“svchost.exe (LocalServiceAndNoImpersonation)” - 這是病毒/木馬嗎？

Question 1

某些惡意軟體經常使用進程名稱來svchost.exe偽裝自己。原始系統檔案svchost.exe位於C:\Windows\System32.這些服務位於其他地方嗎？如果它們這樣做，那麼它們就是惡意軟體。

什麼是svchost.exe？

svchost.exe是託管多個 Windows 服務的系統進程，或如 Microsoft 所描述的：「svchost.exe 是從動態連結程式庫執行的服務的通用主機進程名稱」。

為什麼會有多個 svchost.exe？

該服務有多個實例，因為如果每個服務都在單一svchost.exe實例下運行，則其中一個服務發生故障可能會導致所有 Windows 崩潰，從而使它們分離。

您可以使用類似的工具來分析服務流程瀏覽器並獲得有關他們活動的更多資訊。

Answer

某些惡意軟體經常使用進程名稱來svchost.exe偽裝自己。原始系統檔案svchost.exe位於C:\Windows\System32.這些服務位於其他地方嗎？如果它們這樣做，那麼它們就是惡意軟體。

什麼是svchost.exe？

svchost.exe是託管多個 Windows 服務的系統進程，或如 Microsoft 所描述的：「svchost.exe 是從動態連結程式庫執行的服務的通用主機進程名稱」。

為什麼會有多個 svchost.exe？

該服務有多個實例，因為如果每個服務都在單一svchost.exe實例下運行，則其中一個服務發生故障可能會導致所有 Windows 崩潰，從而使它們分離。

您可以使用類似的工具來分析服務流程瀏覽器並獲得有關他們活動的更多資訊。

Question 2

不，它不是病毒/惡意軟體。

你說它只在你打開 Firefox 時出現，這背後可能沒有惡意軟體。

我也有這個 svchost 進程運行 LocalServiceAndNoImpersonation 並且這台電腦是乾淨的。

到目前為止，LocalServiceAndNoImpersonation 是一個合法進程，並由 Windows AppLocker 使用。

Windows AppLocker 是 Windows 的安全功能。

AppLocker 是 Windows 7 和 Windows Server 2008 R2 中的一項新功能，可讓您根據檔案的唯一識別指定哪些使用者或群組可以執行組織中的特定應用程式。如果您使用 AppLocker，您可以建立規則以允許或拒絕應用程式運行。

還應該提到載入的 DLL。

AppLocker 使用 Microsoft 服務來確定和驗證應用程式的身份。請注意，該服務是由 svchost.exe 啟動的，但實際應用程式是檔案名稱中列出的內容。

Answer