%22%20-%20%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4%2F%ED%8A%B8%EB%A1%9C%EC%9D%B4%20%EB%AA%A9%EB%A7%88%EC%9E%85%EB%8B%88%EA%B9%8C%3F.png)
스크린샷을 보면 2개가 있다는 것을 알 수 있습니다 svchost.exe.
하나는 svchost.exe (NetworkService)이고 다른 하나는svchost.exe (LocalServiceAndNoImpersonation)
svchost.exe (LocalServiceAndNoImpersonation)활성화되어 있을 때만 네트워크를 사용합니다 firefox.exe.
답변1
일부 악성 코드는 자신을 위장하기 위해 프로세스 이름을 사용하는 경우가 많습니다 svchost.exe. 원본 시스템 파일 svchost.exe은 C:\Windows\System32. 해당 서비스가 다른 곳에 있습니까? 그렇다면 악성 코드입니다.
svchost.exe 란 무엇입니까?
svchost.exe여러 Windows 서비스를 호스팅하는 시스템 프로세스이거나 Microsoft에서 설명하는 것처럼 "svchost.exe는 동적 연결 라이브러리에서 실행되는 서비스에 대한 일반 호스트 프로세스 이름입니다."
svchost.exe가 여러 개 있는 이유는 무엇입니까?
이 서비스에는 여러 인스턴스가 있습니다. 모든 단일 서비스가 단일 svchost.exe인스턴스에서 실행되는 경우 하나에 오류가 발생하면 모든 Windows가 중단되어 분리될 수 있기 때문입니다.
다음과 같은 도구를 사용하여 서비스를 분석할 수 있습니다.프로세스 탐색기그들의 활동에 대한 더 많은 정보를 얻을 수 있습니다.
참고자료: 노하우
답변2
아니요, 바이러스/맬웨어가 아닙니다.
Firefox를 열 때만 나타납니다. 이 뒤에는 악성 코드가 없을 수도 있습니다.
또한 LocalServiceAndNoImpersonation을 실행하는 이 svchost 프로세스가 있고 이 PC는 깨끗합니다.
지금까지 LocalServiceAndNoImpersonation은 합법적인 프로세스이며 Windows AppLocker에서 사용됩니다.
Windows AppLocker는 Windows의 보안 기능입니다.
https://technet.microsoft.com/en-us/library/dd759117.aspx
AppLocker는 파일의 고유한 ID를 기반으로 조직에서 특정 응용 프로그램을 실행할 수 있는 사용자 또는 그룹을 지정할 수 있는 Windows 7 및 Windows Server 2008 R2의 새로운 기능입니다. AppLocker를 사용하는 경우 응용 프로그램 실행을 허용하거나 거부하는 규칙을 만들 수 있습니다.
ProcessExplorer로 검사할 수 있습니다. https://technet.microsoft.com/sysinternals/bb896653
로드된 DLL도 언급되어 있어야 합니다.
http://www.bleepingcomputer.com/startups/appidsvc.dll-25613.html
AppLocker가 응용 프로그램의 ID를 확인하고 확인하는 데 사용하는 Microsoft 서비스입니다. 이 서비스는 svchost.exe에 의해 시작되지만 실제 응용 프로그램은 파일 이름으로 나열됩니다.