La función del proceso Svchost.exe en el sistema Windows

El sistema Windows Svchost.exe y Explorer.exe son dos procesos muy importantes. La última vez que presentamos las habilidades de aplicación del proceso Explorer.exe, hoy presentamos Svchost. Las características del proceso exe y su aplicación en varios sistemas operativos.

Svchost.exe es un proceso muy importante del sistema central NT. Es indispensable para 2000 y XP. Muchos virus y troyanos también lo llamarán. Por lo tanto, una comprensión profunda de este programa es uno de los cursos obligatorios para jugar en la computadora.

Todos están familiarizados con el sistema operativo Windows, pero ¿has notado el archivo "Svchost.exe" en el sistema? Los amigos atentos encontrarán múltiples procesos "Svchost" en Windows (abra el administrador de tareas a través de la tecla "ctrl + alt + del", que se puede ver en la pestaña "Procesos"). ¿Por qué ocurre esto? Vamos a desvelar su misterioso velo.

En la familia de sistemas operativos Windows basados ​​en el kernel NT, las diferentes versiones de Windows tienen diferentes números de procesos "Svchost", y los usuarios pueden usar el "Administrador de tareas" para ver el número de procesos. En general, Win 2000 tiene dos procesos Svchost y Win XP tiene cuatro o más procesos Svchost (verás varios procesos similares en el sistema más adelante, no determines de inmediato que el sistema tenga un virus) Y más en el servidor Win 2003. Estos procesos de Svchost proporcionan muchos servicios del sistema, tales como: servicio rpcss (llamada a procedimiento remoto), servicio dmserver (administrador de discos lógicos), servicio dhcp (clieNT dhcp). ]

Visualización de múltiples servicios en Svchost

Si desea saber cuántos servicios del sistema proporciona cada proceso de Svchost, puede escribir "tlist -s" en la ventana del símbolo del sistema de Win 2000. El comando para ver, el comando es proporcionado por las herramientas de soporte de Win 2000. En Win XP, se usa el comando "tasklist /svc".

Los procesos del sistema de Windows se dividen en procesos independientes y procesos compartidos. El archivo "Svchost.exe" existe en el directorio "% systemroot% system32", que pertenece al proceso compartido. Con el aumento del número de servicios del sistema de Windows, para ahorrar recursos del sistema, Microsoft ha convertido muchos servicios en un modo compartido, que se inicia mediante el proceso Svchost.exe.

Pero el proceso de Svchost es solo un servidor de servicio y no puede implementar ninguna función de servicio, es decir, solo puede proporcionar condiciones para que otros servicios se inicien aquí, pero no puede proporcionar ningún servicio a los usuarios. ¿Cómo se implementan estos servicios?

Originalmente, estos servicios del sistema se implementaron en forma de bibliotecas de enlaces dinámicos (DLL), que apuntan el programa ejecutable a Svchost, y Svchost llama a la biblioteca de enlaces dinámicos del servicio correspondiente para iniciar el servicio. Entonces, ¿cómo sabe Svchost a qué biblioteca de enlace dinámico llama un servicio del sistema? Esto se hace mediante los parámetros establecidos por el servicio del sistema en el registro.

Desde los parámetros de inicio se puede ver que Svchost inicia el servicio.

Verifique si hay un proceso de virus en Svchost.

Debido a que el proceso de Svchost inicia varios servicios, el virus y el troyano también intentan utilizarlo para intentar usar sus funciones para confundir a los usuarios y lograr una infección. , el propósito de la invasión, la destrucción. Pero es normal que el sistema de Windows tenga varios procesos de Svchost. ¿Qué proceso de virus está en la máquina infectada? Aquí hay un ejemplo para ilustrar.

Supongamos que el sistema Windows XP está infectado con un virus. El archivo normal de Svchost existe en el directorio "c: \\ Windows \\ system32". Si encuentra que el archivo aparece en otro directorio, tenga cuidado. El virus existe en el directorio "c: \\ Windows \\ system32 \\ Wins", por lo que usar el Administrador de procesos para ver la ruta del archivo ejecutable del proceso de Svchost facilita ver si el sistema está infectado con un virus.

El administrador de tareas que viene con el sistema Windows no puede ver la ruta del proceso. Puede usar el software de administración de procesos de terceros. Puede ver fácilmente la ruta del archivo de ejecución de todos los procesos de Svchost a través de estas herramientas. La ruta de ejecución debe detectarse y procesarse inmediatamente si se encuentra en una posición inusual.