All Codeguru and Programming

2006/May/23

ตรวจสอบ process ในเครื่อง

ก่อนหน้านี้ exteen มี error กะจะแจ้งเวบมาสเตอร์ตอนนั้นแล้วสงสัยจะนั่งทำงานเพลินอยู่แน่เลย
error กับ program เป็นของที่คู่กันอยู่แล้วอยู่ที่เราจะหาสาเหตุว่าเป็นเพราะอะไรใช้เวลานาน
แค่ไหน ก็เลยต้องรอให้เวบมาสเตอร์ของเรามาแก้ถึงจะ Post Entry นี้ได้ ...รอ..รอ..
มีหลายครั้งเลยที่เครื่องเราอืดมาก อันดับแรกจะเข้าไปดูที่ ( Ctrl+Shift+Esc )Windows Task Manager ว่าตัวการที่ใช้ทรัพยากรเครื่องเราขั้นรุนแรงหาว่าเป็นตัวไหนกันแน่ จะกำจัดมันซะต้องดู process นั้น
ด้วยว่าเป็น user process หรือ system process ถ้าจะ End Task system process ต้องระวัง
กันหน่อยเดียวจะได้บูตเครื่องไหมกันแน่ เรื่องของเราก็คือสงสัยกันไหมว่าเจ้าตัว process
svchost คื่ออะไรทำไมมันมีหลายตัว
svchost.exe(Microsoft Process Host Service) เจ้าตัวนี้มีหน้าที่ในการจัดการ process
ที่เกิดจาก File System Library หรือ dll file นั้นเองดังนั้นไม่ต้องแปลกใจที่จะเจ้าตัวนี้อาจจะมี 4-5
ตัว หรือเรียกว่า 4-5 Instance ก็เป็นได้ เพราะมันมีได้เยอะนี้เองเจ้าไวรัสทั้งหลายมักจะเอาข้อนี้
มาทำการ Copy svchost ขึ้นมาหลายๆตัว ให้ระบบของเรานั้นใช้ Memory และ Cpu มากๆ เครื่องเรา
อาจจะแฮงไปเลยก็เป็นได้ ยกตัวอย่างเช่น Virus ที่ทำการ copy scvhost ใน %System%\wins
\svchost.exe

W32.Welchia.Worm
W32.Assarm@mm

วิธีการในการตรวจสอบว่า svchost แต่ล่ะตัวกำลัง run process dll ตัวไหนอยู่ก็มีดังต่อไปนี้
1. ไปที่ start > run พิมพ์ cmd
2. พิมพ์ tasklist /svc >c:\tasklist.txt enter
3. เข้าไปดูที่ drive C:\ ก็จะมี File tasklist.txt เปิด File ด้วย NotePad ก็หาดู process แปลกๆ
ตัวอย่าง File

Image Name PID Services
========================= ========
System Idle Process 0 N/A
System 4 N/A
smss.exe 500 N/A
csrss.exe 620 N/A
winlogon.exe 788 N/A
services.exe 864 Eventlog, PlugPlay
lsass.exe 876 HTTPFilter, NtLmSsp, PolicyAgent,
ProtectedStorage, SamSs
svchost.exe 1116 DcomLaunch
svchost.exe 1216 RpcSs
MsMpEng.exe 1256 WinDefend
svchost.exe 1332 Dhcp, Dnscache
svchost.exe 1384 LmHosts, W32Time
svchost.exe 1404 AeLookupSvc, AudioSrv, BITS, Browser,
CryptSvc, dmserver, EventSystem, helpsvc,
lanmanserver, lanmanworkstation, Netman,
Nla, RasMan, Schedule, seclogon, SENS,
SharedAccess, ShellHWDetection, TrkWks,
winmgmt, wuauserv, WZCSVC
spoolsv.exe 1828 Spooler
msdtc.exe 1856 MSDTC
svchost.exe 2024 ERSvc
inetinfo.exe 216 IISADMIN, MSFtpsvc, SMTPSVC
mdm.exe 244 MDM
sqlservr.exe 364 MSSQL$SQLEXPRESS
sqlservr.exe 476 MSSQLSERVER
svchost.exe 528 RemoteRegistry
sqlbrowser.exe 576 SQLBrowser
mssearch.exe 688 MSSEARCH
svchost.exe 820 W3SVC
explorer.exe 2320 N/A
svchost.exe 2352 TermService
alg.exe 2416 ALG
svchost.exe 2664 TapiSrv
RTHDCPL.EXE 2956 N/A
acrotray.exe 2976 N/A
msnmsgr.exe 3028 N/A
wmiprvse.exe 2604 N/A
iexplore.exe 3404 N/A
WebDev.WebServer.EXE 2132 N/A
wmplayer.exe 2752 N/A
devenv.exe 3600 N/A
mmc.exe 4060 N/A
cmd.exe 3432 N/A
tasklist.exe 1396 N/A
wmiprvse.exe 3260 N/A


ถึงตอนนี้แล้วต้องถือคติที่ว่า .."รู้รักษาตัวรอดเป็นยอดดีครับ"

posted by codesnippet, at 2006-May-23 19:52:130
ชื่อ: 
เว็บไซต์: 
คอมเมนต์:




smilebig smileopen-mounthed smileconfused smilesad smileangry smiletonguequestionembarrassedsurprised smilewinkdouble winkcry

<< Home


DAEMON
View full profile