svchost.exe es un proceso muy importante del sistema central de nt, que es indispensable para 2000 y xp. Muchos virus y troyanos también lo llamarán. Por lo tanto, una comprensión profunda de este programa es uno de los cursos obligatorios para jugar en la computadora. Todo el mundo no es ajeno al sistema operativo Windows, pero ¿ha notado el archivo "svchost.exe" en el sistema? amigos atentos encontrarán existen múltiples y " ventanas en; svchost y " proceso (" por Y; ctrl + alt + supr y " llave para abrir el administrador de tareas, donde el y " proceso y " pestaña se puede ver), por qué es tan ? Vamos a desvelar su misterioso velo.
En la familia de sistemas operativos Windows basada en el kernel nt, diferentes versiones del sistema Windows, hay diferentes números de procesos "svchost", los usuarios usan el "administrador de tareas" para ver el número de procesos. En general, win2000 tiene dos procesos de svchost, y winxp tiene cuatro o más procesos de svchost (verá varios procesos de este tipo en el sistema más adelante, no determine inmediatamente que el sistema tiene un virus), y El servidor Win2003 es más. Estos procesos svchost proporcionan muchos servicios del sistema, como: servicio rpcss (llamada a procedimiento remoto), servicio dmserver (administrador de discos lógicos), servicio dhcp (cliente dhcp).
Si se quiere entender cada proceso svchost al final el número de servicios del sistema, se puede introducir y " en win2000 ventana de comandos; tlist -s y " comando para ver que el comando es herramientas de apoyo Win2000 previstas. En winxp, use el comando " tasklist /svc "
Svchost puede contener múltiples servicios. Los procesos del sistema de Windows se dividen en procesos independientes y procesos compartidos, el archivo "svchost.exe" existe en el directorio "% systemroot% system32", Pertenece al proceso compartido. Con el aumento del número de servicios del sistema de Windows, para ahorrar recursos del sistema, Microsoft ha convertido muchos servicios en un modo compartido, que se inicia mediante el proceso svchost.exe. Sin embargo, el proceso svchost solo sirve como host de servicio y no puede implementar ninguna función de servicio, es decir, solo puede proporcionar condiciones para que otros servicios se inicien aquí, pero no puede proporcionar ningún servicio a los usuarios. ¿Cómo se implementan estos servicios?
Los servicios del sistema original se implementan en forma de bibliotecas de enlaces dinámicos (DLL), que apuntan al programa ejecutable a svchost, y svchost llama a la biblioteca de enlaces dinámicos del servicio correspondiente para iniciar el servicio. Entonces, ¿cómo sabe svchost a qué biblioteca de enlace dinámico llama un servicio del sistema? Esto se hace mediante los parámetros establecidos por el servicio del sistema en el registro. El siguiente es un ejemplo del servicio rpcss (llamada a procedimiento remoto).
visto desde los parámetros de inicio para iniciar el servicio por ejemplo svchost de
a Windows XP, por ejemplo, haga clic en el botón " Start " /y " ", de entrada y " ejecutar; services.msc y " de comandos, servicios de pop cuadro de diálogo y, a continuación, abrir el y " llamada a procedimiento remoto y " cuadro de diálogo de propiedades, se puede ver la ruta de acceso a los servicios de archivo RPCSS ejecutables a " c: windowssystem32svchost -k rpcss y ", lo que indica que el servicio rpcss es confiar en la llamada y " svchost; rpcss y " Los parámetros se implementan y el contenido de los parámetros se almacena en el registro del sistema.
En el cuadro de diálogo Ejecutar, y " regedit.exe y " después del retorno de carro, abrir el Editor del Registro, los [HKEY_LOCAL_MACHINE systemcurrentcontrolsetservicesrpcss] artículos, encontrar el tipo de y " REG_EXPAND_SZ y " del " magepath y ", su valor es y "% SystemRoot% system32svchost -k rpcss y " (esto se ve en la ventana de comandos de inicio del servicio de servicio), mientras que en el y " parámetros " los niños tienen un llamado y " tecla, el valor de y " ServiceDll y " % systemroot% system32rpcss.dll ", donde " rpcss.dll " es el archivo de biblioteca de vínculos dinámicos que utilizará el servicio rpcss. De esta manera, el proceso de svchost puede iniciar el servicio leyendo la información de registro de servicio de " rpcss ".
dudas
debido proceso svchost comienza todo tipo de servicios, por lo que los virus, troyanos también encontrar maneras de utilizar en un intento de utilizar sus características para confundir al usuario, a la infección, la intrusión, el propósito de la destrucción (tales como variantes del virus Blaster " w32.welchia.worm "). Pero es normal que el sistema de Windows tenga varios procesos svchost. ¿Cuál es un proceso de virus en la máquina infectada? Aquí hay un ejemplo para ilustrar.
Supongamos que el sistema Windows XP está infectado con " w32.welchia.worm ". El archivo normal svchost existe en el directorio de "c: windowssystem32", y debe tener cuidado si encuentra el archivo en otros directorios. Y " W32.Welchia.Worm y " el virus está presente en el y " c: windowssystem32wins " directorio, por lo que utilizar el gestor de procesos para ver la ruta del archivo ejecutable del proceso svchost es muy fácil de averiguar si el sistema está infectado con un virus. El sistema Windows viene con el administrador de tareas, no puede ver la ruta del proceso, puede usar un software de administración de procesos de terceros, como el administrador de procesos "maestro de optimización de Windows", a través de estas herramientas puede ver fácilmente todo el proceso de svchost. Ejecute la ruta del archivo y detecte y procese tan pronto como encuentre que su ruta de ejecución es inusual.