今天在检查一台Windows 11 24H2 电脑的运行状态时,发现其内部有一个有点可疑的服务,名为“ZTHELPER”,说它“可疑”,是因为这个服务并没有任何有效的描述(显示“<读取描述失败。错误代码: 15100 >”),而且使用系统内置账户“NT AUTHORITY\SYSTEM”进行启动的,启动后依附于“svchost.exe”进程,感觉有点像病毒的特征:
不过在默认的情况下,该服务并没有启动。
找到另外一台同样安装了 Windows 11 24H2的电脑,该电脑跟刚刚的电脑一样,都是打了最新的补丁,也同样发现这个服务,而且属性基本都一样,不过笔者又看了一下旁边的 Windows 10 22H2系统,并没有发现这个服务的存在。
后来笔者在网上搜索了一下相关的信息,但是截止发文为止,网上关于这个服务的说明是少之又少,甚至也在Deepseek上面问了一下,得到的回答都只是怀疑是某个国产软件的后台服务。
最终在微软的论坛上面找到了答案,翻译过来就是:ZTHelper.exe是Windows的一个合法的新组件,与微软的Zero Trust DNS工作相关联,这是微软Zero Trust安全架构的一部分。(原文见:https://answers.microsoft.com/en-us/windows/forum/all/what-is-it-zthelper/1bde09dc-06f5-42b5-b916-7ac509f03a1a)另外,笔者也查询了解了一下,该服务是微软知识库KB5058411更新补丁(2025 年 5 月 13 日—KB5058411 (OS 内部版本 26100.4061)所带来的,笔者在旧版的 Windows 11 虚拟机上测试了一下,在安装这个补丁前并没有发现这个服务,安装这个补丁后,这个服务就出现了,具体见下图:
因此基本可以确定如下:
1、ZTHelper.exe 是正常的系统内置服务,默认启动设定为手动启动,如果不需要使用微软的 Zero Trust DNS ,可以保持手动启动状态,或者禁用;
2、这个服务微软2025年5月的补丁 KB5058411 带来的。
