Windows

2013年3月2日 at 11:57 PM

svchost.exeとは何? ~ 不正なウィルスの挙動にも使われるわかりにくいプロセス

2006/10/9 Gigazone 「svchost.exe」の正体を探る

 

タスクマネージャの「プロセス」タブに表示されるプロセス一覧で必ず見かけるメモリー使用率の高いsvchost.exe。

 

svchost.exeは、パソコン内の常駐プログラムを起動するために用意された親プログラムです。

OS内の各種サービスを起動するための親となるプロセスで、OS起動時にはsvchost.exeを経由して、各種サービスが起動するようになっています。svchost.exeが起動するサービスは、レジストリの以下のキーに記述されています。

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

 

「tasklist /SVC」というコマンドを実行することで、実行しているサービスの一欄を表示できます。この中でイメージ名にsvchost.exeとなっているものが、svchost.exe絡みのものです。

 

> tasklist /fi "imagename eq svchost.exe" /svc

イメージ名                     PID サービス
========== ======== ================================
svchost.exe                   1100 Audiosrv, Dhcp, Eventlog, lmhosts, wscsvc
svchost.exe                   1128 AudioEndpointBuilder, EMDMgmt, hidserv,Netman, PcaSvc,SysMain,

 

「svchost.exe」とサービスの説明だけではよくわかりませんね

そのために、ウィルスの起動によく用いられます

 

svchost.exeの中身を突き止めるには?

Process Explorerというフリーツールを導入することで可能です。

svchost

なんのサービスと絡んでいるのか知りたい場合は、本ツールにて、対象のイメージを選択し、右クリック – Propertiesを選択し、「Services」タブを選択します。

 

何に使われているのかわからない怪しいものがあれば、本ツールで調べたデータの断片を使用して、ググってみればなにかわかるものもあるかと思います。

参考)レッドオクトーバー(Rocra)ウィルスに死す

One Comment

  1. Pingback: Time

Leave a Reply

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>



こちらの関連記事もオススメ!