之前陈德馨写过一篇文章，关于网吧语音大师伪装系统进程，自动下载后门执行文件修改系统权限、劫持主页的文章（查看原文），今天我来说说自动结束伪装的系统进程“svchost.exe”的方法。

首先，我们要明白“svchost.exe”是什么文件。svchost.exe是一个属于微软Windows操作系统的系统程序，微软官方对它的解释是：Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要，而且是不能被结束的。

那么，那些伪装成“svchost.exe”的进程是什么呢，伪装成系统进程的，一般都是后台广告或着木马进程，这样的进程很难发现和结束。经过陈德馨多次尝试，终于找到一个方法，那就是利用WMIC的CMD命令来结束。

wmic process where "name='svchost.exe' and ExecutablePath<>'C:\\WINDOWS\\system32\\svchost.exe'" call Terminate

利用上面的批处理命令是可以结束伪装的“svchost.exe”进程的，您可以在CMD里面输入粘贴以上命令回车试试效果，或者把它放到批处理里面也行。如果会编程的，可以在WIN7X64系统下可以用api执行提权然后创建进程快照，通过判断进程名称和路径，也可以实现这个效果。虽然wmi的效率有点低，但如果和没有办法解决此类问题相比，算是个折中方案吧！

扩展阅读：

网吧语音大师（原蓝宝石呼叫网管系统）去广告

来源：陈德馨博客（微信/QQ号：35435164），转载请保留出处和链接！

地址：https://www.chendexin.com/archives/336.html