“また、マルウェア製作中にWindowsをクラッシュさせ、うっかりエラーの詳細とその原因となったコードをMicrosoftに送ってしまうハッカーもかなりの数いるそうだ。”
Microsoft.comは毎秒7000~9000回の攻撃を受けている - スラッシュドット・ジャパン (via furudanuki)
2010-09-09 (via gkojay)

 Windowsのタスクマネージャでプロセスを表示した際、目につくのが「svchost.exe」というプログラムだ。同じ名前のものがズラリ と並んでいる様子は、初めて見た時は多少ギョッとする。やたらとCPUを消費している場合など、その正体を確認しようと思っても、プログラム名が同じなの でそれだけでは判断できない。よく確かめずに強制終了させた結果、Windowsの挙動がおかしくなってしまった経験を持つ人も多いだろう。

 もともとsvchost.exeはWindowsのサービスを一括管理するプログラムで、複数が同時に起動していてもおかしくないのだが、見た目 が一緒であるため各々がどのような動きをしているか判断しづらい。かつてはsvchost.exeを騙るウイルスや、svch0st.exeという偽装ウ イルスが見つかって騒ぎになったこともあった。

 今回は、このsvchost.exeの正体を解析するための3本のソフトを紹介しよう。それぞれに特徴があるので、自分にあったソフトを利用するとよいだろう。

 なお、Windows Vista/7では標準のタスクマネージャでsvchost.exeがどのサービスにひも付いているかを確認できる。まずタスクマネージャで「全ユーザー のプロセスを表示」ボタンを押し、svchost.exeの項目を右クリック。メニューから「サービスの表示」を選べばいい。Windows Vista/7ユーザーはこうした機能を利用するのも方法だ。

svchost.exeにひも付くサービスを表示できる「Svchost Process Analyzer」

 最初に紹介するのは「Svchost Process Analyzer」。名前の通り、現在動作しているsvchost.exeの詳細を表示できるソフトだ。実行ファイルの形式で配布されているため、ダウンロード後ダブルクリックすれば即利用できる。

 機能は非常にシンプルで、スキャン後に画面の上段にsvchost.exeの一覧を表示、クリックすると下段にひも付いたサービス名を表示する。 ダブルクリックするとプロパティを表示する以外に機能はなく、この画面からサービスを停止/無効化するといったこともできないが、現在動作している svchost.exeにひも付いているサービスを知るだけであれば十分だろう。

実行ファイルの形式で配布しているためインストールは不要だ。ダブルクリックすると即スキャン開始。上段にsvchost.exeの一覧、 下段にひもづいたサービスを表示する。Windows標準でないsvchost.exeのアイコンは異なる色で表示。1つずつチェックしていけば、停止で きるサービスや、不審なサービスが見分けられる
本日のレシピ(その1)
ソフト名 対応OS 利用料 提供元
Svchost Process Analyzer Windows 7/Vista/XP/2000、Windows Server 2003/2008 無料 Neuber Software

svchost.exeとサービスの関係をツリー表示――「svchost Viewer」

 次に紹介するのは「svchost Viewer」だ。こちらもsvchost.exeの動作状況を見極めるのに特化したソフトで、ダウンロード後解凍してダブルクリックするだけで、インストールなしで利用できる。

 表示はツリー形式で、それぞれのサービスのメモリ使用量のほか、開始が自動か手動か、また停止して問題がないかどうかといった詳細情報を見られる のが特徴だ。各サービスの詳細な説明についても、先の「Svchost Process Analyzer」に比べるとこちらのほうが見やすいように感じる。

左列のツリー表示をクリックして展開する。右列の上には各svchost.exeのメモリ消費量などの情報、下にはsvchost.exe にひも付けられたサービスを表示。ちなみにチェックボックスはステータスの表示用であり、ここでマウスを用いてオンオフ
本日のレシピ(その2)
ソフト名 対応OS 利用料 提供元
svchostviewer Windows 7/Vista/XP 無料 ShoDXK

svchost.exe以外もステータスを表示――「Process Explorer」

 最後に紹介するのはマイクロソフトのMark Russinovich氏が作成した「Process Explorer」だ。svchost.exeに限らず、Windows上で動いているさまざまなプロセスを表示してくれるソフトだ。タスクマネージャの 上位版と考えてよい。実際、これ自体をタスクマネージャに置き換えて使うこともできる。

 画面はエクスプローラに近いレイアウトになっており、CPUの使用量などもリアルタイムで表示してくれる。またベンダー名も表示してくれるので、 サービス名だけでは判断がつきにくい場合も手がかりになる。svchost.exeの正体を探るという目的においてはややオーバースペックな感もあるが、 今回紹介した3本の中でどれか1本だけ使うとすれば、これということになるだろうか。

エクスプローラライクな画面。svchost.exeに限らずさまざまなプロセスを表示してくれる。動作中か否かを色分けしてくれるので見 やすい。右は各プロセスの詳細画面。この画面から実際にプロセスを停止/無効化することもできるので、不審なプログラムを発見した場合の対応も容易だ
本日のレシピ(その3)
ソフト名 対応OS 利用料 作者
Process Explorer Windows XP以降 無料 Mark Russinovich氏
誠 Biz.ID:3分LifeHacking:あやしい「svchost.exe」にご用心――3つの“素性確認”ソフト (via darylfranz)