全面了解系统中 svchost.exe 文件 张贴者: Banana 张贴日期: 2004-07-10 13:11 笔者经常在一些反病毒论坛上浏览时，发现一些朋友对任务管理器中的svchost进程不甚 了解，看见存在许多svchost进程就以为自己中了病毒，其实不然。 svchost.exe是NT核心系统非常重要的文件，对於Win2000/XP来说，不可或缺。这些 svchost进程提供很多系统服务，如：rpcss服务（remote procedure call）、dmserver 服务（logical disk manager）、dhcp服务（dhcp client）等等。 如果要了解每个svchost进程到底提供了多少系统服务，可以在WinXP的命令提示符窗口中 输入「tasklist /svc」命令来查看。 工作原理 一般来说，Windows系统进程分为独立进程和共享进程两种。svchost.exe文件存在於 %systemroot%\system32目录下，属於共享进程。 随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务都做成共享方式， 交由svchost进程来启动。但svchost进程只作为服务宿主，并不能实现任何服务功能，即 它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。 这些服务是如何实现的呢?原来这些系统服务是以动态链接库（dll）形式实现的，它们把 可执行程式指向svchost，由svchost调用相应服务的动态链接库来启动服务。 那svchost又怎麽知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表 中设置的参数来实现的。 具体实例 下面以Remote Registry服务为例，来看看svchost进程是如何调用DLL文件的。在WinXP中 ，点击「开始→运行」，输入「services.msc」命令，会弹出服务对话框，然後打开「 Remote Registry」属性对话框，可以看到Remote Registry服务的可执行文件的路径为「 C:\Windows\System32\svchost -k LocalService」（图1），这说明Remote Registry服 务是依靠svchost调用「LocalService」参数来实现的，而参数的内容则是存放在系统注 册表中的。 在运行对话框中输入「regedit.exe」後回车，打开注册表编辑器，找到「 HKEY_LOCAL_MACHINE\System\currentcontrolset\services\Remote Registry」项，再找 到类型为「reg_expand_sz」的「Imagepath」项，其键值为「 %systemroot%\system32\svchost -k LocalService」（这就是在服务窗口中看到的服务 启动命令），另外在「parameters」子项中有个名为「ServiceDll」的键，其值为「% systemroot%\system32\regsvc.dll」，其中「regsvc.dll」就是Remote Registry服务要 使用的动态链接库文件。这样svchost进程通过读取「Remote Registry」服务注册表讯息 ，就能启动该服务了。 也正是因为svchost的重要性，所以病毒、木马也想尽办法来利用它，企图利用它的特性 来迷惑用户，达到感染、入侵、破坏的目的。那麽应该如何判断到底哪个是病毒进程呢? 正常的svchost.exe文件应该存在於「C:\Windows\system32」目录下，如果发现该文件出 现在其他目录下就要小心了。 提示：svchost.exe文件的调用路径可以通过「系统讯息→软体环境→正在运行任务」来 查看. CRETIX Security? - http://www.hacker.org.tw 原创作者: 电脑报 文章来源: EFASHIONBOY 正体台湾化: CRETIX Security --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 218.175.86.82 ※ 编辑: fino 来自: 218.175.86.82 (04/04 10:56)