1. svchost.exe
시스템 서비스는 DLL(동적 링크 라이브러리) 형식으로 구현되므로 실행 프로그램을 scvhost로 지정하고 cvhost는 다음의 동적 링크를 호출합니다. 해당 서비스를 시작하는 라이브러리입니다. 바이러스는 종종 이 프로세스 파일을 사용하여 svch0st.exe, schvost.exe, scvhost.exe 등으로 위장합니다. 문자의 경우 변경은 여러 형태로 지속될 수 있습니다.
시스템 호출 보기: 여기에서 "제어판" → "관리 도구" → 서비스를 열고 "클립북" 서비스를 두 번 클릭하면 해당 속성 패널에서 해당 실행 파일 경로를 찾을 수 있습니다. "C:WINDOWSsystem32clipsrv.exe"입니다. "Alerter" 서비스를 다시 더블클릭하면 실행 파일 경로가 "C:WINDOWSsystem32svchost.exe -k LocalService"이고, "Server" 서비스의 실행 파일 경로가 "C:WINDOWSsystem32svchost.exe - k netsvcs".
svchost.exe의 실행 파일 경로가 C:WINDOWSsystem32 디렉터리 외부에 있는 경우 바이러스 변장으로 판단할 수 있습니다.
시스템 프로세스 라인 수: Windows 2000 시스템에는 일반적으로 두 개의 svchost.exe 프로세스가 있습니다. 하나는 RPCSS(RemoteProcedureCall) 서비스 프로세스이고 다른 하나는 여러 서비스에서 공유하는 svchost.exe입니다. WindowsXP에는 일반적으로 4~5개의 svchost.exe 서비스 프로세스가 있습니다. svchost.exe 프로세스 수가 5개 이상일 경우 가짜 바이러스일 수 있으므로 주의가 필요합니다.