svchost.exe: хост службы в тестах операционной системы Windows

Если ваша система Windows работает нормально, у вас, вероятно, нет причин использовать диспетчер задач или отслеживать отдельные процессы и службы. Пользователям ПК редко приходится отслеживать запущенные службы или фоновые приложения, так же как автовладельцам редко приходится заглядывать под капот своих автомобилей. Тем не менее, изучить основы мониторинга системы и ознакомиться с наиболее важными системными программами не помешает, особенно если вы полагаетесь на свой компьютер в работе. В конце концов, проблемы часто появляются в самые неподходящие моменты. Вам следует следить за запущенными процессами, если вы столкнулись с одной из следующих проблем:

• Необъяснимо высокое использование системных ресурсов, например, чрезвычайно высокая загрузка процессора
• Сбой программ или зависание окон
• Вы подозреваете наличие вирусов на вашем компьютере
• Вы не можете открыть программы, которые были установлены правильно

Процесс svchost.exe сразу же выделяется при проверке запущенных приложений. Обычно вы увидите несколько его запущенных экземпляров, а иногда даже несколько десятков. Название программы — это аббревиатура от service host. Это означает, что это программа, которая может использоваться другими программами или службами. В результате исходная программа, стоящая за процессом, который вы отслеживаете, не сразу распознается.

Как системная программа, svchost.exe находится в системной папке «WindowsSystem32». Это защищенная папка, к которой не могут получить доступ пользователи, не имеющие привилегий администратора. Программа запускается диспетчером управления службами (SCM) после запуска системы. SCM управляет списком запускаемых служб в реестре Windows. После запуска системы SCM запускает экземпляр svchost.exe как процесс для каждой службы, указанной в реестре.

В принципе, несколько служб можно объединить в один процесс. Однако на мощных компьютерах Windows обычно запускает отдельный процесс для каждой службы. Это позволяет легче различать отдельные процессы. Это является преимуществом, когда процесс «падает», то есть переходит в неопределенное состояние. В таких случаях сбойную задачу можно закрыть, не затрагивая другие программы.

Вам может быть интересно, зачем вообще нужно дополнительное программное обеспечение для запуска служб. Это связано с повышением эффективности и специфическими концепциями, такими как библиотеки динамических связей (DLL). DLL используют svchost.exe для запуска службы. Вообще говоря, эти библиотеки состоят из кода, который может использоваться различными программными приложениями и при необходимости динамически интегрироваться (связываться). Во-первых, это экономит дисковое пространство, поскольку не каждая программа должна включать функции библиотеки. Во-вторых, это способствует модульности. Библиотеки DLL можно настраивать и обновлять независимо от используемого программного обеспечения.

Благодаря своим уникальным свойствам динамические библиотеки поддерживают обычные программы, которым требуется обширный код для самостоятельной работы. Они также решают проблему того, что определенные ресурсы программы (например, встроенные функции) обычно не могут напрямую управляться другими программами. Система в основном использует библиотеки DLL для обеспечения функций, которые требуются нескольким программам.

Если вы определили, что процесс svchost.exe является причиной проблем в вашей системе, есть несколько способов проверить его.

Одним из эффективных инструментов является диспетчер задач Windows, который обычно вызывается с помощью комбинации клавиш Ctrl + Shift + Esc. Кроме того, вы можете набрать «Диспетчер задач» в поисковой строке и запустить приложение из результатов поиска.

Диспетчер задач имеет несколько вкладок. По умолчанию открывается представление «Процессы». В нем отображается процент использования системных ресурсов каждым запущенным процессом, включая использование процессора, памяти, сети и диска. Вы можете изменить способ сортировки списка, щелкнув по заголовку столбца. Процессы названы в честь соответствующих программ. В Windows 10 процессы svchost.exe начинаются с «Service Host», за которым следует описание запущенной службы. В более ранних версиях Windows имя svchost.exe появлялось непосредственно в списке процессов.

Все службы можно просмотреть с помощью системного приложения «Службы». Чтобы открыть это приложение, просто откройте диалоговое окно «Выполнить» из меню Пуск (значок Windows) и введите следующее:

В контекстном меню каждой из перечисленных служб можно выбрать пункт Свойства. В этом окне отображается путь к связанному исполняемому файлу. Также отображается имя службы и краткое описание. Таким образом, вы можете определить функцию службы. На вкладке Зависимости можно просмотреть другие службы, которые зависят от данной службы.

Если вы не против использовать инструмент командной строки, программа taskliste.exe является хорошей альтернативой. Эта программа поставляется предустановленной в Windows 10 и очень проста в использовании. В предыдущих версиях похожая программа называлась «tlist.exe». Начните с открытия программы Command Prompt (cmd.exe). Чтобы увидеть список всех экземпляров svchost.exe с соответствующим идентификатором процесса и службами, запущенными в каждом экземпляре, введите следующую команду в командную строку Windows:

Microsoft предлагает сторонние бесплатные программы, такие как Process Explorer, разработанный известным автором и инсайдером Windows Марком Руссиновичем. Эта программа внешне похожа на Диспетчер задач, но обладает гораздо более широким набором функций. Например, вы можете легко увидеть, какие процессы вызвали другие процессы. Кроме того, щелчком правой кнопки мыши можно открыть контекстное меню для получения более подробной информации. Например, можно просмотреть не только программу, связанную с процессом, но и запись в реестре. Еще один вариант — отправить программное обеспечение непосредственно на платформу VirusTotal для проверки.

Процесс svchost.exe часто кажется подозрительным, когда вы проверяете систему, зараженную вредоносным ПО. Одной из причин этого является то, что базовая служба не всегда сразу распознается. Кроме того, нельзя исключать возможность того, что вредоносное ПО использует функцию процесса и присоединяется к нему. Киберпреступники часто пользуются тем, что этот процесс настолько распространен.

Определить, какие процессы являются легитимными, непросто. Начните с проверки правильности написания процесса. Например, вредоносные программы часто используют схожие по написанию процессы, такие как scvhost.exe или svhost.exe. Вы также можете использовать описанный выше метод для просмотра пути к исполняемому файлу. Файл всегда должен быть расположен в каталоге «WindowsSystem32», иначе это не легитимный системный процесс.

Связанные службы дают дополнительные подсказки. Если эти службы являются известными системными функциями Windows, очень маловероятно, что причиной ваших проблем является вредоносное ПО. Вкладка «Подробности» в диспетчере задач предоставляет дополнительную информацию. В свойствах можно просмотреть цифровую подпись (сертификат) создателя для svchost.exe, эмитентом всегда должна быть Microsoft.

Если программа с графическим интерфейсом пользователя перестала отвечать на запросы, может быть полезно вручную завершить связанный с ней процесс. Также возможно, что вы случайно запустили несколько экземпляров программы, дважды щелкнув по значку программы несколько раз. Здесь также можно завершить процессы, чтобы вернуться к использованию программы как обычно. Вы можете закрыть процессы, подобные svchost.exe, в диспетчере задач. Для этого перейдите в раздел «Процессы» и просто щелкните правой кнопкой мыши по процессу и выберите «Завершить задачу».

Если экземпляр svchost.exe продолжает вызывать проблемы даже после перезагрузки, у вас есть возможность вручную отключить процесс в приложении «Службы». Но прежде чем это сделать, необходимо определить функцию службы, которую вы хотите отключить, если это возможно. В противном случае существует риск, что система может работать неправильно после перезагрузки компьютера.

Как вы можете видеть, svchost.exe — это совершенно нормальный, но очень уникальный процесс. Он запускается в нескольких экземплярах по уважительной причине. Это не означает, что ваша система работает неправильно или заражена вредоносным ПО. Теперь вы можете относительно легко просмотреть назначение каждого отдельного процесса в диспетчере задач Windows. А при необходимости вы можете вручную завершить svchost.exe, как и любой другой процесс.