|
|
这个问题历史上应该有不少人提到过。最近也有不少人因为QQ读取历史记录的原因添加了相应的规则,于是就拦下了svchost,最好也集中解释一下。
我是用了网友分享的规则:
https://bbs.huorong.cn/forum.php?mod=viewthread&tid=79335
今天拦下了svchost.exe,但是拦截界面上没有PID,也没有服务详情,不知道拦下来的是个啥。查安全日志可以看到PID,但是要多绕一步,比较麻烦。
我希望拦截弹窗上至少可以显示出具体是属于哪个服务的进程,至少至少可以显示一个PID。Win10 1703以来只要内存大于3.5GB时,就已经会默认拆分svchost.exe,尽量避免多个服务共享同一个svchost.exe进程了。
如果能进一步判断,比如把系统自身服务白名单就好了——当然这个问题貌似有点麻烦,以我二把刀的理解,也许会存在放行伪装过的恶意软件,或是系统进程被恶意注入劫持的情况……
|
|
收藏