Analyse des processus svchost.exe

• Catégorie: Les Fenêtres

Je me suis demandé plus d'une fois pourquoi j'avais autant de processus svchost.exe en cours d'exécution lors de l'ouverture du gestionnaire de tâches qui n'affichait aucune information supplémentaire en plus du nom et des informations de base.

J'avais besoin d'un autre logiciel qui m'aiderait à analyser les processus svchost.exe et à déterminer s'ils étaient vraiment nécessaires ou même malveillants.

La première étape a été de télécharger l'excellent Explorateur de processus de Sysinternals. Ce programme donne des informations détaillées sur tous les processus en cours d'exécution sur le système, y compris les services et les fichiers qui en dépendent, ainsi que le chemin d'accès au fichier sur le système d'exploitation.

Tous les processus en cours d'exécution sur le système sont affichés dans Process Explorer après le démarrage de l'application. Appuyez sur CTRL + L pour afficher un volet en bas qui affiche des informations détaillées sur le processus sélectionné. Le déplacement de la souris sur le processus affiche également des informations mais pas en profondeur comme le fait le volet inférieur.

Jetons un coup d'œil à ce que Wikipédia a à dire sur svchost.exe

Dans le logiciel, Svchost.exe est un nom de processus hôte générique pour les services qui s'exécutent à partir de bibliothèques de liens dynamiques (DLL) dans les versions modernes du système d'exploitation Microsoft Windows.

Au démarrage, Svchost.exe vérifie la partie services du registre pour construire une liste de services qu'il doit charger. Plusieurs instances de Svchost.exe peuvent s'exécuter en même temps. Chaque session Svchost.exe peut contenir un regroupement de services. Par conséquent, des services distincts peuvent s'exécuter, selon le mode et l'emplacement de démarrage de Svchost.exe. Ce regroupement de services permet un meilleur contrôle et un débogage plus facile, mais il pose également des difficultés pour les utilisateurs finaux souhaitant voir l'utilisation de la mémoire ou la légitimité du fournisseur des services et processus individuels.

La dernière phrase explique à peu près le dilemme dans lequel nous - les utilisateurs - sommes. Comment pouvons-nous savoir si un processus svchost.exe est légitime et nécessaire ou s'il s'agit d'un gaspillage de mémoire, de puissance de traitement ou même malveillant?

Je vais vous expliquer comment vous pouvez savoir avec une bonne certitude si le processus est nécessaire ou non. Revenez à Process Explorer.

Passez la souris sur le premier processus svchost et regardez ce qu'il dit. Il devrait afficher le chemin ainsi que les services qui ont démarré ce processus svchost.

Mon premier service était le service HTTP SSL qui fonctionnait sur mon système. Un service qui n'est pas du tout nécessaire sur mon système. J'ai d'abord pensé que cela avait quelque chose à voir avec la possibilité d'ouvrir des sites Web https, mais ce n'est pas le cas. Complètement inutile pour les utilisateurs finaux. J'ai ouvert services.msc, j'ai arrêté le service et l'ai également défini sur désactivé.

Le processus svchost a disparu dans Process Explorer. Pour tester que tout fonctionnait toujours, j'ai ouvert une URL https dans Firefox qui fonctionnait parfaitement.

Le processus svchost.exe suivant était en cours d'exécution en raison du service d'acquisition d'images Windows. J'ai un appareil photo qui utilise ce service mais je transfère rarement des images de l'appareil photo vers mon système. J'ai décidé de désactiver et d'arrêter ce service également et de l'activer chaque fois que je souhaite transférer des images. Et bouffée là a disparu le deuxième processus svchost.

J'ai parcouru tout le processus svchost en utilisant la même méthodologie: passez la souris dessus, tapez le service en question dans un moteur de recherche, lisez-le et prenez une décision si j'en avais vraiment besoin. Les utilisateurs qui veulent être du bon côté arrêtent le service et testent si tout fonctionne toujours comme d'habitude. Ils peuvent également définir le service sur manuel si les premiers tests sont réussis, puis sur désactivé.

Une bonne ressource pour les informations de service est Vipère noire.