佳礼资讯网

用户名  找回密码
 注册

ADVERTISEMENT

查看: 1984|回复: 13

全面瞭解系統中 svchost.exe 文件

[复制链接]
发表于 15-9-2004 03:40 PM | 显示全部楼层 |阅读模式
筆者經常在一些反病毒論壇上瀏覽時,發現一些朋友對任務管理器中的svchost進程不甚瞭解,看見存在許多svchost進程就以為自己中了病毒,其實不然。

svchost.exe是NT核心繫統非常重要的文件,對於Win2000/XP來說,不可或吽C這些svchost進程提供很多系統服務,如:rpcss服務(remote procedure call)、dmserver服務(logical disk manager)、dhcp服務(dhcp client)等等。

如果要瞭解每個svchost進程到底提供了多少系統服務,可以在WinXP的命令提示符窗口中輸入「tasklist /svc」命令來查看。

工作原理

一般來說,Windows系統進程分為獨立進程和共享進程兩種。svchost.exe文件存在於%systemroot%\system32目錄下,屬於共享進程。

隨著Windows系統服務不斷增多,為了節省系統資源,微軟把很多服務都做成共享方式,交由svchost進程來啟動。但svchost進程只作為服務宿主,並不能實現任何服務功能,即它只能提供條件讓其他服務在這裡被啟動,而它自己卻不能給用戶提供任何服務。

這些服務是如何實現的呢?原來這些系統服務是以動態鏈接庫(dll)形式實現的,它們把可執行程式指向svchost,由svchost調用相應服務的動態鏈接庫來啟動服務。

那svchost又怎麼知道某個系統服務該調用哪個動態鏈接庫呢?這是通過系統服務在註冊表中設置的參數來實現的。

具體實例

下面以Remote Registry服務為例,來看看svchost進程是如何調用DLL文件的。在WinXP中,點擊「開始→運行」,輸入「services.msc」命令,會彈出服務對話框,然後打開「Remote Registry」屬性對話框,可以看到Remote Registry服務的可執行文件的路徑為「C:\Windows\System32\svchost -k LocalService」(圖1),這說明Remote Registry服務是依靠svchost調用「LocalService」參數來實現的,而參數的內容則是存放在系統註冊表中的。

在運行對話框中輸入「regedit.exe」後回車,打開註冊表編輯器,找到「HKEY_LOCAL_MACHINE\System\currentcontrolset\services\Remote Registry」項,再找到類型為「reg_expand_sz」的「Imagepath」項,其鍵值為「%systemroot%\system32\svchost -k LocalService」(這就是在服務窗口中看到的服務啟動命令),另外在「parameters」子項中有個名為「ServiceDll」的鍵,其值為「% systemroot%\system32\regsvc.dll」,其中「regsvc.dll」就是Remote Registry服務要使用的動態鏈接庫文件。這樣svchost進程通過讀取「Remote Registry」服務註冊表訊息,就能啟動該服務了。

也正是因為svchost的重要性,所以病毒、木馬也想盡辦法來利用它,企圖利用它的特性來迷惑用戶,達到感染、入侵、破壞的目的。那麼應該如何判斷到底哪個是病毒進程呢?正常的svchost.exe文件應該存在於「C:\Windows\system32」目錄下,如果發現該文件出現在其他目錄下就要小心了。

提示:svchost.exe文件的調用路徑可以通過「系統訊息→軟體環境→正在運行任務」來查看.
回复

使用道具 举报


ADVERTISEMENT

发表于 17-9-2004 07:11 PM | 显示全部楼层
到底要怎樣看的呢????
回复

举报

该用户已被删除
发表于 19-9-2004 10:31 AM | 显示全部楼层
「系統訊息→軟體環境→正在運行任務」
这的英文是什么啊?
因为偶的电脑是英文的说~
回复

举报

raymonddic 该用户已被删除
发表于 10-10-2004 06:25 PM | 显示全部楼层
谢谢分享。。。。。。
回复

举报

发表于 11-10-2004 04:32 PM | 显示全部楼层
我想问一下。。。svhost.exe会中病毒吗???
回复

举报

发表于 12-10-2004 04:32 AM | 显示全部楼层
于 19-9-2004 10:31 AM  说 :
「系統訊息→軟體環境→正在運行任務」
这的英文是什么啊?
因为偶的电脑是英文的说~

就是用ctrl+alt+delete ,在task manager按process。
回复

举报

Follow Us
发表于 12-10-2004 04:33 AM | 显示全部楼层
一个人 于 11-10-2004 04:32 PM  说 :
我想问一下。。。svhost.exe会中病毒吗???

如果會中毒的話,你的系統早就死了。
回复

举报

发表于 14-10-2004 11:49 PM | 显示全部楼层
可是我的电脑的svhost.exe每次都会在上网时出现不懂什么error,过后我的IE就不能开new window和不能copy paste文字,这是到底是什么问题???是中了病毒吗???
回复

举报


ADVERTISEMENT

发表于 15-10-2004 02:18 AM | 显示全部楼层
是被病毒利用了。
請問你有掃到什麽毒嗎?
回复

举报

发表于 17-10-2004 12:08 AM | 显示全部楼层
就是这个病毒。。。
时常都会kacao我的电脑!!!

回复

举报

发表于 17-10-2004 01:37 AM | 显示全部楼层
一个人 于 17-10-2004 12:08 AM  说 :
就是这个病毒。。。
时常都会kacao我的电脑!!!


可以將那個路徑完全放上來嗎?
我只看到C:\WINNT\System32\svchostt......之後的就看不到後面了。

阿~~~
剛剛我沒注意看清楚,那個好像是svchostt.exe,而不是windows的svchost.exe。
就是多了一個t出來。現在的病毒很喜歡用類似的名字,讓人家很容易誤會是windows的東西。

[ Last edited by warzero on 17-10-2004 at 01:44 AM ]
回复

举报

发表于 17-10-2004 12:31 PM | 显示全部楼层
对!!!那个svhostt.exe已经被我消除了。。。可是现在我的svhost.exe还是有问题。。。
回复

举报

发表于 17-10-2004 12:39 PM | 显示全部楼层
你將那個error訊息放上來,你這樣說的話,我們根本就無法猜到是什麽問題。
回复

举报

发表于 20-10-2004 12:00 AM | 显示全部楼层
可以可以。。。
等到error出现的时候,我就将有关讯息抄下来。。。
因为error出现后,我的电脑不能copy paste东西!!!
回复

举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

 

ADVERTISEMENT



ADVERTISEMENT



ADVERTISEMENT

ADVERTISEMENT


版权所有 © 1996-2023 Cari Internet Sdn Bhd (483575-W)|IPSERVERONE 提供云主机|广告刊登|关于我们|私隐权|免控|投诉|联络|脸书|佳礼资讯网

GMT+8, 31-1-2025 04:27 AM , Processed in 0.111742 second(s), 25 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表