菜鸟宝典:浅析Svchost.exe进程

现在有很多的黑客初学者朋友们可能都不知道Svchost.exe进程,现在我就利用这篇文章来和大家详细解说一下Svchost.exe进程。

先和大家举个例子吧,例如我们打开任务管理器查看进程页面突然发现,尽然有好多个Svchost.exe在运行。这个时候一些初学者黑客可能就要开始下结论了,这台电脑一定是中了病毒了,该怎么办呢?其实这种情况并不一定就是中毒了,因为Windows在运行的时候是可以有多个Svchost.exe在运行的。例如2000版有两个,XP版有四个,2003版中则会有更多。所以这样并不代表就是中毒了。接下来我们就来详细的扒一扒吧。

1.Svchost.exe进程是干什么的呢?

Svchost.exe文件主要是存在于“%system root%\system32”通常是在在C盘的Windows\system32这个目录下面,他是NY核心windows的重要进程,专门为系统启动各种服务的,例如Svchost.exe调用rpcss.dll文件,就会启动rpcss服务。

Svchost.exe实际上是一个服务宿主,它本身并不能给用户提供任何的服务,但是可以用老运行动态链接库DLL文件,从而启动相对应的服务,但是可以用来运行链接库DLL文件,从而启动相对应的服务,每一个Svchost.exe进程可以同时启动多个服务文件。

2.Svchost是如何启动系统服务的?

由于系统服务都是以动态链接库DLL形式实现的,它们把可执行程序指向Svchost,因此Svchost只要调用某个动态链接库,即可启动应对服务,那么Svchost启动不向服务时,不知道应该调用哪个动态链接库?这是由于系统服务在注册表中都设置了相关的参数,因此

Svchost通过读取某服务在注册表中的信息,即可知道应该调用哪个动态链接库,从而启动该服务。

下面我们以Svchost启动helpsvc服务为例子,,介绍其启动服务的方法,.在Windows xp中点击开始-运行,输入services.msc命令,弹出服务对话框,然后双击打开,“Helpand Support”服务属性对话框,可以看到hpipsvc服务的可执行文件路径为,C:\WINDOWS\SYSTEM32\SVCHOST.EXE,说明helpsvc服务是依靠SVCHOST调用“netsvcs"参数来实现的,而参数的内容则是存放在系统注册表中的,在运行对话框中输入regedit.exe,回车,打开注册表编辑器,找到HKEY LOCAL MACHINE\SYSTEM\CurrentControlset\servicec\helpsvs项,找到类型为REG EXPAND SZ的键,这就是在服务窗口中看到的服务启动命令,另外在Parameters子项中有个名为AerviceDll的键,其值为%WINDI,R%\PCHEALTH\HEIPCTR,其中Pchsvc服务要使用的动态链接库文件,这样,svchost进程通过读取,helpsvc服务注册表信息就能通过启动该项目了。

3.现在Svchost到底启用了哪些服务?

如果你想了解每个Svchost,进程现在到底提供了哪些系统服务,可以在命令提示符下输入命令来查看,例如在windows xp中,打开命令提示符,按键输入t,asklist/svc命令查看,在在windows2000中,则输入,list-s命令来查看。

如果你在windows xp中想得到所有进程的详细信息,可以打开命令提示符按键输入

asklist/svc命令,于是在当前目录中将会生成一个ABC txt文件,其内容就是当前正在运行的所有进程情况,例如进程名PID号,该进程启动了哪些服务。

4.如何发现Svchost进程有问题?

由于Svchost进程可以启动各种服务,因此各种病毒木马也经常伪装成各种系统的dll文件,使得Svchost调用它们,从而进入内存中运行感染和控制电脑。

现在我们来和大家说一说对策,在这里我建议大家使用windows优化大师进程管理器,查看所有进程的执行文件路径,正常的文件Svchost应该储存于C:windows\system32目录下,如果你发现其执行路径在其他目录下,那么你的电脑就可能感染了病毒或者木马应该马上进行检测和处理.

5.Svchost进程杀不掉怎么办?

如果有些Svchost进程,你在任务管理器中无法关闭,那么可以使用ntsd命令来杀掉它。

首先需要了解,想要杀掉的Svchost进程他的PID是多少?在windows xp你可以先打开任务管理器,点击进入进程选项卡,然后进入他们的查看页面中,在查看页面中选择选择列,在弹出的窗口中,勾选PID(进程标识符),然后回到任务管理器中即可看见PID了。

接下来我们就可以关闭该进程,点击开始页面进入运行页面输cmd,在命令提示符下输入命令ntsd-c q-p 844即可杀掉Svchost进程。

以上就是这个Svchost进程的作用解析。

本文来自危险漫步博客转载请注明;

本文地址:http://www.weixianmanbu.com/article/908.html

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,547评论 6 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,399评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,428评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,599评论 1 274
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,612评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,577评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,941评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,603评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,852评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,605评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,693评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,375评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,955评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,936评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,172评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 43,970评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,414评论 2 342

推荐阅读更多精彩内容