วิธีดูว่า svchost.exe รันอะไรอยู่

ระหว่างการท่องเที่ยวบนโลกไซเบอร์เรอร์ เอ๊ย ไซเบอร์เฉยๆ ก็ไปเจ๊อเจอกับบทความหนึงเข้าชื่อ Identify Loaded SVCHOST.EXE in Windows Task List ก็เลยนั่งอ่านไปดูซักหน่อย เห็นได้ประโยชน์ดีมากมายเลยเอามาเขียนเป็นไทย โดยใช้ภาษาค่อนข้างไทย (@@) เอ๊ะ มันยังไง โดยบทความของคุณ Raymond คนนี้เขียนถึงวิธีการดูว่า svchost.exe นั้นมันรัน Service อะไรอยู่ ก็ดูใน Task Manager ก็เห็นแต่ svchost.exe ตั้งหลายตัวนะ ไม่รู้มันรันทำไมหลายตัวจัง

ซึ่งเจ้าพวกคุณ svchost.exe ทั้งหลายเนี๊ยจะทำการ run ไฟล์ dll (dynamic link lybraly) โดยเราสามารถดูว่าแต่ละตัวนั้น run อะไรอยู่จาก Command line โดยเข้าไปที่ Start->Run พิม cmd ทุบ Enter หนึ่งที(กดเอาก็ได้นะ ไม่ว่ากัน) แล้วก็พิม

tasklist /svc /fi "IMAGENAME eq svchost.exe"

มันก็จะบอกว่า svchost.exe Process ID ที่เท่าไหร่ run Service ตัวไหนอยู่ แต่ถ้าอยากดูแบบละเอียดก็ต้องใช้โปรแกรมช่วยซักหน่อยซึ่งมันก็เป็นโปรแกรมที่เรียนได้ว่าเป็นที่นิยมและรู้จักกันอย่างแพร่หลายนั้นคือเจ้า Process Explorer นั้นเอง เมือเราเปิดโปรแกรม ขึ้นมาให้เราเอา Mouse ไปชี้มันจะบอกรายละเอียดเหมือนของผมในภาพ

พอดูตัวของผมกด PrtSc เอาเลยไม่เห็น Mouse ผมเลยลากวงกลมล้อมแทนละกันเน๊อ ตัวที่ผมเอา Mouse วางบนนั้นคือ Remote Procedure Call (RPC) (RpcSs) จากนั้นลองไปคลิกขวาที่ My Computer แล้วเลือก Manage เลือกที่ Service And Application แล้วเลือก Service ที่ด้านขวามองหา Remote Procedure Call (RPC) ดังภาพ

ให้เราดับเบิลคลิกขึ้นมา

เราจะเห็นตรง Name Service จะเป็นชื่อที่เราเจอในตอนที่เราใช้ Command line หาในตอนแรกครับผม ^^" จบแล้ว

ที่มา : http://www.raymond.cc/blog/archives/2007/08/23/identify-loaded-svchostexe-in-windows-task-list