淺析svchost.exe工作,辨明真假svchost.exe
微軟是這樣描述svchost.exe的:svchost.exe 是從動態連接庫 (DLL) 中執行的服務通用主機工作名稱。那麼........
為什麼有svchost.exe是病毒這種說法呢?
因為svchost.exe可以作為服務的宿主來啟動服務,所以病毒、木馬的編寫者也挖空心思的要利用svchost.exe的這個特性來迷惑用戶達到入侵、破壞電腦的目的。
svchost.exe是一個系統的核心工作,並不是病毒工作。但由於svchost.exe工作的特殊性,所以病毒也會千方百計的入侵svchost.exe。通過察看svchost.exe工作的執行路徑可以驗證是否中毒。如何才能辨別哪些是正常的svchost.exe工作,而哪些是病毒工作呢?
1、svchost.exe的鍵值是在HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
NTCurrentVersionSvchost」,每個鍵值表示一個獨立的svchost.exe組。
2、通過搜尋svchost.exe文件就可以發現異常情況。一般只會找到一個在:「C:WindowsSystem32」目錄下的svchost.exe程序。如果你在其它目錄下發現svchost.exe程序的話,那很可能就是中毒了。
3、在工作管理器中察看工作的執行路徑。但是由於在Windows系統原有的的工作管理器不能察看工作路徑,所以要使用第三方的工作察看工具。
svchost.exe到底是做什麼用的呢?
首先我們要瞭解一點那就是Windows系統的中的工作分為:獨立工作和共享工作這兩種。由於Windows系統中的服務越來越多,為了節約有限的系統資源微軟把很多的系統服務做成了共享模式。那svchost.exe在這中間是擔任怎樣一個角色呢?
svchost.exe的工作就是作為這些服務的宿主,即由svchost.exe來啟動這些服務。svchost.exe只是負責為這些服務提供啟動的條件,其自身並不能實現任何服務的功能,也不能為用戶提供任何服務。svchost.exe通過為這些系統服務使用動態連接庫(DLL)的方式來啟動系統服務。
svchost.exe Windows中的系統服務是以動態連接庫(DLL)的形式實現的,其中一些會把可執行程序指向svchost.exe,由它使用相應服務的動態連接庫並加上相應參數來啟動服務。正是因為它的特殊性和重要性,使它更容易成為了一些病毒木馬的宿主。
其實svchost.exe是Windows XP系統的一個核心工作。svchost.exe不單單只出現在Windows XP中,在使用NT內核的Windows系統中都會有svchost.exe的存在。一般在Windows 2000中svchost.exe工作的數目為2個,而在Windows XP中svchost.exe工作的數目就上升到了4個及4個以上。所以看到系統的工作列表中有幾個svchost.exe不用那麼擔心。
|