识别 svchost.exe 持有的服务

据我所知，至少有两种方法可以识别某一特定服务svchost.exe process：

1. 使用命令行参数

您只需输入

tasklist /svc /fi "IMAGENAME eq svchost.exe

输出类似如下内容：

Image Name                     PID Services
========================= ======== ============================================
svchost.exe                    964 BrokerInfrastructure, DcomLaunch, LSM,
                                   PlugPlay, Power, SystemEventsBroker
svchost.exe                    364 RpcEptMapper, RpcSs
svchost.exe                   1064 Appinfo, Browser, DoSvc, LanmanServer,
                                   lfsvc, ProfSvc, RasMan, Schedule, seclogon,
                                   SENS, SessionEnv, SharedAccess,
                                   ShellHWDetection, Themes, UserManager,
                                   Winmgmt, WpnService
svchost.exe                   1072 CryptSvc, Dnscache, LanmanWorkstation,
                                   NlaSvc, TapiSrv, TermService
svchost.exe                   1220 AudioEndpointBuilder,
                                   DeviceAssociationService, hidserv,
                                   NcbService, Netman, PcaSvc, SensorService,
                                   StorSvc, SysMain, TabletInputService,
                                   TrkWks, UmRdpService, WdiSystemHost, wudfsv

然后您就可以更好地了解在特定情况下运行的内容svchost.exe，此外，我相信这些 svchost 进程并不完全依赖于彼此，而是与每个进程相关。

2. Svchost.exe查找工具（第三方工具）

   • 或者你可以选择免费的第三方工具svchost.exe 查找来自 Tweaking.com 的工具，用于类似的过程：

是的，这是可行的。scvhost 本身可以运行多个 Windows DLL，普通用户通常无需关心这些，但是 Process Explorer 可以帮助您识别 scvhost 背后的东西。

https://www.bleepingcomputer.com/download/process-explorer/

Bleeping computer 对这些内容进行了非常好的概述，您可能想利用业余时间看一下；)

https://www.bleepingcomputer.com/tutorials/list-services-running-under-svchostexe-process/