经常在一些反病毒论坛上浏览时,发现一些朋友对任务管理器中的svchost进程不甚了解,看见存在许多svchost进程就以为自己中了病毒,其实不然。
svchost.exe是NT核心系统非常重要的文件,对于Win2000/XP来说,不可或缺。这些svchost进程提供很多系统服务,如:rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等等。
如果要了解每个svchost进程到底提供了多少系统服务,可以在WinXP的命令提示符窗口中输入"tasklist /svc"命令来查看。
工作原理
一般来说,Windows系统进程分为独立进程和共享进程两种。svchost.exe文件存在于%systemroot%\system32目录下,属于共享进程。
随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务都做成共享方式,交由svchost进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。
这些服务是如何实现的呢?原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向svchost,由svchost调用相应服务的动态链接库来启动服务。
那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现的。
具体实例
下面以Remote Registry服务为例,来看看svchost进程是如何调用DLL文件的。在WinXP中,点击"开始→运行",输入"services.msc"命令,会弹出服务对话框,然后打开"Remote Registry"属性对话框,可以看到Remote Registry服务的可执行文件的路径为"C:\Windows\System32\svchost -k LocalService",这说明Remote Registry服务是依靠svchost调用"LocalService"参数来实现的,而参数的内容则是存放在系统注册表中的。
在运行对话框中输入"regedit.exe"后回车,打开注册表编辑器,找到"HKEY_LOCAL_MACHINE\System\currentcontrolset\services\Remote Registry"项,再找到类型为"reg_expand_sz"的"Imagepath"项,其键值为"%systemroot%\system32\svchost -k LocalService"(这就是在服务窗口中看到的服务启动命令),另外在"parameters"子项中有个名为"ServiceDll"的键,其值为"% systemroot%\system32\regsvc.dll",其中"regsvc.dll"就是Remote Registry服务要使用的动态链接库文件。这样svchost进程通过读取"Remote Registry"服务注册表信息,就能启动该服务了。
也正是因为svchost的重要性,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的。那么应该如何判断到底哪个是病毒进程呢?正常的svchost.exe文件应该存在于"C:\Windows\system32"目录下,如果发现该文件出现在其他目录下就要小心了。
提示:svchost.exe文件的调用路径可以通过"系统信息→软件环境→正在运行任务"来查看
0 评论:
发表评论