自动结束伪装的系统进程“svchost.exe”的方法

1130人参与 |分类: 电脑百科|时间: 2016年05月03日

之前陈德馨写过一篇文章,关于网吧语音大师伪装系统进程,自动下载后门执行文件修改系统权限、劫持主页的文章(查看原文),今天我来说说自动结束伪装的系统进程“svchost.exe”的方法。

首先,我们要明白“svchost.exe”是什么文件。svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。

那么,那些伪装成“svchost.exe”的进程是什么呢,伪装成系统进程的,一般都是后台广告或着木马进程,这样的进程很难发现和结束。经过陈德馨多次尝试,终于找到一个方法,那就是利用WMIC的CMD命令来结束。

wmic process where "name='svchost.exe' and ExecutablePath<>'C:\\WINDOWS\\system32\\svchost.exe'" call Terminate

利用上面的批处理命令是可以结束伪装的“svchost.exe”进程的,您可以在CMD里面输入粘贴以上命令回车试试效果,或者把它放到批处理里面也行。如果会编程的,可以在WIN7X64系统下可以用api执行提权然后创建进程快照,通过判断进程名称和路径,也可以实现这个效果。虽然wmi的效率有点低,但如果和没有办法解决此类问题相比,算是个折中方案吧!

扩展阅读:

网吧语音大师(原蓝宝石呼叫网管系统)去广告

来源:陈德馨博客(微信/QQ号:35435164),转载请保留出处和链接!

地址: