揭开Svchost
svchostexe是什么进程
svchost.exe是什么进程svchost.exe是什么进程svchost.exe是什么进程Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
这个程序对系统的正常运行是非常重要,而且是不能被结束的。
svchost.exe在windows进程中占据很大一部分的资源,svchost.exe非常容易被病毒所利用。
svchost.exe病毒利用之后,系统常会弹出svchost.exe错误,当然 svchost.exe 病毒也有专杀工具。
我们知道 Windows 和 Windows 的应用软件都要使用大量的 DLL(Dynamic Link Libraries,动态链接库)文件,这些 DLL文件一般都要向Windows申请各种各样的Service(服务),而Svchost. exe 就是其中一些服务的通用管理进程名(Generic Host Process Name),简单的说,Svchost.exe是这些服务的总称。
每一个Svchost. exe 进程以一个 Group(组)的方式分组管理各种服务,每一个Svchost.exe服务。
svchost是什么Windows XP 中可以有多个 Svchost.exe 进程同时运行,之所以这样设计是为了更为方便地分类控制和调试各个进程和服务。
Svchost.exe在Windows XP的系统目录WindowsSystem32 下,在启动的时候,Svchost.exe根据注册表中的相关信息建立一个服务列表并根据这个列表加载相关的服务。
一般来说,Svchost.exe 总是根据HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionSvchost下面的键值分组管理DLL 申请的服务,这里的每一键值对应一个独立的Svchost.exe进程,也就是说这里的键值就是在任务管理器中我们看到的Svchost.exe进程。
svchost.exe是什么进程?
svchost.exe是什么进程?首先要明确一点svchost.exe这个东西本身并不是病毒程序,它只是系统里边一个不可缺少的进程,不管是什么操作系统(2000,xp,2003,win7)都会存在这个进程。
当然有时候病毒、木马也会利用svchost.exe这个进程。
看完本文介绍后你就会明白,为什么你的系统里会有很多这样的进程了,而且数量多少还会不一样。
任务管理器中的svchost.exe进程什么是svchost.exe进程?简单的说:svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
这个程序对系统的正常运行是非常重要,而且是不能被结束的。
windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在“%systemroot%system32”目录下,它属于共享进程。
随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。
但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。
Service Host Process是一个标准的动态连接库主机处理服务。
Svchost.exe文件对那些从动态连接库(DLL)中运行的服务来说是一个普通的主机进程名。
在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。
这就会使多个Svchost.exe在同一时间运行。
Windows 2000一般有2个Svchost进程,一个是RPCSS(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个Svchost.exe;而在windows XP中,则一般有4个以上的Svchost.exe服务进程;Windows 2003 server中则更多。
svchost.exe是什么进程,是病毒吗?
svchost.exe是什么进程,是病毒吗?一、svchost.exe是什么svchost.exe是windows操作系统一个非常重要的进程模块。
因此很多病毒都利用svchost.exe来迷惑大家。
但是只要我们仔细观察就会知道是不是病毒。
正常的XP操作系统下有五到六个svchost.exe进程,其中SYSTEM用户名下有3个svchost.exe,NETWORK SERVICE用户名下有2个svchost.exe,LOCAL SERVICE用户名下有1个svchost.exe。
其他系统也是大致如此,他们的用户名都是SYSTEM、NETWORK SERVICE、LOCAL SERVICE这三个,如果不是这三个用户名那么就有可能是病毒了。
而且还有非常重要的一点就是正常的svchost.exe这个程序是在windows\system32这个目录下。
如果其它目录下有svchost.exe那肯定就是病毒了。
进程里面的svchost.exe个数不重要,关键看他是什么用户名而且位置是不是在windows\system32这个目录下。
举个例子:木马很喜欢安装在C:\windows\目录下,因为很具有迷惑性哦,其实它就是木马,将它杀掉。
二、SVCHOST.EXE病毒辨别通常情况下svchost.exe不会是病毒的。
病毒程序没有办法覆盖系统的svchost.exe。
他们一般是采用混淆的方式,让用户产生错觉。
一般是把svchost.exe里面的o改成0,注意一个是欧一个是零,改成这样svch0st.exe,让你很难看出来的。
还有一种就是大小写欺骗,木马通常写成SVCHOST.EXE(全大些)或者svchost.EXE(部分大些)等等,而正常的操作系统一般是小写的,所有发现进程里有这些特征的,首先要怀疑是木马,查查毒,分析文件,确认是木马就将其杀掉。
三、SVCHOST.EXE病毒查杀方法SVCHOST.EXE这个病毒一般有以下几种情况1、直接是SVCHOST.EXE这个文件但放在其他目录下。
Svchost.exe进程介绍Svchost病毒清除方法
Svchost.exe进程介绍Svchost病毒清除方法Svchost.exe在windows进程中占据很大一部分的资源,而且这个进程非常容易被病毒所利用。
Svchost.exe被病毒利用之后,系统常会弹出Svchost.exe错误,当然Svchost病毒也有专杀工具。
那么Svchost.exe是什么进程呢?Svchost病毒又该怎么去清除呢?接下来就让我们一起来了解下吧。
很多朋友对Svchost进程都不太了解,有时在工作管理员中一旦看到有多个该进程,就以为自己的电脑中了病毒或木马,其实并非如此!正常情况下,windows中可以有多个Svchost.exe进程同时运行,例如Windows 2000至少有2个Svchost进程,Windows XP中有4个以上,Windows 2003中则有更多,所以当你看到多个Svchost进程时,未必就是病毒!Svchost.exe是什么?Svchost.exe文件存在于“%system root%system32”(例如C:Windowssystem32)目录下,它是Windows NT核心的重要进程(Windows 9X没有该进程),专门为系统启动各种服务的。
例如Svchost.exe调用rpcss.dll档,就会启动rpcss服务(remote procedure call).Svchost.exe实际上是一个服务宿主,它本身并不能给使用者提供任何服务,但是可以用来运行动态连结程式库DLL档,从而启动对应的服务。
Svchost.exe进程可以同时启动多个服务。
Svchost.exe是一个系统的核心进程,并不是病毒进程。
但由于Svchost.exe进程的特殊性,所以病毒也会千方百计的入侵Svchost.exe。
通过查看Svchost.exe进程的执行路径可以确认是否中毒如果你怀疑电脑有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索Svchost.exe档就可以发现异常情况。
揭开系统SVCHOST进程的神秘“面纱”
“ l s — ”命 令来 查 看 , tit s 而在 w np系统 中则 可使 用 “ a k i t ix t s ls /v ”命 令 来查 看 。 se w n o s系 统进 程 分 可 以分 为独 立进 程和 共 享进 程 两种 ,而 i dw “ v h s . x ” 文 件 存 在 于 “ s s e r 0 % s s e 3 ” 目录 s co t ee % ytm o t y tm 2 下 ,它是 属 于共 享进 程 。随 着 wn o s系统 服 务不 断增 多 ,为 了 idw 节 省 系统 资源 ,许 多系统 服 务被 做 成共 享方 式 ,交 由 s co t进 vhs 程来 启动 。但是 sco t进程 只 作 为服 务宿 主 ,并 不 能实 现任 何 vh s 服务 功能 ,即它 只 能提 供条 件 让其 他 服务 在这 里 被 启动 , 而它 自 己却 不能 给 用户 提供 任何 服 务 。 那 么 这 些服 务是 如何 实 现 的呢 ? 原来 这 些系 统服 务 是 以动态 链 接库 ( L ) 的形式 来 实现 的 , DL 它们 把可 执 行程 序指 向 sc o t 由 sc o t 用 相应 服 务 的动 vhs, vh s 调 态链 接库 来 启动 服 务 。那 么 s c o t又 怎 么知道 某 个系 统服 务 该 vhs 调用 哪个 动 态链 接库 呢 ? 原来 这 是通 过系 统 服务 在注 册 表 中设 置 的参 数来 实 现 。 下面 我们 以 r c s 务 为例 ,进 说明这 个 问题 。 ps 服 以 w n p 为 例 , 点 击 “开 始 ” 一 “运 行 ” , 输 入 ix “ e v csm c 命 令 , 这 时 会 弹 出 服 务 对 话 框 , 然 后 打 开 sr i e .s ”
Windows系统中Svchost进程详解
计 算 机 与 瓣 络 创 新 生 活
Wi ws n 蘩统牵 翱 ◇ 瓤 黼 弹解
W id ws 统 的 S c ot x no 系 v h se e和 E — . x
来 查 看 , 该 命 令 是 wi 0 0 sp o t n 2 0 u p r to 提 供 的 。 W i XP则使 用 “ slt ol s 在 n tk s a i / c命 令 。 s ” v W id w 系 统 进 程 分 为 独 立 进 程 no s 和 共 享 进 程 两 种 . S c ot x ” 文 件 存 “ v h se e .
指 向 S c ot v h s.由 S c ot 用 相 应 服 务 vh s调
不 能 够 查 看 进 程 的 路 径 , 可 以 使 用 第 三 方 进 程 管 理 软 件 ,通 过 这 些 工 具 就 可 很 容 易 地 查 看 到 所 有 的 S c ot v h s 进
( c  ̄ NT 等 。 d pc e ) h
己却 不 能 给 用 户提 供 任 何 服 务 。那 这 些 服 务 是 如 何 实现 的呢 ?
ቤተ መጻሕፍቲ ባይዱ
多 个 S cot 程 是 很 正 常 的 ,假 设 vh s 进
W id ws no XP系 统 被 病 毒 感 染 了 。正 常
的 S c o t 件 存 在 于 “ :W id wsss vh s文 c\ n o \y—
的 动 态链 接 库 来 启 动 服 务 。 S c ot 那 v h s 又 怎 么 知 道 某 个 系 统 服 务 该 调 用 哪 个 动 态链 接 库 呢 ? 这 是通 过 系统 服 务 在 注 册 表 中设 置 的参 数 来 实现 。
亦真亦假的Svchost.exe
系统档案:亦真亦假的Svchost.exe作者:软件DIY 责任编辑:caihao√了解Svchost.exe的功能√判断真假Svchost.exe进程√清除伪装成Svchost.exe的病毒、木马关于“系统蓝色档案”栏目Svchost.exe、lsass.exe、wdfmgr.exe,打开进程列表后你会发现一大堆不知用途的进程,究竟是系统进程还是木马病毒?如果打开系统文件夹,一大堆奇奇怪怪名称的文件,更是会把你弄得晕头转向。
很多朋友因此而始终抱有一种未知的恐惧,认为木马、黑客无处不在,即使是高手,也不能把这些陌生的系统文件说个明明白白。
为消除大家的疑惑,从这期开始为大家带来一档新的连载栏目——系统蓝色档案为大家曝光这些隐秘文件的秘密。
两位主人公,现在就来认识一下。
主人公介绍小菜:刚接触电脑不久的菜鸟,但对电脑知识有着非常浓厚的学习兴趣,常说的一句话是“菜鸟先飞”。
大嘴:乐于助人的老鸟,经常被别人冠以“大嘴高手”称号,不过这并不是指他嘴特别大,而是一谈到电脑知识就滔滔不绝。
一、紧急状况:系统发现严重病毒小菜刚刚学习了进程的概念和知识,于是就打开“任务管理器”观察系统中的进程,这一看不要紧,还真发现了一个“病毒”——Svchost.exe,这家伙在系统进程列表中竟然有5个之多(见图1),于是小菜就逐个结束这些进程,没想到第二个进程结束后还会再生,而结束第四个进程时更离谱,系统提示“系统即将关机,离关机还有60秒”,进程再生、错误提示,这些典型的病毒“症状”更让小菜相信“Svchost.exe”是病毒无疑,但无法结束进程,又该怎么清除病毒呢?小菜只好请来了大嘴。
图1 数量众多的SVCHOST进程大嘴过来后还没看电脑,就先告诉小菜,系统中的Svchost.exe进程是正常系统进程,不是病毒,不仅仅是你,其他朋友一看到系统中这么多的Svchost.exe进程,第一反应也感觉它是病毒,虽然系统中有多个Svchost.exe进程是正常的,但也不保证都是正常的。
解决svchost进程错误及病毒
系统常会弹出svchost.exe进程错误。
大多是因为中毒导致的。
也有打印机驱动装错了!导致svchost.exe进程报错!很多用户都不知道为什么有svchost.exe这个系统进程!其实每个NT系列内核中都有svchost.exe进程,而且不止一个svchost.exe进程。
那究竟svchost.exe 进程提供那些服务?这里小编将对svchost.exe进程进行详解;NT系列内核中,svchost.exe进程本身只是作为服务宿主,只是在程序调用时或启动这些服务时由svchost调用相应服务的动态链接库来启动服务。
简单的说svchost.exe是动态链接库。
在不同的windows系统中svchost.exe提供不同服务。
如rpcss服务(remote procedure call)等。
因为svchost.exe进程的特殊性!所以很多病毒和木马利用了这一特殊,伪装成svchost.exe进程,进行潜伏和破环!因此对与此类病毒一般用户只能使用使用svchost.exe 病毒专杀来删除病毒!
在此提供相关的svchost.exe病毒清除方法,来解决此类问题!
1.用户可以使用任务管理器关闭svchost.exe进程(例如要杀的Svchost进程,其PID是844)。
2.倘若无法关闭可以点击“开始”“程序”“附件”“命令提示符”,在命令提示符下,输入命令ntsd -c q -p 844即可杀掉Svchost进程(PID是844%systemroot%\System32目录)。
这类病毒的共同之处在与它们都不在%systemroot%\System32目录下!因此比较好解决。
svchost是什么
svchost是什么CPU是电脑的重要组成部分,是不可缺少的角色。
下面是店铺带来的关于svchost是什么的内容,欢迎阅读!svchost是什么:svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
这个程序对系统的正常运行是非常重要,而且是不能被结束的。
用途说明svchost.exe可以几个同时存在,windows 2000一般有2个svchost进程,一个是RPCSS(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个svchost.exe。
而在windows XP 中,则一般有4个以上的svchost.exe服务进程,在XP之后的系统中则更多(WIN7一般是6个,但所有系统中数目都不是绝对的,有时候多一点少一点也是正常现象,是不是病毒也不能杞人忧天,需要用合理的方法来判断),可以看出把更多的系统内置服务以共享进程方式由svchost启动是ms的一个趋势。
这样做在一定程度上减少了系统资源的消耗,不过也带来一定的不稳定因素,因为任何一个共享进程的服务因为错误退出进程就会导致整个进程中的所有服务都退出。
该进程无法用任务管理器终止,如果用工具强制终止会立刻得到提示并自动关机(如果没有,说明该进程有问题,但不要轻易尝试终止这个进程!)。
另外,有很多的windows7(64位)系统中,系统盘下的SysWOW64文件夹(位于Windows文件夹内)内存在一个svchost.exe,即使有也不必惊慌,没有任何证据表明这是一个可疑的文件,大多安全工具都没有指出它有问题,而且它拥有完整的信息(版本号、公司等等),这应该是一个系统进程,因此不必担心。
文件信息以下信息均来自于文件网,请不要随便添加来自某些下载网站的蹩脚介绍误导他人![1] 注释: svchost.exe是一类通用的进程名称。
SvcHost详解
.text:01001128 ; start+65j
.text:01001128 push esi ; lpMem
.text:01001129 call HeapFreeMem
.text:010010E5 mov dword_100301C, eax
.text:010010EA mov dword_1003018, eax
.text:010010EF call ds:InitializeCriticalSection
.text:010010F5 call ds:GetCommandLineW
3. Svchost代码
现在我们基本清楚svchost的原理了,但是要自己写一个DLL形式的服务,由svchost来启动,仅有上边的信息还有些问题不是很清楚。比如我们在导出的ServiceMain()函数中接收的参数是ANSI还是Unicode?我们是否需要调用RegisterServiceCtrlHandler和StartServiceCtrlDispatcher来注册服务控制及调度函数?
这些问题要通过查看svchost代码获得。下边的代码是windows 2000+ service pack 4 的svchost反汇编片段,可以看出svchost程序还是很简单的。
主函数首先调用ProcCommandLine()对命令行进行分析,获得要启动的服务组,然后调用SvcHostOptions()查询该服务组的选项和服务组的所有服务,并使用一个数据结构 svcTable 来保存这些服务及其服务的DLL,然后调用PrepareSvcTable() 函数创建 SERVICE_TABLE_ENTRY 结构,把所有处理函数SERVICE_MAIN_FUNCTION 指向自己的一个函数FuncServiceMain(),最后调用API StartServiceCtrlDispatcher() 注册这些服务的调度函数。
木马防御技巧之Wincfg和Svhost后门清除
木马防御技巧之Wincfg和Svhost后门清除最近发现有一种木马:包括的进程名字有:Wincfgs.exe和Svchost.EXE。
目前发现的现象是:启动时候会自动弹出记事本,且会在进程的启动项中多增加Adobe的进程,不过Adobe是被木马调用的,本身不是木马。
(这是很菜的木马,一般按我提供以下方法可以清除)个人分析:这种木马很可能是通过WORD文件在磁盘介质进程传播。
警告大家在使用U盘,软盘拷贝WORD和其他文本文件时候,最好先杀毒。
以下是手动清除:在清除前请在文件夹选项里设置“显示所有文件”和显示“隐藏受保护的操作系统文件”。
(1)清除Svchost.exewindows\system32里面的svchost.exe一般是正常的系统程序。
如果在在WINDOWS目录下的,如果发现svchost.exe,先结束掉系统进程,在把该文件删除(注意:在XP系统中,很多个的进程都是svchost,但一般的系统进程用户都是SYSTEM,如果该进程是与你的用户名字使用,说明是木马程序)(2)清除Wincfgs.exeWincfgs.exe文件一般是在WINDOWS-\SYSTEM32目录下,也同样是先结束进程,再删除该文件。
然后进入注册表:regeditHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中,如果出现上面2个进程名字,则删除键属性值。
svchost占用电脑网速、内存?教你解决~
svchost占用电脑网速、内存?教你解决~
Svchost.exe是一个属于微软视窗操作系统的系统程序。
微软官方解释如下:svchost.exe是从动态链接库运行的服务的通用主机进程名。
Svchost不仅会占用电脑内存,还会抢你的网络。
今天,将向您展示如何关闭 svchost
设置方法如下
1.右键单击[这台电脑]并选择[管理]。
2.双击打开[服务和应用程序]中的[服务]。
3.找到【Background Intelligent Transfer Service】,点击[停
止]。
4.右键单击【Background Intelligent Transfer Service】,然后选择属性。
5.选择手动作为启动类型,然后单击确定。
重点:经过以上设置,svchost不会一直占用网速和内存。
操作非常简单。
快去试试吧!。
进程、端口、PID、木马---四者关系详解
进程、端口、PID 、木马---关系详解如果发现一些从没见过的端口号,你怎样分辨出该端口是不是木马开放的端口?或者在进程列表中发现陌生的进程时,是否想知道该进程在你的系统中开了什么端口?或者配置木马web 时,会有80端口被占用的情况,怎么办?一、进程--〉PID 号 (1)二、PID 号--〉端口号 (3)三、端口号--〉PID 号--〉进程 (4)四、揭开SVCHOST.exe 进程之谜 (10)一、进程--〉PID 号 首先在开始菜单的“运行”框中输入“cmd ”进入命令提示符窗口,先键入“tasklist ”命令将列出系统正在运行的进程列表,就可以找到你要查的进程所对应的“PID ”号了,比如查看inetinfo.exe 的PID 号为1536。
注:还可以查看调用DLL 模块文件的进程列表,Tasklist/M [module],列出所有其中符合指定模式名的 DLL 模块的所有任务。
如果没有指定模块名,则显示每个任务加载的所有模块,如“Tasklist /m shell32.dll”即可显示这些进程的列表。
注意:一般灰鸽子木马分两部分:客户端和服务端。
黑客操纵着客户端,利用客户端配置生成出一个服务端程序。
服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个木马,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载…… G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。
G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。
Svchost进程揭秘
这里我们以RpcSs服务为例,来具体了解一下Svchost进程与服务的关系。运行Regedit,打开注册表编辑器,依次展开[HKEY_LOCAL_MACHINE\\SYSTEM\\
CurrentControlSet\\Services\\RpcSs ]分支,在“Parameters”子项中有个名为“ServiceDll”的键,其值为“%SystemRoot%\\system32\\rpcss.dll”。这表示系统启动RpcSs服务时,调用“%SystemRoot%\\system32”目录下的Rpcss.dll动态链接库文件。
Services\\IPRIP]分支,查看其“Parameters”子项,其中“ServiceDll”键值指向调用的DLL文件路径和全称,这正是后门的DLL文件。知道了这些,就可以动手清除了:在服务列表用右键单击“Intranet Services”服务,从菜单中选择“停止”,然后在上述注册表分支中删除“Iprip”项。重新启动计算机,再按照“ServiceDll”键值提示的位置删除后门程序主文件即可。最后需要提醒读者的是,对注册表进行修改前,应做好备份工作,以便出现错误时能够及时还原
· 添加一个新的组,在组里添加服务名;
· 在现有的组里添加服务名或者利用现有组ቤተ መጻሕፍቲ ባይዱ个未安装的服务;
· 修改现有组里的服务,将它的ServiceDll指向自己的DLL文件。
例如PortLess BackDoor就是一款典型的利用Svchost进程加载的后门工具。那么对于像PortLess BackDoor这样的木马、病毒,该如何检测并清除呢?以Windows XP为例,首先我们可以利用“进程间谍”这样的进程工具查看Svchost进程中的模块信息(如图3),并与之前的模块信息比较,可以发现Svchost进程中有一个可疑的DLL文件“SvchostDLL.dll”。同时,在“管理工具→服务”列表中会看到一项新的服务“Intranet Services”(显示名称),此服务名称为:Iprip,由Svchost启动,“-k netsvcs”表示此服务包含在Netsvcs服务组中
如何处理Svchost.exe病毒
例如rpcss(Remote Procedure Call)在注册表中的位置是 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs,它的参数子键Parameters里有这样一项:
"ServiceDll"=REG_EXPAND_SZ:"%SystemRoot%system32 pcss.dll"
当启动rpcss服务时,svchost就会调用rpcss.dll,并且执行其ServiceMain()函数执行具体服务。
既然这些服务是使用共享进程方式由svchost启动的,为什么系统中会有多个svchost进程呢?ms把这些服务分为几组,同组服务共享一个svchost进程,不同组服务使用多个svchost进程,组的区别是由服务的可执行程序后边的参数决定的。
原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向 svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remote procedure call)服务为例,进行讲解。
如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看,该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。
svchost中可以包含多个服务
深入
windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot% system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由 svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢?
电脑开机提示svchost.exe应用程序错误怎么办
电脑开机提示svchost.exe应用程序错误怎么办相信不少人在电脑开机的时候出现svchost.exe应用程序错误的现象,那么应该怎么解决呢?下面小编就和大家分享电脑开机提示svchost.exe应用程序错误解决方法,来欣赏一下吧。
电脑开机提示svchost.exe应用程序错误解决方法按住ctrl+alt+del三个键。
打开任务管理器,点击文件。
点击新建任务。
输入explorer,回车。
回到桌面,点击开始,打开运行。
输入cmd。
在命今行中输入netsh winsock reset,回车,关闭对话框重新启动电脑即可。
电脑开机提示脚本错误怎么办当我们的电脑出现脚本错误的情况时,就说明我们要对电脑修复了,首先要关闭掉脚本错误的窗口。
对于脚本错误的,首先可以点击打开到电脑的开始菜单,然后找到相应的输入栏,输入命令。
在开始菜单的输入栏中输入regsvr32 jscript.dll命令,选择确定,再一次出现提示后,确定即可。
对于电脑错误的情况,可以点击电脑中的腾讯电脑管家,然后找到工具箱点击打开。
然后点击打开电脑门诊功能,电脑门诊打开后,在搜索功能栏中输入相关的电脑症状。
在等待搜索出来后,我们可以看到相关的结果,然后点击进入到相关的页面中,对电脑完成修复即可。
电脑开机提示硬盘错误怎么办检测硬盘本身是否有问题方法:将硬盘连接到别的电脑上,如果能正常识别,说明硬盘本身没有问题。
检测数据线是否有问题方法:更换一根好的硬盘数据线,如果开机故障仍旧存在,说明也不是数据线的问题。
清理主板上硬盘接口方法:检查主板上硬盘数据线接口,如果发现上面灰尘较多,就用软毛刷清理接口上灰尘,再用小皮老虎吹掉残余灰尘。
重新启动电脑方法:清理干净主板上硬盘数据线接口后,重新连接硬盘数据线和硬盘,开机测试,电脑顺利启动,则故障排除。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
揭开Svchost.exe进程之谜
Svchost.exe是NT核心系统的非常重要的进程,对于Windows 2000/XP来说,不可或缺。
很多病毒、木马也会调用它。
所以,深入了解这个程序,是玩电脑的必修课之一。
大家对Windows操作系统一定不陌生,但你是否注意到系统中“Svchost.exe”这个文件呢?细心的朋友会发现Windows中存在多个“Svchost”进程(通过“ctrl+alt+del”键打开任务管理器,这里的“进程”标签中就可看到了),为什么会这样呢?下面就来揭开它神秘的面纱。
发现
在基于NT内核的Windows*作系统家族中,不同版本的Windows系统,存在不同数量的“Svchost”进程,用户使用“任务管理器”可查看其进程数目。
一般来说,Windows 2000有两个Svchost进程,Windows XP中则有四个或四个以上的Svchost 进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而Windows 2003 server中则更多。
这些Svchost 进程提供很多系统服务,如:rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp clieNT)等。
如果要了解每个Svchost进程到底提供了多少系统服务,可以在Windows 2000的命令提示符窗口中输入“tlist -s”命令来查看,该命令是Windows 2000 support tools提供的。
在winxp则使用“tasklist /svc”命令。
Svchost中可以包含多个服务。
深入
Windows系统进程分为独立进程和共享进程两种,“Svchost.exe”文件存在于“%systemroot% system32”目录下,它属于共享进程。
随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由 Svchost.exe 进程来启动。
但Svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。
那这些服务是如何实现的呢?
原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向 Svchost,由Svchost调用相应服务的动态链接库来启动服务。
那Svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。
下面就以rpcss(remote procedure call)服务为例,进行讲解。
从启动参数中可见服务是靠Svchost来启动的。
实例
以Windows xp为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“remote procedure call”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:\Windows\system32\Svchost -k rpcss”,这说明rpcss服务是依靠Svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。
在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[hkey_local_machine systemcurreNTcoNTrolsetservicesrpcss]项,找到类型为“reg_expand_sz”的键“magepath”,其键值为
“%systemroot%system32Svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“servicedll”的键,其值为“% systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。
这样 Svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。
解惑
因为Svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。
但Windows系统存在多个Svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。
假设Windows xp系统被“w32.welchia.worm”感染了。
正常的Svchost文件存在于“c:\Windows\system32”目录下,如果发现该文件出现在其他目录下就要小心了。
“w32.welchia.worm”病毒存在于“c:\Windows\system32wins”目录中,因此使用进程管理器查看Svchost进程的执行文件路径就很容易发现系统是否感染了病毒。
Windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“Windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的Svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。
作用
问:我的系统进程里有四个Svchost.exe,听说有些木马就是伪装成系统的进程,不知道这个是不是?
答:Svchost.exe存在 %windir%\system32\wins下。
如果怀疑Svchost.exe是病毒可以通过以下方法来证实是不是病毒:
1、可以去Windows目录找找有无多余;
2、可以搜搜Windows文件夹中 Svchost.exe看看有几个(应为1个);
3、tlist -s察看;
4、也可以下载一个可以看带路径名的进程的浏览工具。
问:Svchost.exe是起什么作用的进程?
答:Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。
Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。
在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。
这就会使多个Svchost.exe在同一时间运行。
每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。
这样就更加容易控制和查找错误。
Svchost.exe组是用下面的注册表值来识别。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost]每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的例子。
每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。
每个Svchost组都包含一个或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service。
由于篇幅的关系,不能对Svchost全部功能进行详细介绍,这是一个Windows中的一个特殊进程,有兴趣的可参考有
关技术资料进一步去了解它。