拨开迷雾通透看清Svchost.exe

2023年12月2日发(作者：)

维普资讯

技高一筹　投稿信箱：ｈａｒｄ＠ｎｅｔｆｒｉｅｎｄｓ　ｃｏｒｎ，ｃａ　系统应用　就会在“ｃ：＼Ｗｉｎｄｏｗｓ＼ｓｙｓｔｅｍ３２ｗｉｎｓ　文件夹下添　拨开迷雾　通透看清ｅ　经常看到有网友在询问Ｓｖｃｈｏｓｔ　ｅｘｅ进程的问题．很多　加一个Ｓｖｃｈｏｓｔ．ｅｘｅ文件。对于此类病毒　只要通　过一些进程管理工具，看其进程路径即可加以判　断。此外．还有诸如ＳＶＣＨＯＳＴ　ｅｘｅ之类病毒（名　字中间的是数字０．而不是英文字母ｏ）．靠的是　混淆名称来达到目的。　２．极度隐藏型　此类病毒是真正通过系统文件Ｓｖｃｈｏｓｔ　ｅｘｅ调　用ＤＬＬ病毒文件的。比如ＰｏｒｔＬｅｓｓ　ＢａｃｋＤｏｏｒ木马就　是借助Ｓｖｃｈｏｓｔ　ｅｘｅ来启动的．如何找出这种木马　呢，　人都对自己进程列表中的多个Ｓｖｃｈｏｓｔ　ｅｘｅ进程感到不安。　有人说它是病毒．有人说Ｗｉｎｄｏｗｓ　ＸＰ正常情况下就应该有　４～５个此类进程。那么Ｓｖｃｈｏｓｔ　ｅｘｅ到底是何方神圣呢７　首先从服务人手．因为通过Ｓｖｃｈｏｓｔ　ｅｘｅ调用　的ＤＬＬ文件都是通过注册为系统服务实现启动的。　重启后进入安全模式．在“运行”栏中执行　“Ｍｓｃｏｎｆｉｇ”命令　启动系统配置实用程序．单击　“服务”标签　然后勾选　隐藏所有Ｍｉｃｒｏｓｏｆｔ服务”．　之后便可查看到所有非微软的系统服务。在这里．　根据　制造商”　描述判断服务　的性质．可看到　库（Ｄ　Ｌ　Ｌ）中运行服务的通用主机进程名称，它位于　“％ＳｙｓｔｅｍＲｏｏｔ％＼Ｓｙｓｔｅｍ３２”文件夹中。因此肯定的是ｃ　＼ｗｉｎｄｏｗｓ＼ｓｙｓｔｅｍ３２＼ｓｖｃｈｏｓｔ　ｅｘｅ是系统正常的文件。因为它　是通用主机进程名称．不同Ｓｖｃｈｏｓｔ．ｅｘｅ调用的是不同的ＤＬＬ　文件。举个例子来说．Ｓｖｃｈｏｓｔ．ｅｘｅ　就像是多节车厢的公共汽车．每　节车厢坐着不同的乘客．而系统　其它进程就像每部小汽车．里面　只搭载了一位乘客．Ｓｖｃｈｏｓｔ同时　搭载多位乘客可以方便管理．更　好地进行控制且更加便于调试．　晰　ｔ■舢●■∞矧　蛐●嗡ｔ　腿　ｄ８　●●５●　…　，～　●●”　ｔ—唯　●■　ｍＰ　口－∞　∞　＾　嘲…ｉ…ｌ…■●ｔｅ　‘Ｄ、∞、∞¨　…∞　￡、…　１　ｌ　４　’　【　其中的ｌＰＲｌＰ就　是木马注册的　服务（如图３）。　现在来查看服务．在　”运行”栏中执行“Ｓｅｒｖｉｃｅｓ　ｍｓｃ　命令．打开服务配置　窗口．找到ＩＰＲＩＰ服务并打开　其属性窗口．可看到它的　可执行文件路径是”ｃ：　Ⅱ●……一……　￡…ｌｌｔ　ｔⅥＴｌｌ０　ｓ　【　¨！　ｔｊ　■…………’…●　　∞　∞　∞　∞　∞　∞∞∞…１６Ｉ　ｍ【　【　…　Ｅ≮　ｔ●’●　…●‘　　Ｅ　Ｅ　Ｅ　●■■■■■—●■●■■■■■●■■■●ｌ—日Ｘ　¨ｔ●●‘●ｔ－‘　…’●’●１●¨…ｌ　６Ｉ’【　……【…１…Ｉ　ｒ…１…　●‘…　・　……－＿　“…ｃ…－●●口Ｉ∞…Ｅ　ｒ…、ｉ　Ｅ　－－’Ⅱ－　…　∞　：＇帅＊【　，…【　・ｌＩ　、和　叠每舀镀；　篱鼋｜　｜　曼　比如我的进程列表中就有５个此　！　？篡　…～…９詈粤　进程【如图１）。＇鼍巴＿＝—墨＿－　—　＿二．深入了解——揭开Ｓｖｃｈｏｓｔ的神秘面纱　■每当系统启动时．Ｓｖｃｈｏｓｔ将检查注册表中的服务部分．　以构建需要加载的服务列表。每个Ｓｖｃｈｏｓｔ会话可以包含一　＼ｗｉｎｄｏｗｓ＼Ｓｙｓｔｅｍ３２＼Ｓｖｃｈｏｓｔ　组服务．以便根据Ｓｖｃｈｏｓｔ的启动方式和位置的不同．来运　ｅｘｅ－ｋ　ｎｅｔｓｖｃｓ“【如图４）。　行不同的服务。它调用的ＤＬＬ文件是由注册表【ＨＫＥＹ—ＬＯＣＡＬ　查看调用的ＤＬＬ文件．依次展开注册表中的　—ＭＡｃＨＩＮＥ＼ｓＹｓＴＥＭ＼ｃｕｒｒｅｎｔｃｏｎｔｒｏｌＳｅｔ＼Ｓｅｒｖｉｃｅｓ＼相应服务　［ＨＫＥＹ＿ＬＯＣＡＬ＿ＭＡＣＨＩＮＥ＼ＳＹＳＴＥＭ＼ＣｕｒｒｅｎｔＣｏｎｔｒｏｌＳｅｔ＼　”＼Ｐａｒａｍｅｔｅｒｓ］键右侧的“ｓｅｒｖｅｃｅｄｌｌ”值来指定的．服务列表在　Ｓｅｒｖｉｃｅｓ＼ＩＰＲｌＰ＼Ｐａ　ｒａｍｅｔｅｒｓ】键值．在这里可看到　ｆＨＫＥＹ—ＬＯＣＡＬ—ＭＡＣＨＩＮＥ＼ＳＯＦＴＷＡＲＥ＼Ｍｉｃｒｏｓｏｆｔ＼Ｗｉｎｄｏｗｓ　Ｓｒｅｖｅｃｅｄｌｒ值为　Ｃ：＼ｗｉｎｄｏｗｓ＼ｓｙｓｔｅｍ３２＼ｓｖｃｈｏｓｔｄｌ１．　．ＮＴ＇＼ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ＼ＳｖｃＨｏｓｔ］下（如　图２）。比如我这儿有７个服务．如　果这些服务全部开启的话　系统　进程列表就会出现７个Ｓｖｃｈｏｓｔ．　ｅｘｅ进程。因此Ｓｖｃｈｏｓｔ　ｅｘｅ进程有　ｄｌ１“这就是真正的木马所在。现在将其服务停止　并删除ＤＬＬ木马文件．便彻底摆平了这个恶劣的木　马。　根据上面的介绍　最后总结一下对付恶意　Ｓｖｃｈｏｓｔ　ｅｘｅ进程的通用方法　打开任务管理器查　几个。是否是病毒　关键是看它启动了几个服务．调用的　看Ｓｖｃｈｏｓｔ　ｅｘｅ进程数目．首先确定Ｓｖｃｈｏｓｔ　ｅｘｅ的　是否是病毒ＤＬＬ文件来决定的。　路径（如为非ｓｙｓｔｅｍ３２目录则为病毒）　在服务配　＿三．擦亮双眼——Ｓｖｃｈｏｓｔ．ｅｘｅ病毒巧识别　毒？这里主要有两种类型：　１．假日伪劣　置窗口中查看服务开启数量确定Ｓｖｃｈｏｓｔ．ｅｘｅ的数　＿　为什么有时候Ｓｖｃｈｏｓｔ　ｅｘｅ进程会被杀毒软件识别为病　目（如果都是系统服务则多个也属正常）　如果怀　疑有ＳｖｃＨｏｓｔ木马。用Ｍｓｃｏｎｆｉｇ确定系统新增的非　微软服务　然后通过服务配置窗口　确定服务是　ｔ．ｅｘｅ调用。如果是．则打开注册表编　Ｓｖｃｈｏｓｔ　ｅｘｅ本身并不在系统目录下　它不是系统正常　否由Ｓｖｃｈｏｓ的文件　确实是个病毒。比如Ｗ３２．Ｗｅｌｃｈｉａ　Ｗｏｒｍ病毒　它　辑器　查找其调用的ＤＬＬ文件并将其删除即可。　ｅｅ　ＷＷＷ．ｏｎｌｎｅｄｏｗｎ　ｎｅｔ／ｓｏｆｔ／１　７６０１．ｈｔｍ进程终结者１．０　・可定时杀进程的一款小工具　５９・