Что такое процессы «узел службы» (svchost.exe) и почему их так много?

Friday, April 26, 2024

Если вы когда-либо просматривали Диспетчер задач, возможно, вы задавались вопросом, почему так много процессов «узел службы» или «служба узла». Вы не можете остановить их, и вы их не запускали. Итак, что это?

Процессы «узел службы» или Service Host служат в качестве оболочки для загрузки сервисов из DLL-файлов. Службы организованы в связанные группы, и каждая группа выполняется внутри другого экземпляра процесса «узел службы». Таким образом, проблема в одном экземпляре не влияет на другие экземпляры. Этот процесс является жизненно важной частью Windows, которую вы не можете остановить.

Эта статья является частью моей текущей серии, объясняющей различные процессы, обнаруженные в диспетчере задач, такие как dwm.exe, ctfmon.exe, mDNSResponder.exe, conhost.exe, rundll32.exe, Adobe_Updater.exe и многие другие. Не знаете, что это за процессы? Начните читать!

процессы «узел службы»

Итак, что такое процессы «узел службы»?

Вот ответ, согласно Microsoft:
Svchost.exe - это общее имя процессов «узел службы», которые запускаются из библиотек динамической компоновки.

Но это не очень нам помогает. Некоторое время назад Microsoft начала менять большую часть функций Windows, опираясь на внутренние службы Windows (которые запускались из файлов EXE), вместо этого теперь используются DLL-файлы. С точки зрения программирования это делает код более многоразовым и, его возможно, проще поддерживать в актуальном состоянии. Проблема в том, что вы не можете запускать DLL-файл непосредственно из Windows так же, как и исполняемые файлы. Вместо этого оболочка, загружаемая из исполняемого файла, используется для размещения этих DLL-сервисов. Итак, появился процесс «узел службы» (svchost.exe).

Почему этих процессов так много?

Если вы когда-либо рассматривали раздел «Службы» в панели управления, вы, вероятно, заметили, что Windows требует много служб. Если каждая отдельная служба работает под одним узлом, отказ одной службы может привести к сбою всей Windows. Вместо этого они отделены друг от друга.

Службы организованы в логические группы, которые все связаны друг с другом, а затем создается один экземпляр узла службы для размещения каждой группы. Например, один процесс «узел службы» запускает три службы, связанные с брандмауэром. Другой процесс может запускать все службы, связанные с пользовательским интерфейсом, и так далее. На приведенном ниже изображении, например, вы можете видеть, что один процесс запускает несколько связанных сетевых сервисов, а другой запускает службы, связанные с удаленными вызовами процедур.

три службы, связанные с брандмауэром

Что мне делать со всей этой информацией?

Честно, не так много. Во времена Windows XP (и предыдущих версий), когда ПК имели гораздо более ограниченные ресурсы, а операционные системы были не совсем точно настроены, часто неудавалось использовать Windows из-за ненужных сервисов. В наши дни не рекомендуется отключать службы . Современные ПК, как правило, загружаются с памятью и мощными процессорами. Добавьте к этому тот факт, что способ обработки Windows-сервисов в современных версиях (и в том, какие службы запускаются) был оптимизирован, и устранение служб, которые, по вашему мнению, вам не нужны, действительно не оказывает большого влияния.

Тем не менее, если вы заметили, что конкретный экземпляр «узел службы» или связанная с ним служба вызывает проблемы, такие как постоянное чрезмерное использование процессора или памяти, вы можете проверить конкретные приложения, которые задействованы. Это может по крайней мере дать вам представление о том, где начать поиск и устранение неисправностей. Существует несколько способов узнать, какие услуги размещаются конкретным экземпляром «узел службы». Вы можете проверить работу диспетчера задач или использовать стороннее приложение Process Explorer.

Проверка связанных служб в диспетчере задач

Если вы используете Windows 8 или 10, процессы отображаются на вкладке «Процессы» диспетчера задач по их полному имени. Если процесс служит хостом для нескольких служб, вы можете увидеть эти службы, просто расширив процесс. Это позволяет очень легко определить, какие службы относятся к каждому экземпляру процесса.

Вы можете щелкнуть правой кнопкой мыши по любой отдельной службе, чтобы остановить службу, просмотреть ее в приложении «Службы» или даже выполнить поиск в Интернете для получения информации об услуге.

Если вы используете Windows 7, все немного по-другому. Диспетчер задач Windows 7 не группировал процессы таким же образом и не отображал обычные имена процессов - он показывал только все экземпляры «svchost.exe». Вы должны были немного покоматься, чтобы определить службы, связанные с любым конкретным экземпляром «svchost.exe».

На вкладке «Процессы» диспетчера задач в Windows 7 щелкните правой кнопкой мыши по определенному процессу «svchost.exe», а затем выберите «Перейти к сервису».

Это отправит вас на вкладку «Службы», где будут выбраны все службы, запущенные под этим процессом «svchost.exe».

Затем вы можете увидеть полное имя каждой службы в столбце «Описание», чтобы вы могли отключить эту службу, если вы не хотите ее запускать или устранить неполадку, из за которой она создает вам проблемы.

Проверка связанных сервисов с помощью Process Explorer

Microsoft также предоставляет отличный передовой инструмент для работы с процессами в составе линейки Sysinternals. Просто загрузите Process Explorer и запустите его - это портативное приложение, поэтому нет необходимости его устанавливать. Process Explorer предоставляет всевозможные расширенные функции - и я настоятельно рекомендую прочитать руководство по пользованию Process Explorer, чтобы узнать больше.

Для наших целей Process Explorer группирует связанные службы под каждым экземпляром «svchost.exe». Они перечислены по именам файлов, но их полные имена также отображаются в столбце «Описание». Вы также можете навести указатель мыши на любой из процессов «svchost.exe», чтобы увидеть всплывающее окно со всеми службами, относящимися к этому процессу, - даже теми, которые в настоящее время не выполняются.

Может ли этот процесс быть вирусом?

Сам процесс является официальным компонентом Windows. Хотя возможно, что вирус заменил реальный «узел службы» собственным исполняемым файлом, но это очень маловероятно. Если вы хотите быть уверенным, вы можете проверить базовое расположение файла процесса. В диспетчере задач щелкните правой кнопкой мыши на любой процесс хоста служб и выберите опцию «Местоположение опционного файла».

Если файл хранится в вашей папке Windows\System32, вы можете быть уверены, что не имеете дело с вирусом.