Windows system >> Conocimiento de Windows >  >> Tutorial del sistema de Windows XP >> Acerca de XP System Tutorial

El proceso de Svchost revela

  

Svchost.exe es un proceso muy importante en la familia de sistemas operativos de Windows basada en el núcleo de NT. Muchos virus y troyanos están estrechamente relacionados con este proceso, por lo que es necesario tener una comprensión profunda del proceso. Este artículo se centra en las capacidades del proceso de Svchost y el conocimiento asociado con él.

Descripción general del proceso de Svchost

La definición de Microsoft de "Proceso de Svchost" es: Svchost.exe es el nombre de proceso de host genérico del servicio que se ejecuta desde la biblioteca de vínculos dinámicos (DLL). El archivo Svchost.exe se encuentra en la carpeta "% SystemRoot% \\ System32 " Cuando se inicia el sistema, Svchost verificará la sección de servicios del registro para crear una lista de servicios que deben cargarse. Varias instancias de Svchost pueden ejecutarse simultáneamente. Cada sesión de Svchost puede contener un conjunto de servicios para ejecutar diferentes servicios dependiendo de cómo se inicie Svchost y dónde esté ubicado, lo que permite un mejor control y una depuración más sencilla.

El grupo Svchost se identifica mediante el registro [HKEY_LOCAL_MACHINE \\ Software \\ Microsoft \\ Windows NT \\ CurrentVersion \\ Svchost]. Cada valor bajo esta clave de registro representa un grupo Svchost separado y se muestra como una instancia separada cuando vemos el proceso activo. Los valores clave aquí son todos los valores de tipo REG_MULTI_SZ y contienen el nombre del servicio que se ejecuta en el grupo de Svchost (ver Figura 1).

Figura 1 Svchost en el registro

De hecho, Svchost es solo una serie de servicios y no implementa ninguna función. Si necesita usar Svchost para iniciar un servicio implementado por una DLL, el cargador de la DLL apunta a Svchost. Cuando se inicia el servicio, Svchost llama a la DLL del servicio para lograr el propósito de inicio. El uso de Svchost para iniciar un archivo DLL de servicio está determinado por los parámetros en el registro. Bajo la clave de registro que necesita para iniciar el servicio, hay un subelemento "Parámetros", donde la clave "ServiceDll" indica el servicio. De qué archivo DLL es responsable, y este archivo DLL debe exportar una función ServiceMain () para admitir el procesamiento de tareas de servicio.

Sugerencia: las diferentes versiones de Windows tienen diferentes números de procesos Svchost. En general, Windows 2000 tiene dos procesos Svchost, mientras que Windows XP tiene cuatro o más procesos Svchost.

Instancias de proceso de Svchost

Para ver una lista de servicios que se ejecutan en Svchost, puede ingresar el comando " Tasklist /svc " en la ventana del símbolo del sistema de Windows XP y presionar Enter para ejecutar ( Si está utilizando Windows 2000, puede usar la herramienta Tlist proporcionada por Support Tools para ver el comando como " Tlist -s "). El comando Lista de tareas muestra una lista de procesos activos, y el modificador de comando /svc especifica una lista de servicios activos en cada proceso. Como puede ver en la figura, el proceso de Svchost inicia muchos servicios del sistema, como: RpcSs (llamada a procedimiento remoto), Dhcp (cliente DHCP), servicios de Netman (conexiones de red), etc.
(Figura 2).

Figura 2 Lista de servicios de Svchost

Aquí tomamos el servicio RpcSs como ejemplo para obtener más información sobre la relación entre el proceso de Svchost y el servicio. Ejecute Regedit, abra el Editor del Registro, expanda la rama [HKEY_LOCAL_MACHINE \\ SYSTEM \\

CurrentControlSet \\ Services \\ RpcSs] y tenga una clave llamada "ServiceDll" en la sección "Parámetros". El valor es "% SystemRoot% \\ system32 \\ rpcss.dll ". Esto significa que cuando el sistema inicia el servicio RpcSs, llama al archivo de biblioteca de vínculos dinámicos Rpcss.dll en el directorio "% SystemRoot% \\ system32".

A continuación, haga doble clic en " Herramientas administrativas ↠ Servicio " desde el Panel de control para abrir la Consola de servicio. En el panel derecho, haga doble clic en el elemento de servicio "Llamada a procedimiento remoto (RPC)" para abrir su cuadro de diálogo de propiedades. Puede ver que la ruta del archivo ejecutable del servicio RpcSs es "C: \\ Windows \\ system32 \\ svchost -k Rpcss ", lo que significa que el servicio RpcSs es iniciado por Svchost, y " -k rpcss " indica que este servicio está incluido en el grupo de servicio Rpcss de Svchost.

Figura 3 Información del módulo en el proceso de Svchost

Proceso de Svchost Análisis de troyanos

De la introducción anterior ya sabemos, en el registro [HKEY_LOCAL_MACHINE La rama \\ SOFTWARE \\ Microsoft \\ Windows NT \\ Current- Version \\ Svchost] almacena los servicios iniciados por Svchost y los servicios del grupo. Muchos troyanos y virus usan esto para lograr la carga automática. Los métodos habituales son:

· Agregar un nuevo grupo, agregar el nombre del servicio al grupo;

· Agregar el nombre del servicio al grupo existente o usar el grupo existente Servicio desinstalado;

· Modifique el servicio en el grupo existente y apunte su ServiceDll a su propio archivo DLL.

Por ejemplo, PortLess BackDoor es una herramienta típica de puerta trasera que usa el proceso Svchost para cargar. Entonces, ¿cómo detecta y elimina troyanos y virus como PortLess BackDoor? Tome Windows XP como ejemplo. Primero, podemos usar la herramienta de proceso como “Process Spy” para ver la información del módulo en el proceso de Svchost (ver Figura 3). En comparación con la información del módulo anterior, podemos encontrar que hay un proceso de Svchost sospechoso. Archivo DLL " SvchostDLL.dll ". Al mismo tiempo, en la lista "Herramientas administrativas y servicio", verá un nuevo servicio "Servicios de intranet" (nombre para mostrar), este nombre de servicio es: Iprip, iniciado por Svchost, " -k netsvcs " Este servicio está incluido en el grupo de servicios Netsvcs.

Sugerencia: en Windows 2000, el servicio Iprip del sistema escucha la información de actualización de enrutamiento que envían los enrutadores mediante el Protocolo de información de enrutamiento versión 1 (RIPv1). El nombre que se muestra en la lista de servicios es “Escucha de RIP”. .

Ejecute Regedit, abra el Editor del Registro, expanda la rama [HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\

Services \\ IPRIP] y vea su <; Parámetros " subkey, donde " ServiceDll " El valor apunta a la ruta y al nombre completo del archivo DLL que llama, que es el archivo DLL de puerta trasera. Sabiendo esto, puede borrarlo haciendo clic derecho en la lista de servicios y haciendo clic derecho en el servicio "Servicios de Intranet", seleccionando "Detener" en el menú, y luego eliminando el elemento "Iprip" en la rama del registro anterior. Reinicie la computadora y luego elimine el archivo principal de puerta trasera de acuerdo con la ubicación de la clave "ServiceDll". Finalmente, se debe recordar al lector que antes de que se modifique el registro, se debe hacer la copia de seguridad para que pueda restaurarse a tiempo cuando se produce un error.

Acerca de XP System Tutorial
Conocimiento de Windows
Razones y soluciones para la computadora XP no arranca

¿Qué debo hacer si la computadora con XP no se inicia? Creo que muchos usuarios se han encontrado co
Es fácil mover su celda de Excel para ajustar automáticamente el tamaño de la fuente

. Cuando creamos una hoja de cálculo de Excel, encontraremos una cantidad excesiva de palabras. En g
Seguridad de la cuenta de Windows XP tres medidas

Contraseña de la cuenta inteligente La seguridad para proteger su propia cuenta no es una tarea fá
¿Cómo cambia el sistema WinXP el estilo del icono del escritorio?

Cuando encendemos la computadora y seguimos viendo el mismo ícono del escritorio, el usuario estará

¿Cómo juega la computadora del sistema XP LOL vuelve automáticamente al escritorio?

Recientemente, los usuarios de XP se reflejan en el juego de LOL League of Legends. Cuando la interf
Inventario: varias formas de desactivar actualizaciones automáticas xp

La actualización automática es una herramienta que actualiza automáticamente los parches del sistema
  • Habilidades de aplicación del sistema XP
  • Fundamentos del sistema XP
  • Preguntas frecuentes de XP
  • Acerca de XP System Tutorial

    • Exploración del menú de inicio de Windows7 trae una sensación diferente de frescura

    Windows 10 lanzó oficialmente Windows Insider en 2015 o continuará conservando

    Windows azul construir 9289 exposición

    Diagrama de código de estado de retorno del servidor

    ¿Cómo configurar el saludo de arranque de Win10? Win10 establece el camino para arrancar saludos

    ¿Qué debo hacer si la voz QQ del sistema win10 es demasiado pequeña?

    Solución de línea inactiva ADSL del sistema Windows 8 cuando está inactivo

    Windows 7 System Resource Manager se reinicia a menudo

    Tienes que saber el comando de la computadora para compartir

    Resuelva el problema de que WinAPN no puede conectarse a la red en Win7

  • Tutorial del sistema de Windows XP
  • Tutorial del sistema de Windows 7
  • Tutorial del sistema de Windows 8
  • Tutorial del sistema de Windows 10
  • Tutorial del sistema de Windows 2003
  • Tutorial del sistema de Windows 2008
  • Tutorial del sistema de Windows Vista
  • Síntesis de Windows Tutorial
  • Tutorial del sistema de Windows Server
  • Tutorial del sistema Linux
  • Tutorial de software de computadora
  • Tutorial de Windows NT
    • Copyright © Conocimiento de Windows All Rights Reserved