mga spike sa svchost sa panahon ng Windows Update o telemetry ay normal; suriin kung aling serbisyo sa loob ng host ang nagdudulot sa kanila.
• Mga error sa pagbaybay: itinatapon ang mga variant gaya ng “svhost.exe” o “svchosl.exe”, tipikal ng malware.

Mga mapagkukunan at inirerekomendang dokumentasyon

Para sa karagdagang impormasyon, lubhang kapaki-pakinabang na kumonsulta sa opisyal na dokumentasyon ng Microsoft sa svchost.exe at ang gawaing "Windows Internals" (Russinovich, Solomon, Ionescu), na nagsasaliksik sa arkitektura, mga serbisyo at pamamahala ng proseso sa Windows.

Kung naiintindihan mo ang svchost.exe bilang isang "host" na naglulunsad ng mga serbisyo mula sa mga DLL, makikita mong normal na magkaroon ng maraming pagkakataon at variable na pagkonsumo depende sa aktibidad ng system; ang susi ay suriin lokasyon, lagda, mga nauugnay na serbisyo at pag-uugali (na may mga tool tulad ng Task Manager at Process Explorer), at kung may makitang abnormal na palatandaan, magpatuloy sa mga hakbang sa paglilinis gamit ang naaangkop na mga utility.

Kaugnay na artikulo:

Paano i-disable ang mga hindi kinakailangang serbisyo at pagbutihin ang pagganap ng Windows 11

Isaac

Masigasig na manunulat tungkol sa mundo ng mga byte at teknolohiya sa pangkalahatan. Gustung-gusto kong ibahagi ang aking kaalaman sa pamamagitan ng pagsusulat, at iyon ang gagawin ko sa blog na ito, ipakita sa iyo ang lahat ng mga pinaka-kagiliw-giliw na bagay tungkol sa mga gadget, software, hardware, teknolohikal na uso, at higit pa. Ang layunin ko ay tulungan kang mag-navigate sa digital na mundo sa simple at nakakaaliw na paraan.