“svchost.exe (LocalServiceAndNoImpersonation)”——这是一个病毒/木马吗?

“svchost.exe (LocalServiceAndNoImpersonation)”——这是一个病毒/木马吗?

查看屏幕截图你会发现有两个svchost.exe

一个是svchost.exe (NetworkService),另一个是svchost.exe (LocalServiceAndNoImpersonation)

svchost.exe (LocalServiceAndNoImpersonation)firefox.exe仅处于活动状态并在活动时使用网络。

在此处输入图片描述

答案1

一些恶意软件经常使用进程名称来svchost.exe伪装自己。原始系统文件svchost.exe位于C:\Windows\System32。这些服务是否位于其他地方?如果位于其他地方,则它们就是恶意软件。

什么是 svchost.exe?

svchost.exe是一个承载多个 Windows 服务的系统进程,或者正如 Microsoft 所描述的:“svchost.exe 是从动态链接库运行的服务的通用主机进程名称”。

为什么会有多个svchost.exe?

此服务有多个实例,因为如果每个服务都在单个svchost.exe实例下运行,则一个实例出现故障可能会导致整个 Windows 崩溃,因此它们被分开。

您可以使用以下工具来分析服务进程探索器并获得有关他们的活动的更多信息。

参考: 极客

答案2

不,它不是病毒/恶意软件。

您说它只在打开 Firefox 时出现,这背后可能没有恶意软件。

我也有这个运行 LocalServiceAndNoImpersonation 的 svchost 进程,并且这台电脑是干净的。

到目前为止,LocalServiceAndNoImpersonation 是一个合法进程,并被 Windows AppLocker 使用。

Windows AppLocker 是 Windows 的一项安全功能。

https://technet.microsoft.com/en-us/library/dd759117.aspx

AppLocker 是 Windows 7 和 Windows Server 2008 R2 中的一项新功能,它允许您根据文件的唯一标识指定哪些用户或组可以在组织中运行特定应用程序。如果您使用 AppLocker,则可以创建规则以允许或拒绝应用程序运行。

您可以使用 ProcessExplorer 检查它。 https://technet.microsoft.com/sysinternals/bb896653

还应该提到已加载的 DLL。

http://www.bleepingcomputer.com/startups/appidsvc.dll-25613.html

AppLocker 使用的 Microsoft 服务来确定和验证应用程序的身份。请注意,此服务由 svchost.exe 启动,但实际应用程序是作为文件名列出的应用程序。

相关内容