Parsing Svchost.exe y Explorer.exe dos procesos principales del sistema

En este artículo, nos centraremos en los procesos Svchost.exe y Explorer.exe del sistema Windows. Como dos procesos importantes en el sistema Windows, echemos un vistazo a sus características y en cada sistema operativo. Aplicacion

Explorer

En la familia de sistemas operativos Windows, se inicia un proceso llamado Explorer.exe en tiempo de ejecución. Este proceso es el principal responsable de mostrar los iconos en el escritorio del sistema y en la barra de tareas, que tiene diferentes efectos mágicos en diferentes sistemas.

Explorer en Windows 9x

En Windows 9x, este proceso es necesario para ejecutar el sistema. Si finaliza el proceso de Explorer.exe con el método de "tarea final", el sistema actualizará el escritorio y actualizará el registro. Por lo tanto, también podemos utilizar este método para actualizar rápidamente el registro. He aquí cómo:

Presione Ctrl + Alt + Supr para abrir el cuadro de diálogo Finalizar tarea. Seleccione la opción "Explorador" en el cuadro de diálogo y luego haga clic en el botón "Finalizar tarea"; aparecerá el cuadro de diálogo "Cerrar Windows". Haga clic en el botón "No", el sistema aparecerá otro cuadro de diálogo después de un rato, indicándole que el programa no responde y le preguntará si desea finalizar la tarea. Haga clic en el botón Finalizar tarea para actualizar el registro y volver al entorno del sistema Windows 9x. ¿Es esto mucho más conveniente que el engorroso proceso de reinicio?

Explorer en Windows 2000 /XP

En Windows 2000 /XP y en otros sistemas de kernel de Windows NT, el proceso Explorer.exe no es necesario para la operación del sistema, por lo que puede Terminarlo con el Administrador de tareas no afecta el funcionamiento normal del sistema. Abra el programa que necesita para ejecutar, como el Bloc de notas. Luego, haga clic con el botón derecho en la barra de tareas, seleccione "Administrador de tareas", seleccione la pestaña "Proceso", seleccione el proceso Explorer.exe en la ventana, haga clic en el botón "Finalizar proceso" y luego en el escritorio, además del fondo de pantalla (Active Desktop Active Desktop A excepción del fondo de pantalla), todos los iconos y las barras de tareas desaparecieron. En este punto todavía puede operar todo el software como de costumbre.

¿Qué sucede si desea ejecutar otro software, pero no hay nada en el escritorio en este momento? No se preocupe, hay dos formas de abrir sutilmente otro software:

El primer método: presione Ctrl + Alt + Supr, aparece el cuadro de diálogo "Seguridad de Windows", haga clic en "Administrador de tareas" Botón (o presione directamente Ctrl + Shift + Esc), seleccione la pestaña "Aplicaciones" en la ventana Administrador de tareas, haga clic en "Nueva tarea", en el cuadro de diálogo "Crear nueva tarea" que aparece, Ingrese la ruta y el nombre del software que desea abrir.

También puede seleccionar "Archivo → Abrir" en el software en ejecución. En el cuadro de diálogo "Abrir", haga clic en la lista desplegable "Tipo de archivo", seleccione "Todos los archivos" y luego busque Abra el software, haga clic derecho sobre él, seleccione el comando "Abrir" en el menú de acceso directo, puede iniciar el software que necesita. Tenga en cuenta que no es posible abrir el software haciendo clic en el botón "Abrir" en este momento. Este método es adecuado para la mayoría de los programas, a excepción de la serie Office.

Al finalizar el proceso Explorer.exe, también puede reducir la memoria utilizada por el sistema en torno a los 4520 KB, lo que sin duda acelerará el sistema y liberará un espacio valioso para los usuarios con recursos limitados.

Svchost.exe

Svchost.exe es un proceso muy importante del sistema central NT. Es indispensable para 2000 y XP. Muchos virus y troyanos también lo llamarán. Por lo tanto, una comprensión profunda de este programa es uno de los cursos obligatorios para jugar en la computadora.

Todos están familiarizados con el sistema operativo Windows, pero ¿has notado el archivo "Svchost.exe" en el sistema? Los amigos atentos encontrarán múltiples procesos "Svchost" en Windows (abra el Administrador de tareas a través de la tecla "ctrl + alt + del", que se puede ver en la pestaña "Procesos"). ¿Por qué ocurre esto? Vamos a desvelar su misterioso velo.

En la familia de sistemas operativos Windows basados ​​en el kernel NT, las diferentes versiones de Windows tienen diferentes números de procesos "Svchost", y los usuarios pueden usar el "Administrador de tareas" para ver el número de procesos. En general, Win 2000 tiene dos procesos Svchost y Win XP tiene cuatro o más procesos Svchost (verás varios procesos similares en el sistema más adelante, no determines de inmediato que el sistema tenga un virus) Y más en el servidor Win 2003. Estos procesos de Svchost proporcionan muchos servicios del sistema, tales como: servicio rpcss (llamada a procedimiento remoto), servicio dmserver (administrador de discos lógicos), servicio dhcp (clieNT dhcp).

Si desea saber cuántos servicios del sistema ofrece cada proceso de Svchost, puede ingresar el comando "tlist -s" en la ventana del indicador de comandos de Win 2000, que se proporciona con las herramientas de soporte de Win 2000. En Win XP, se usa el comando "tasklist /svc".

Svchost puede contener varios servicios

Los procesos del sistema de Windows se dividen en procesos independientes y procesos compartidos. El archivo "Svchost.exe" existe en el directorio "% systemroot% system32". Pertenece al proceso compartido. Con el aumento del número de servicios del sistema de Windows, para ahorrar recursos del sistema, Microsoft ha convertido muchos servicios en un modo compartido, que se inicia mediante el proceso Svchost.exe. Sin embargo, el proceso de Svchost solo se utiliza como host de servicio y no puede implementar ninguna función de servicio, es decir, solo puede proporcionar condiciones para que otros servicios se inicien aquí, pero no puede proporcionar ningún servicio a los usuarios. ¿Cómo se implementan estos servicios?

Originalmente, estos servicios del sistema se implementaron en forma de bibliotecas de enlaces dinámicos (DLL), que apuntan el programa ejecutable a Svchost, y Svchost llama a la biblioteca de enlaces dinámicos del servicio correspondiente para iniciar el servicio. Entonces, ¿cómo sabe Svchost a qué biblioteca de enlace dinámico llama un servicio del sistema? Esto se hace mediante los parámetros establecidos por el servicio del sistema en el registro.

Desde los parámetros de inicio se puede ver que Svchost inicia el servicio.

Debido a que el proceso Svchost inicia varios servicios, los virus y los troyanos también hacen todo lo posible para usarlo en un intento de usar sus funciones para confundir a los usuarios y lograr una infección, intrusión y destrucción (como el virus de variante shockwave "w32" .welchia.worm "). Pero es normal que el sistema de Windows tenga varios procesos de Svchost. ¿Qué proceso de virus está en la máquina infectada? Aquí hay un ejemplo para ilustrar.

Supongamos que el sistema Windows XP está infectado con "w32.welchia.worm". El archivo normal Svchost existe en el directorio "c: Windowssystem32". Si encuentra que el archivo aparece en otro directorio, tenga cuidado. El virus "w32.welchia.worm" existe en el directorio "c: Windowssystem32Win s", por lo que es fácil averiguar si el sistema está infectado con un virus utilizando el administrador de procesos para ver la ruta del archivo ejecutable del proceso de Svchost. El administrador de tareas del sistema de Windows no puede ver la ruta del proceso, puede usar un software de gestión de procesos de terceros, como el administrador de procesos "Optimizador de Windows", a través del cual puede ver fácilmente los archivos de ejecución de todos los procesos de Svchost. Las rutas deben ser detectadas y procesadas tan pronto como se encuentren en un lugar inusual.