2023年12月15日发(作者:)

揭开系统SVCHOST进程的神秘“面纱”

Opened SVCHOST Process Mysterious "Veil"

Hu Shijiang

(Sichuan Dazhou Vocational Advanced High

School,Dazhou635000,China)

:Svchost process is very important windows system

process,windows services use it to start,but now SVCHOST

process is regarded as a "notorious",and because many

viruses,trojans want to find ways to use it,use its

features to confuse the user,so as to achieve

infection,invasion,destruction of the purpose,dry under

the many bad things.

Keywords:Svchost;Process

Svchost进程被绑定病毒或者木马后,使得许多用户一见到系统中有一个或多个SVCHOST进程就草木皆兵,怀疑系统已经中毒。

用户的怀疑不无道理,因为这些年来SVCHOST进程的确无意之中成了病毒和木马的“帮凶“,许多次的杀毒结果总有一个或多个”“文件赫赫列在查杀结果的病毒列表之中。如果不对SVCHOST进程作一个全面剖析,就不能消除广大用户的“恐SVCHOST”情结。

我们现在就来揭开这个SVCHOST进程的神秘面纱。

在windows操作系统家族中,不同版本的windows操作系统,存在不同数量的“svchost”进程,用户可以通过“任务管理器”查看其进程数目。一般来说,win2000有两个svchost进程,而winxp中则有四个或四个以上的svchost进程(特点注意:以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003 server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等。

如果要了解每个svchost进程到底提供了多少系统服务,如果是windows200的操作系统,可以在命令提示符窗口中输入“tlist -s”命令来查看,而在winxp系统中则可使用“tasklist /svc”命令来查看。

windows系统进程分可以分为独立进程和共享进程两种,而“”文件存在于“%systemroot% system32”目录下,它是属于共享进程。随着windows系统服务不断增多,为了节省系统资源,许多系统服务被做成共享方式,交由svchost进程来启动。但是svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。

那么这些服务是如何实现的呢?

原来这些系统服务是以动态链接库(DLL)的形式来实现的,

它们把可执行程序指向 svchost,由svchost调用相应服务的动态链接库来启动服务。那么svchost又怎么知道某个系统服务该调用哪个动态链接库呢?原来这是通过系统服务在注册表中设置的参数来实现。

下面我们以rpcss服务为例,进说明这个问题。

以winxp为例,点击“开始”→“运行”,输入“”命令,这时会弹出服务对话框,然后打开“remote procedure call”属性对话框,我们可以看到rpcss服务的可执行文件的路径为“c:windowssystem32svchost -k

rpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。

因为svchost进程启动系统的各种服务,所以那些病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,从而达到感染、入侵和破坏的目的,例如著名的冲击波变种病毒“”就是利用了这一点。

既然windows系统存在多个svchost进程是很正常的,那么在受感染的机器中到底哪个是病毒进程呢?我们在这里举一个实例来进行说明。

假设winxp系统被病毒“”感染了。我们知道正常的svchost文件存在于“c:windowssystem32”目录下,如果发现该文件出现在其他目录下就要小心了。“”病毒存在于

“c:windowssystem32wins”目录中,因此使用进程管理器查看svchost进程的执行文件的路径我们就很容易发现系统是否感染了病毒。由于windows系统自带的任务管理器不能够查看进程的路径,所以我们可以使用第三方进程管理软件,比如“windows优化大师”进程管理器等,通过这些工具我们就可很容易地查看到所有的svchost进程的执行文件的实际路径,一旦发现其执行路径为不正常,我们就应该马上进行检测和处理。

综上所述,,svchost进程是windows系统中的一个特殊进程,是一个特别容易被病毒及木马利用的进程,能够深入理解了svchost进程的特点,使我们炼就一双“火眼金睛”能及时发现svchost进程的异常情况并进行处理,从而确保系统的安全具有重要的意义。