2021年CPU占用100%案例分析

1、資料來源：來自本人網(wǎng)絡(luò)整理！祝您工作順利！2021年cpu占用100%案例分析 cpu為什么會(huì)占用百分百呢，下面是我?guī)淼年P(guān)于cpu占用100%案例分析的內(nèi)容，歡送閱讀! cpu占用100%案例分析： 1、dllhost進(jìn)程造成cpu用法率占用100% 特征:效勞器正常cpu消耗應(yīng)當(dāng)在75%以下，而且cpu消耗應(yīng)當(dāng)是上下起伏的，出現(xiàn)這種問題的效勞器，cpu會(huì)突然始終處100%的程度，而且不會(huì)下降。查看任務(wù)管理器，可以發(fā)覺是dllhost.exe消耗了全部的cpu空閑時(shí)間，管理員在這種狀況下，只好重新啟動(dòng)iis效勞，驚奇的是，重新啟動(dòng)iis效勞后一切正常，但可能過了一段時(shí)間后，問題又再次出現(xiàn)了。

2、 挺直緣由: 有一個(gè)或多個(gè)access數(shù)據(jù)庫(kù)在屢次讀寫過程中損壞，微軟的mdac系統(tǒng)在寫入這個(gè)損壞的access文件時(shí)，asp線程處于block狀態(tài)，結(jié)果其它線程只能等待，iis被死鎖了，全部的cpu時(shí)間都消耗在dllhost中。 解決方法: 安裝一流信息監(jiān)控?cái)r截系統(tǒng)，用法其中的首席文件檢查官iis安康檢查官軟件， 啟用查找死鎖模塊，設(shè)置: -wblock=yes 監(jiān)控的名目，請(qǐng)指定您的主機(jī)的文件所在名目: -wblockdir=d:test 監(jiān)控生成的日志的文件保存位置在安裝名目的log名目中，文件名為:logblock.htm 停頓iis，再啟動(dòng)首席文件檢查官iis安康檢查官，再啟動(dòng)iis

3、，首席文件檢查官iis安康檢查官會(huì)在logblock.htm中記錄下最終寫入的access文件的。 過了一段時(shí)間后，當(dāng)問題出來時(shí)，例如cpu會(huì)再次始終處100%的程度，可以停頓iis，檢查logblock.htm所記錄的最終的十個(gè)文件，留意，最有問題的往往是計(jì)數(shù)器類的access文件，例如:*count.mdb，*count.asp，可以先把最終十個(gè)文件或有所疑心的文件刪除到回收站中，再啟動(dòng)iis，看看問題是否再次出現(xiàn)。我們信任，經(jīng)過認(rèn)真的查找后，您確定可以找到這個(gè)讓您操勞了一段時(shí)間的文件的。 找到這個(gè)文件后，可以刪除它，或下載下來，用access2000修復(fù)它，問題就解決了。 2、svcho

4、st.exe造成cpu用法率占用100% 在win.ini文件中，在windows下面，run=和load=是可能加載木馬程序的途徑，必需認(rèn)真留心它們。一般狀況下，它們的等號(hào)后面什幺都沒有，假如發(fā)覺后面跟有途徑與文件名不是你熟識(shí)的啟動(dòng)文件，你的計(jì)算機(jī)就可能中上木馬了。當(dāng)然你也得看清晰，因?yàn)楹枚嗄抉R，如aol trojan木馬，它把自身假裝成command.exe文件，假如不留意可能不會(huì)發(fā)覺它不是真正的系統(tǒng)啟動(dòng)文件。 在system.ini文件中，在boot下面有個(gè)shell=文件名。正確的文件名應(yīng)當(dāng)是explorer.exe，假如不是explorer.exe，而是shell= explorer

5、.exe 程序名，那幺后面跟著的那個(gè)程序就是木馬程序，就是說你已經(jīng)中木馬了。 在注冊(cè)表中的狀況最冗雜，通過regedit指令翻開注冊(cè)表編輯器，在點(diǎn)擊至:hkey-local-machinesoftwaremicrosoftwindowscurrentversionrun名目下，查看鍵值中有沒有自己不熟識(shí)的自動(dòng)啟動(dòng)文件，擴(kuò)展名為exe，這里切記:有的木馬程序生成的文件很像系統(tǒng)自身文件，想通過假裝蒙混過關(guān)，如acid battery v1.0木馬，它將注冊(cè)表hkey-local-machinesoftwaremicrosoftwindowscurrentversionrun下的explorer 鍵

6、值改為explorer=c:windowsexpiorer.exe，木馬程序與真正的explorer之間只有i與l的差異。當(dāng)然在注冊(cè)表中還有許多地方都可以隱藏木馬程序，如:hkey-current-usersoftwaremicrosoftwindowscurrentversionrun、hkey-users*softwaremicrosoftwindowscurrentversionrun的名目下都有可能，最好的方法就是在hkey-local-machinesoftwaremicrosoftwindowscurrentversionrun下找到木馬該病毒也稱為code red ii(紅色代碼

7、2)病毒，與早先在西方英文系統(tǒng)下流行紅色代碼病毒有點(diǎn)相反，在國(guó)際上被稱為virtualroot(虛擬名目)病毒。該蠕蟲病毒利用microsoft已知的溢出破綻，通過80端口來傳播到其它的web頁(yè)效勞器上。受感染的機(jī)器可由黑客們通過http get的懇求運(yùn)行scripts/root.exe來獲得對(duì)受感染機(jī)器的完全掌握權(quán)。 當(dāng)感染一臺(tái)效勞器勝利了以后，假如受感染的機(jī)器是中文的系統(tǒng)后，該程序會(huì)休眠2天，別的機(jī)器休眠1天。當(dāng)休眠的時(shí)間到了以后，該蠕蟲程序會(huì)使得機(jī)器重新啟動(dòng)。該蠕蟲也會(huì)檢查機(jī)器的月份是否是10月或者年份是否是2021年，假如是，受感染的效勞器也會(huì)重新啟動(dòng)。當(dāng)windows nt系統(tǒng)啟動(dòng)時(shí)

8、，nt系統(tǒng)會(huì)自動(dòng)搜尋c盤根名目下的文件explorer.exe，受該網(wǎng)絡(luò)蠕蟲程序感染的效勞器上的文件explorer.exe也就是該網(wǎng)絡(luò)蠕蟲程序本身。該文件的大小是8192字節(jié)，virtualroot網(wǎng)絡(luò)蠕蟲程序就是通過該程序來執(zhí)行的。同時(shí)，virtualroot網(wǎng)絡(luò)蠕蟲程序還將cmd.exe的文件從windows nt的system名目拷貝到別的名目，給黑客的入侵放開了大門。它還會(huì)修改系統(tǒng)的注冊(cè)表工程，通過該注冊(cè)表工程的修改，該蠕蟲程序可以建立虛擬的名目c或者d，病毒名由此而來。值得一提的是，該網(wǎng)絡(luò)蠕蟲程序除了文件explorer.exe外，其余的操作不是基于文件的，而是挺直在內(nèi)存中來進(jìn)展感

9、染、傳播的，這就給捕捉帶來了較大難度。 程序的文件名，再在整個(gè)注冊(cè)表中搜尋即可。 我們先看看微軟是怎樣描繪svchost.exe的。在微軟學(xué)問庫(kù)314056中對(duì)svchost.exe有如下描繪:svchost.exe 是從動(dòng)態(tài)鏈接庫(kù) (dll) 中運(yùn)行的效勞的通用主機(jī)進(jìn)程名稱。 其實(shí)svchost.exe是windows xp系統(tǒng)的一個(gè)核心進(jìn)程。svchost.exe不單單只出如今windows xp中，在用法nt內(nèi)核的windows系統(tǒng)中都會(huì)有svchost.exe的存在。一般在windows 2000中svchost.exe進(jìn)程的數(shù)目為2個(gè)，而在windows xp中svchost.exe

10、進(jìn)程的數(shù)目就上升到了4個(gè)及4個(gè)以上。所以看到系統(tǒng)的進(jìn)程列表中有幾個(gè)svchost.exe不用那幺擔(dān)憂。 svchost.exe究竟是做什幺用的呢? 首先我們要理解一點(diǎn)那就是windows系統(tǒng)的中的進(jìn)程分為:獨(dú)立進(jìn)程和共享進(jìn)程這兩種。由于windows系統(tǒng)中的效勞越來越多，為了節(jié)省有限的系統(tǒng)資源微軟把許多的系統(tǒng)效勞做成了共享形式。那svchost.exe在這中間是擔(dān)當(dāng)怎樣一個(gè)角色呢? svchost.exe的工作就是作為這些效勞的宿主，即由svchost.exe來啟動(dòng)這些效勞。svchost.exe只是負(fù)責(zé)為這些效勞供應(yīng)啟動(dòng)的條件，其自身并不能實(shí)現(xiàn)任何效勞的功能，也不能為用戶供應(yīng)任何效勞。svc

11、host.exe通過為這些系統(tǒng)效勞調(diào)用動(dòng)態(tài)鏈接庫(kù)(dll)的方式來啟動(dòng)系統(tǒng)效勞。 svchost.exe是病毒這種說法是任何產(chǎn)生的呢? 因?yàn)閟vchost.exe可以作為效勞的宿主來啟動(dòng)效勞，所以病毒、木馬的編寫者也挖空心思的要利用svchost.exe的這個(gè)特性來迷惑用戶到達(dá)入侵、破壞計(jì)算機(jī)的目的。 如何才能區(qū)分哪些是正常的svchost.exe進(jìn)程，而哪些是病毒進(jìn)程呢? svchost.exe的鍵值是在hkey_local_machinesoftwaremicrosoftwindows ntcurrentversionsvchost，如圖1所示。圖1中每個(gè)鍵值表示一個(gè)獨(dú)立的svchost.

12、exe組。 微軟還為我們供應(yīng)了一種觀察系統(tǒng)正在運(yùn)行在svchost.exe列表中的效勞的方法。以windows xp為例:在運(yùn)行中輸入:cmd，然后在指令行形式中輸入:tasklist /svc。系統(tǒng)列出如圖2所示的效勞列表。圖2中紅框包圍起來的區(qū)域就是svchost.exe啟動(dòng)的效勞列表。假如用法的是windows 2000系統(tǒng)那么把前面的tasklist /svc指令交換為:tlist -s即可。假如你疑心計(jì)算機(jī)有可能被病毒感染，svchost.exe的效勞出現(xiàn)異樣的話通過搜尋svchost.exe文件就可以發(fā)覺異樣狀況。一般只會(huì)找到一個(gè)在:c:windowssystem32名目下的svchost.exe程序。假如你在其它名目下發(fā)覺svchost.exe程序的話，那很可能就是中毒了。 還有一種確認(rèn)svchost.exe是否中毒的方法是在任務(wù)管理器中觀察進(jìn)程的執(zhí)行途徑。但是由于在wind