電腦高手必修系統服務 SVCHOST.exe 工作

psac · 2005-12-12, 12:27 AM

svchost.exe是nt核心繫統的非常重要的工作，對於2000、xp來說，不可或缺。很多病毒、木馬也會使用它。所以，深入瞭解這個程序，是玩電腦的必修課之一。

大家對windows操作系統一定不陌生，但你是否注意到系統中「svchost.exe」這個文件呢？細心的朋友會發現windows 中存在多個「svchost」工作（通過「ctrl+alt+del」鍵開啟工作管理器，這裡的「工作」標籤中就可看到了），為什麼會這樣呢？下面就來揭開它神秘的面紗。

發現

在關於nt內核的windows操作系統家族中，不同版本的 windows系統，存在不同數量的「svchost」工作，用戶使用「工作管理器」可檢視其工作數目。一般來說，win2000有兩個 svchost工作，winxp中則有四個或四個以上的svchost工作，而 win2003 server中則更多。這些svchost工作提供很多系統服務，如： rpcss服務（remote procedure call）、dmserver服務（logical disk manager）、dhcp服務（dhcp client）等。

如果要瞭解每個svchost工作到底提供了多少系統服務，可以在win2000的命令提示字元視窗中輸入「tlist -s」指令來查看，該指令是win2000 support tools提供的。在winxp則使用「tasklist /svc」指令。

svchost中可以包含多個服務

深入

windows系統工作分為獨立工作和共享工作兩種，「svchost.exe」文件存在於「%systemroot% system32」目錄下，它屬於共享工作。隨著windows系統服務不斷增多，為了節省系統資源，微軟把很多服務做成共享方式，交由 svchost.exe工作來啟動。但svchost工作只作為服務宿主，並不能實現任何服務功能，那這些服務是如何實現的呢？

原來這些系統服務是以動態連接庫（dll）形式實現的，它們把可執行程序指向 svchost，由svchost使用相應服務的動態連接庫來啟動服務。那svchost又怎麼知道某個系統服務該使用哪個動態連接庫呢？這是通過系統服務在註冊表中設定的參數來實現。下面來說說 rpcss（remote procedure call）服務的例子吧。

從啟動參數中可見服務是靠svchost來啟動的。

實例

以windows xp為例，點擊「開始」/「執行」，輸入「services.msc」指令，彈出服務對話視窗，然後開啟「remote procedure call」內容對話視窗，可以看到rpcss服務的可執行文件的路徑為「c:windowssystem32svchost -k rpcss」，這說明rpcss服務是依靠svchost使用「rpcss」參數來實現的，而參數的內容則是存放在系統註冊表中的。

在執行對話視窗中輸入「regedit.exe」後Enter鍵，開啟注冊表編輯器，找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]項，找到檔案類型為「reg_expand_sz」的鍵「magepath」，其鍵值為「% systemroot%system32svchost -k rpcss」（這就是在服務視窗中看到的服務啟動指令），另外在「parameters」子項中有個名為「servicedll」的鍵，其值為「% systemroot%system32rpcss.dll」，其中「rpcss.dll」就是 rpcss服務要使用的動態連接庫文件。這樣 svchost工作通過讀取「rpcss」服務註冊表訊息，就能啟動該服務了。

解惑

因為svchost工作啟動各種服務，所以病毒、木馬也想盡辦法來利用它，企圖利用它的特性來迷惑用戶，達到感染、入侵、破壞的目的（如衝擊波變種病毒「w32.welchia.worm」）。但windows系統存在多個svchost工作是很正常的，在受感染的機器中到底哪個是病毒工作呢？這裡僅舉一例來說明。

假設windows xp系統被「w32.welchia.worm」感染了。正常的svchost文件存在於「c:windowssystem32」目錄下，如果發現該檔案出現在其他目錄下就要小心了。「w32.welchia.worm」病毒存在於「c:windowssystem32wins」目錄中，因此使用工作管理器檢視 svchost工作的執行文件路徑就很容易發現系統是否感染了病毒。

windows系統原有的的工作管理器不能夠檢視工作的路徑，可以使用第三方工作管理軟體，如「windows最佳化大師」工作管理器，通過這些工具就可很容易地檢視到所有的svchost工作的執行文件路徑，一旦發現其執行路徑為不平常的位置就應該馬上進行檢測和處理。

2005-12-12, 12:27 AM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	電腦高手必修系統服務 SVCHOST.exe 工作 svchost.exe是nt核心繫統的非常重要的工作，對於2000、xp來說，不可或缺。很多病毒、木馬也會使用它。所以，深入瞭解這個程序，是玩電腦的必修課之一。大家對windows操作系統一定不陌生，但你是否注意到系統中「svchost.exe」這個文件呢？細心的朋友會發現windows 中存在多個「svchost」工作（通過「ctrl+alt+del」鍵開啟工作管理器，這裡的「工作」標籤中就可看到了），為什麼會這樣呢？下面就來揭開它神秘的面紗。發現在關於nt內核的windows操作系統家族中，不同版本的 windows系統，存在不同數量的「svchost」工作，用戶使用「工作管理器」可檢視其工作數目。一般來說，win2000有兩個 svchost工作，winxp中則有四個或四個以上的svchost工作，而 win2003 server中則更多。這些svchost工作提供很多系統服務，如： rpcss服務（remote procedure call）、dmserver服務（logical disk manager）、dhcp服務（dhcp client）等。如果要瞭解每個svchost工作到底提供了多少系統服務，可以在win2000的命令提示字元視窗中輸入「tlist -s」指令來查看，該指令是win2000 support tools提供的。在winxp則使用「tasklist /svc」指令。 svchost中可以包含多個服務深入 windows系統工作分為獨立工作和共享工作兩種，「svchost.exe」文件存在於「%systemroot% system32」目錄下，它屬於共享工作。隨著windows系統服務不斷增多，為了節省系統資源，微軟把很多服務做成共享方式，交由 svchost.exe工作來啟動。但svchost工作只作為服務宿主，並不能實現任何服務功能，那這些服務是如何實現的呢？原來這些系統服務是以動態連接庫（dll）形式實現的，它們把可執行程序指向 svchost，由svchost使用相應服務的動態連接庫來啟動服務。那svchost又怎麼知道某個系統服務該使用哪個動態連接庫呢？這是通過系統服務在註冊表中設定的參數來實現。下面來說說 rpcss（remote procedure call）服務的例子吧。從啟動參數中可見服務是靠svchost來啟動的。實例以windows xp為例，點擊「開始」/「執行」，輸入「services.msc」指令，彈出服務對話視窗，然後開啟「remote procedure call」內容對話視窗，可以看到rpcss服務的可執行文件的路徑為「c:windowssystem32svchost -k rpcss」，這說明rpcss服務是依靠svchost使用「rpcss」參數來實現的，而參數的內容則是存放在系統註冊表中的。在執行對話視窗中輸入「regedit.exe」後Enter鍵，開啟注冊表編輯器，找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]項，找到檔案類型為「reg_expand_sz」的鍵「magepath」，其鍵值為「% systemroot%system32svchost -k rpcss」（這就是在服務視窗中看到的服務啟動指令），另外在「parameters」子項中有個名為「servicedll」的鍵，其值為「% systemroot%system32rpcss.dll」，其中「rpcss.dll」就是 rpcss服務要使用的動態連接庫文件。這樣 svchost工作通過讀取「rpcss」服務註冊表訊息，就能啟動該服務了。解惑因為svchost工作啟動各種服務，所以病毒、木馬也想盡辦法來利用它，企圖利用它的特性來迷惑用戶，達到感染、入侵、破壞的目的（如衝擊波變種病毒「w32.welchia.worm」）。但windows系統存在多個svchost工作是很正常的，在受感染的機器中到底哪個是病毒工作呢？這裡僅舉一例來說明。假設windows xp系統被「w32.welchia.worm」感染了。正常的svchost文件存在於「c:windowssystem32」目錄下，如果發現該檔案出現在其他目錄下就要小心了。「w32.welchia.worm」病毒存在於「c:windowssystem32wins」目錄中，因此使用工作管理器檢視 svchost工作的執行文件路徑就很容易發現系統是否感染了病毒。 windows系統原有的的工作管理器不能夠檢視工作的路徑，可以使用第三方工作管理軟體，如「windows最佳化大師」工作管理器，通過這些工具就可很容易地檢視到所有的svchost工作的執行文件路徑，一旦發現其執行路徑為不平常的位置就應該馬上進行檢測和處理。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

Google 提供的廣告