当我打开 TCPView (Sysinternals) 时,我发现系统中有许多通过多达 7 个端口连接的实例。这可能是恶意软件造成的吗?如何在没有防病毒工具的情况下找出它。
答案1
不要惊慌!(暂时) Svchost 可以有多个实例。
在启动时,Svchost.exe 检查注册表的服务部分以构建必须加载的服务列表。Svchost.exe 的多个实例可以同时运行。每个 Svchost.exe 会话可以包含一组服务。因此,可以根据 Svchost.exe 的启动方式和位置运行单独的服务。这种服务分组可以实现更好的控制和更轻松的调试。
您可以在HowToGeek页,
Svchost Viewer 准确显示每个 svchost.exe 实例正在执行的操作
答案2
这确实可能是恶意软件造成的。Svchost.exe 是常用来生成恶意软件进程的程序。在某些情况下,如果不深入了解细节,svchost 实际上会让人难以找到有问题的程序。
TCPView 可以方便地查看哪些进程正在通过网络通信,Process Explorer 有一个 I/O 历史记录选项卡,这对于此进程也非常有用。我还建议使用 filemon 来确定哪些文件是打开的。恶意软件在许多情况下会尝试通过锁定文件来阻止您删除/修改其运行时。
PID 有助于确定哪些进程产生了其他进程。
通常,当我到达这一点时,我已经怀疑有恶意软件,并且我会一次终止一个进程,直到找到有问题的程序。如果程序正在通过网络通信,那么终止可疑网络流量是一个很好的迹象,表明您已经终止了正确的程序。有些恶意软件的设计行为非常恶劣,因此在这些情况下,发现它并不难。在野外发现最困难的是那些不消耗所有系统资源并且没有通过互联网“呼叫”的进程。