Réponses:
c'est faisable oui. Le scvhost lui-même peut exécuter une ou plusieurs DLL Windows et ne laisse généralement personne indifférent. Cependant, Process Explorer vous aide à identifier les éléments cachés derrière le scvhost.
https://www.bleepingcomputer.com/download/process-explorer/
Bleeping computer a fait un bon aperçu de ce genre de choses et vous voudrez peut-être y jeter un coup d’œil de votre temps libre;)
https://www.bleepingcomputer.com/tutorials/list-services-running-under-svchostexe-process/
Je connais au moins deux méthodes pour identifier les services sous un certain svchost.exe process
:
Vous pouvez simplement entrer
tasklist /svc /fi "IMAGENAME eq svchost.exe
ce qui donne une sortie semblable à ceci:
Image Name PID Services
========================= ======== ============================================
svchost.exe 964 BrokerInfrastructure, DcomLaunch, LSM,
PlugPlay, Power, SystemEventsBroker
svchost.exe 364 RpcEptMapper, RpcSs
svchost.exe 1064 Appinfo, Browser, DoSvc, LanmanServer,
lfsvc, ProfSvc, RasMan, Schedule, seclogon,
SENS, SessionEnv, SharedAccess,
ShellHWDetection, Themes, UserManager,
Winmgmt, WpnService
svchost.exe 1072 CryptSvc, Dnscache, LanmanWorkstation,
NlaSvc, TapiSrv, TermService
svchost.exe 1220 AudioEndpointBuilder,
DeviceAssociationService, hidserv,
NcbService, Netman, PcaSvc, SensorService,
StorSvc, SysMain, TabletInputService,
TrkWks, UmRdpService, WdiSystemHost, wudfsv
vous pouvez alors avoir une meilleure idée de ce qui fonctionne sous un svchost.exe
En outre, j’estime que ces processus svchost ne dépendent pas entièrement les uns des autres, mais sont plutôt liés à chaque processus.
Outil de recherche Svchost.exe (outil tiers)