2007年4月30日星期一

svchost.exe 工作原理及实例,以及如何理解病毒和svchost.exe的关系


经常在一些反病毒论坛上浏览时,发现一些朋友对任务管理器中的svchost进程不甚了解,看见存在许多svchost进程就以为自己中了病毒,其实不然。

svchost.exe是NT核心系统非常重要的文件,对于Win2000/XP来说,不可或缺。这些svchost进程提供很多系统服务,如:rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等等。



如果要了解每个svchost进程到底提供了多少系统服务,可以在WinXP的命令提示符窗口中输入"tasklist /svc"命令来查看。

工作原理

一般来说,Windows系统进程分为独立进程和共享进程两种。svchost.exe文件存在于%systemroot%\system32目录下,属于共享进程。

随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务都做成共享方式,交由svchost进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。

这些服务是如何实现的呢?原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向svchost,由svchost调用相应服务的动态链接库来启动服务。

那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现的。

具体实例

下面以Remote Registry服务为例,来看看svchost进程是如何调用DLL文件的。在WinXP中,点击"开始→运行",输入"services.msc"命令,会弹出服务对话框,然后打开"Remote Registry"属性对话框,可以看到Remote Registry服务的可执行文件的路径为"C:\Windows\System32\svchost -k LocalService",这说明Remote Registry服务是依靠svchost调用"LocalService"参数来实现的,而参数的内容则是存放在系统注册表中的。

在运行对话框中输入"regedit.exe"后回车,打开注册表编辑器,找到"HKEY_LOCAL_MACHINE\System\currentcontrolset\services\Remote Registry"项,再找到类型为"reg_expand_sz"的"Imagepath"项,其键值为"%systemroot%\system32\svchost -k LocalService"(这就是在服务窗口中看到的服务启动命令),另外在"parameters"子项中有个名为"ServiceDll"的键,其值为"% systemroot%\system32\regsvc.dll",其中"regsvc.dll"就是Remote Registry服务要使用的动态链接库文件。这样svchost进程通过读取"Remote Registry"服务注册表信息,就能启动该服务了。

也正是因为svchost的重要性,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的。那么应该如何判断到底哪个是病毒进程呢?正常的svchost.exe文件应该存在于"C:\Windows\system32"目录下,如果发现该文件出现在其他目录下就要小心了。

提示:svchost.exe文件的调用路径可以通过"系统信息→软件环境→正在运行任务"来查看


Related Posts:

  • ADSL 错误代码表Error 602 The port is already open问题:拨号网络网络由于设备安装错误或正在使用,不能进行连接原因:RasPPPoE没有完全和正确的安装解决:卸载干净任何PPPoE软件,重新安装Error 605 Cannot set port information问题:拨号网络网络由于设备安装错误不能设定使用端口原因:RasPPPoE没有完全和正确的安装解决:卸载干净任何PPPoE软件,重新安装Error 606 The po… Read More
  • 硬盘故障提示信息的含义和硬盘故障的代码一 硬盘故障提示信息的含义(1)Date error(数据错误)从软盘或硬盘上读取的数据存在不可修复错误,磁盘上有坏扇区和坏的文件分配表。(2)Hard disk configuration error(硬盘配置错误)硬盘配置不正确,跳线不对,硬盘参数设置不正确等。(3)Hard disk controller failure(硬盘控制器失效)控制器卡(多功能卡)松动,连线不对,硬盘参数设置不正确等。(4)Hard disk failure(硬盘… Read More
  • 攻防兼备 让你的QQ密码不被盗走一、别让QQ大盗进门   在前面的文章中,可以看到黑客是利用"呼噜QQ大盗综合版"类似的木马来盗Q的,因此要让自己不受攻击保证QQ的安全,首先要阻止QQ大盗进入我们的电脑。一般黑客是通过QQ文件传输、Email或网站挂马几种方式传播QQ大盗木马的,因此防范QQ被盗,首先可从这几方面入手。1.QQ文件传输要安全腾讯QQ早就为防止黑客通过QQ传播木马设置了一系列的防护功能,只是许多用户没有用好它而已。点击QQ面板上的"菜单"→"设置"→"安全设置"命… Read More
  • 神秘"五角星"入驻电脑 你怎么办?有网友反映,其装有Windows XP系统的电脑在开机的时突然弹出一个窗口,在电脑右下角处,窗口上显示:"无法完成正版Windows验证.单击此处获得关于此问题的帮助"(如图).相信您和您的朋友一定遇到这种问题了(用我们的话说叫中招了),遇上这种问题,您如何解决呢(图一)10秒后关闭,在电脑的右下角驻留一个蓝色的五角星(如图二)(图二)鼠标左键指向的五角星图标鼠标右键指向的五角星图标这让使用盗版Windows操作系统的网友多少有些无奈,"毕竟俺是… Read More
  • 怎么做GHOST系统(简单易学)原作者:江南才子一、准备工作:1、事先准备好以下软件(1)S&R&SV9.6.0819(2)DllcacheManager(3)EasyBoot5.09破解版(4)UltraISO8.0绿色版(5)VPC2004Lite(6)系统优化DIY_Y1.6(7)瑞星卡卡助手最新版本(网上下载)(8)全自动垃圾文件整理(9)下载好最新补丁(网上下载)2、事先做好以下图片(1)系统安装时的画面(文件名setup)(规格1024×768 bm… Read More

0 评论: