史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 作業系統操作技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2003-07-31, 11:20 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 系統 - SVCHOST.EXE的工作

Svchost本身只是作為服務宿主,並不實現任何服務功能,需要Svchost啟動的服務以動態連接庫形式實現,在安裝這些服務時,把服務的可執行程序指向svchost,啟動這些服務時由svchost使用相應服務的動態連接庫來啟動服務。要瞭解每個SVCHOST工作到底提供了多少系統服務,可以在Win2000的指令提示字元視窗中輸入「Tlist -S」指令來檢視,該指令是Win2000 Support Tools提供的。在WinXP則使用「tasklist /svc」指令。

Q:
每次啟動後CPU 佔用都是100%。把SVCHOST。EXE工作結束後就到2%左右。能不能不讓這個工作執行?
A:
SVCHOST牽扯到好幾個系統工作的執行 一般不要關閉!
svchost系統工作,或許有好幾個...........工作CPU佔用率是多少?
開啟工作管理器,一個電腦正常的時候,只有兩個svc的工作,如太多了!
有時更多或減少變化是應有的,覺的不太放心的話...............
假如環移你自的系統,可能出問題了! 可看看是不是中木馬了!木馬克星掃描試試

Svchost.exe文件對那些從動態連接庫中執行的服務來說是一個普通的主機工作名。Svhost.exe文件定位
在系統的%systemroot%\system32資料夾下。在啟動的時候,Svchost.exe檢查註冊表中的位置來構建需要
載入的服務列表。這就會使多個Svchost.exe在同一時間執行。每個Svchost.exe的回話期間都包含一組服務,
以至於單獨的服務必須依靠Svchost.exe怎樣和在那裡啟動。這樣就更加容易控制和搜尋錯誤。

Svchost.exe 組是用下面的註冊表值來識別。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每個在這個鍵下的值代表一個獨立的Svchost組,並且當你正在看活動的工作時,它顯示作為一個單獨的
例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括執行在Svchost組內的服務。每個Svchost組都包含一個
或多個從註冊表值中選取的服務名,這個服務的參數值包含了一個ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service

Q:
在WIN2K3里面,SVCHOST.EXE的工作有5個?
我發現SVCHOST.EXE同樣名字的工作居然有5個?大家都是這樣的嗎?
還有一個ccApp.exe,這是什麼程序?有沒有用?可以禁止嗎?

A:
才5個 我都8個了
有時候很多有時候很少
這個應該要算是XP的安全隱患了,因為從工作裡看不出到底是什麼程序在執行。
現在已經有黑客在使用這樣的木馬:它隱藏自己的名字,而掛在Svchost.exe 中,反正工作裡Svchost.exe多得要命,平時一般人發覺不了。
Svchost.exe
Svchost.exe文件對那些從動態連接庫中執行的服務來說是一個普通的主機工作名。Svhost.exe文件定位
在系統的%systemroot%\system32資料夾下。在啟動的時候,Svchost.exe檢查註冊表中的位置來構建需要
載入的服務列表。這就會使多個Svchost.exe在同一時間執行。每個Svchost.exe的回話期間都包含一組服務,
以至於單獨的服務必須依靠Svchost.exe怎樣和在那裡啟動。這樣就更加容易控制和搜尋錯誤。

Svchost.exe 組是用下面的註冊表值來識別。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每個在這個鍵下的值代表一個獨立的Svchost組,並且當你正在看活動的工作時,它顯示作為一個單獨的
例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括執行在Svchost組內的服務。每個Svchost組都包含一個
或多個從註冊表值中選取的服務名,這個服務的參數值包含了一個ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service

更多的信息
為了能看到正在執行在Svchost列表中的服務。
開始-執行-敲入cmd
然後在敲入 tlist -s (tlist 應該是win2k工具箱裡的鼕鼕)
Tlist 顯示一個活動工作的列表。開關 -s 顯示在每個工作中的活動服務列表。如果想知道更多的關於
工作的信息,可以敲 tlist pid。

Svchost.exe文件對那些從動態連接庫中執行的服務來說是一個普通的主機工作名。Svhost.exe文件定位在系統的%systemroot%\system32資料夾下。在啟動的時候,Svchost.exe檢查註冊表中的位置來構建需要載入的服務列表。這就會使多個Svchost.exe在同一時間執行。每個Svchost.exe的回話期間都包含一組服務,以至於單獨的服務必須依靠Svchost.exe怎樣和在那裡啟動。這樣就更加容易控制和搜尋錯誤。
.
Svchost.exe 組是用下面的註冊表值來識別。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每個在這個鍵下的值代表一個獨立的Svchost組,並且當你正在看活動的工作時,它顯示作為一個單獨的例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括執行在Svchost組內的服務。每個Svchost組都包含一個或多個從註冊表值中選取的服務名,這個服務的參數值包含了一個ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
.
.
更多的信息
.
為了能看到正在執行在Svchost列表中的服務。
開始-執行-敲入cmd
然後在敲入 tlist -s (tlist 應該是win2k工具箱裡的東東)
Tlist 顯示一個活動工作的列表。開關 -s 顯示在每個工作中的活動服務列表。如果想知道更多的關於工作的信息,可以敲 tlist pid。
Tlist 顯示Svchost.exe執行的兩個例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkst
ation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在這個例子中註冊表設定了兩個組。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent RasautoRa
sman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs
smss.exe
csrss.exe
這個是用戶模式Win32子系統的一部分。csrss代表客戶/服務器執行子系統而且是一個基本的子系統必須一直執行。csrss 負責控制windows,新增或者刪除線程和一些16位的虛擬MS-DOS環境。


參考文和另一篇)

Svchost.exe
Svchost.exe文件對那些從動態連接庫中執行的服務來說是一個普通的主機工作名。Svhost.exe文件定位
在系統的%systemroot%\system32資料夾下。在啟動的時候,Svchost.exe檢查註冊表中的位置來構建需要
載入的服務列表。這就會使多個Svchost.exe在同一時間執行。每個Svchost.exe的回話期間都包含一組服務,
以至於單獨的服務必須依靠Svchost.exe怎樣和在那裡啟動。這樣就更加容易控制和搜尋錯誤。

Svchost.exe 組是用下面的註冊表值來識別。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每個在這個鍵下的值代表一個獨立的Svchost組,並且當你正在看活動的工作時,它顯示作為一個單獨的
例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括執行在Svchost組內的服務。每個Svchost組都包含一個
或多個從註冊表值中選取的服務名,這個服務的參數值包含了一個ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service

更多的信息
為了能看到正在執行在Svchost列表中的服務。
開始-執行-敲入cmd
然後在敲入 tlist -s (tlist 應該是win2k工具箱裡的鼕鼕)
Tlist 顯示一個活動工作的列表。開關 -s 顯示在每個工作中的活動服務列表。如果想知道更多的關於
工作的信息,可以敲 tlist pid。

Tlist 顯示Svchost.exe執行的兩個例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt, Browser, Dhcp, dmserver, Dnscache, Eventlog, lanmanserver, LanmanWorkstation, LmHosts, Messenger, PlugPlay, ProtectedStorage, seclogon, TrkWks, W32Time, Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在這個例子中註冊表設定了兩個組。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs

smss.exe

csrss.exe

這個是用戶模式Win32子系統的一部分。csrss代表客戶/伺服器執行子系統而且是一個基本的子系統
必須一直執行。csrss 負責控制windows,新增或者刪除線程和一些16位的虛擬MS-DOS環境。

explorer.exe
這是一個用戶的shell(我實在是不知道怎麼翻譯shell),在我們看起來就像工作條,桌面等等。這個
工作並不是像你想像的那樣是作為一個重要的工作執行在windows中,你可以從工作管理器中停掉它,或者重新啟動。
通常不會對系統產生什麼負面影響。

internat.exe

這個工作是可以從工作管理器中關掉的。
internat.exe在啟動的時候開始執行。它載入由用戶指定的不同的輸入點。輸入點是從註冊表的這個位置
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 載入內容的。
internat.exe 載入「EN」圖示進入系統的圖示區,允許使用者可以很容易的轉換不同的輸入點。
當工作停掉的時候,圖示就會消失,但是輸入點仍然可以通過控制台來改變。

lsass.exe
這個工作是不可以從工作管理器中關掉的。
這是一個本機的安全授權服務,並且它會為使用winlogon服務的授權用戶產生一個工作。這個工作是
通過使用授權的包,例如預設的msgina.dll來執行的。如果授權是成功的,lsass就會產生用戶的進入
令牌,令牌別使用啟動初始的shell。其他的由用戶啟始化的工作會繼承這個令牌的。

mstask.exe
這個工作是不可以從工作管理器中關掉的。
這是一個工作調度服務,負責用戶事先決定在某一時間執行的工作的執行。

smss.exe
這個工作是不可以從工作管理器中關掉的。
這是一個會話管理子系統,負責啟動用戶會話。這個工作是通過系統工作啟始化的並且對許多活動的,
包括已經正在執行的Winlogon,Win32(Csrss.exe)線程和設定的系統變數作出反映。在它啟動這些
工作後,它等待Winlogon或者Csrss結束。如果這些程序時正常的,系統就關掉了。如果發生了什麼
不可預料的事情,smss.exe就會讓系統停止回應(就是掛起)。

spoolsv.exe
這個工作是不可以從工作管理器中關掉的。
緩衝(spooler)服務是管理緩衝池中的列印和傳真作業。

service.exe
這個工作是不可以從工作管理器中關掉的。
大多數的系統核心模式工作是作為系統工作在執行。

System Idle Process
這個工作是不可以從工作管理器中關掉的。
這個工作是作為單線程執行在每個處理器上,並在系統不處理其他線程的時候分派處理器的時間。

taskmagr.exe
這個工作是可以在工作管理器中關掉的。
這個工作就是工作管理器。

winlogon.exe
這個工作是管理用戶登入和推出的。而且winlogon在用戶按下CTRL+ALT+DEL時就啟動了,顯示安全對話視窗。

winmgmt.exe
winmgmt是win2000客戶端管理的核心元件。當客戶端應用程式連接或當管理程序需要他本身的服務時這個工作啟始化。






Win2000指令全集
accwiz.exe > Accessibility Wizard for walking you through setting up your machine for your mobility needs. 協助工具嚮導
acsetups.exe > ACS setup DCOM server executable

actmovie.exe > Direct Show setup tool 直接顯示安裝工具

append.exe > Allows programs to open data in specified directories as if they were in the current directory. 允許程序開啟制定目錄中的資料

arp.exe > NETWORK Display and modify IP - Hardware addresses 顯示和更改電腦的IP與硬體物理位址的對應列表

at.exe > AT is a scheduling utility also included with UNIX 計劃執行工作

atmadm.exe > Displays statistics for ATM call manager. ATM使用管理器統計

attrib.exe > Display and modify attributes for files and folders 顯示和更改文件和資料夾內容

autochk.exe > Used to check and repair Windows File Systems 檢測修覆文件系統

autoconv.exe > Automates the file system conversion during reboots 在啟動程序中自動轉化系統

autofmt.exe > Automates the file format process during reboots 在啟動程序中格式化工作

autolfn.exe > Used for formatting long file names 使用長檔案名格式

bootok.exe > Boot acceptance application for registry

bootvrfy.exe > Bootvrfy.exe, a program included in Windows 2000 that notifies the system that startup was successful. Bootvrfy.exe can be run on a local or remote computer. 通報啟動成功
cacls.exe > Displays or modifies access control lists (ACLs) of files. 顯示和編輯ACL

calc.exe > Windows Calculators 計算器

cdplayer.exe > Windows CD Player CD播放器

change.exe > Change { User | Port | Logon } 與終端伺服器相關的查詢

charmap.exe > Character Map 字元對應表

chglogon.exe > Same as using "Change Logon" 啟動或停用會話記錄

chgport.exe > Same as using "Change Port" 改變連接阜(終端服務)

chgusr.exe > Same as using "Change User" 改變用戶(終端服務)

chkdsk.exe > Check the hard disk for errors similar to Scandisk 3 Stages must specify a Drive Letter 磁牒檢測程式

chkntfs.exe > Same as using chkdsk but for NTFS NTFS磁牒檢測程式

cidaemon.exe > Component of Ci Filer Service 組成Ci我的文件服務

cipher.exe > Displays or alters the encryption of directories [files] on NTFS partitions. 在NTFS上顯示或改變加密的文件或目錄

cisvc.exe > Content Index -- It's the content indexing service for I 索引內容

ckcnv.exe > Cookie Convertor 變換Cookie

cleanmgr.exe > Disk Cleanup, popular with Windows 98 清理磁碟

cliconfg.exe > SQL Server Client Network Utility SQL客戶網路工具

clipbrd.exe > Clipboard viewer for Local will allow you to connect to other clipboards 剪貼簿檢視器

clipsrv.exe > Start the clipboard Server 執行Clipboard服務

clspack.exe > CLSPACK used to create a file listing of system packages 建立系統檔案列表清單

cluster.exe > Display a cluster in a domain 顯示域的集群

_cmd_.exe > Famous command prompt 沒什麼好說的!

cmdl32.exe > Connection Manager Auto-Download 自動下載連接管理

cmmgr32.exe > Connection Manager 連接管理器

cmmon32.exe > Connection Manager Monitor 連接管理器監視

cmstp.exe > Connection Manager Profile Manager 連接管理器配置文件安裝程序

comclust.exe > about cluster server 集群

comp.exe > ComClust Add, Remove, or Join a cluster. 比較兩個文件和文件集的內容*

compact.exe > Displays or alters the compression of files on NTFS partitions. 顯示或改變NTFS分區上文件的壓縮狀態

conime.exe > Console IME IME控制台

control.exe > Starts the control panel 控制台

convert.exe > Convert File System to NTFS 轉換文件系統到NTFS

convlog.exe > Converts MS IIS log files 轉換IIS日誌文件格式到NCSA格式

cprofile.exe > Copy profiles 轉換顯示模式

cscript.exe > MS Windows Scripts Host Version 5.1 較本宿主版本

csrss.exe > Client Server Runtime Process 客戶伺服器Runtime工作

csvde.exe > Comma Separated Variable Import/Export Utility 日至格式轉換程序

dbgtrace.exe > 和Terminal Server相關

dcomcnfg.exe > Display the current DCOM configuration. DCOM配置內容

dcphelp.exe > ?

dcpromo.exe > Promote a domain controller to ADSI AD安裝嚮導

ddeshare.exe > Display DDE shares on local or remote computer DDE共享

ddmprxy.exe >

debug.exe > Runs Debug, a program testing and editing tool. 就是DEBUG啦!

dfrgfat.exe > Defrag FAT file system FAT分區磁碟重組工具

dfrgntfs.exe > Defrag NTFS file system NTFS分區磁碟重組工具

dfs_cmd_.exe > configures a Dfs tree 配置一個DFS樹

dfsinit.exe > Distributed File System Initialization 分佈式文件系統啟始化

dfssvc.exe > Distributed File System Server 分佈式文件系統伺服器

diantz.exe > MS Cabinet Maker 製作CAB檔案

diskperf.exe > Starts physical Disk Performance counters 磁牒效能計數器

dllhost.exe > dllhost is used on all versions of Windows 2000. dllhost is the hedost process for all COM+ applications. 所有COM+應用軟體的主工作

dllhst3g.exe >

dmadmin.exe > Disk Manager Service 磁牒管理服務

dmremote.exe > Part of disk management 磁牒管理服務的一部分

dns.exe > DNS Applications DNS

doskey.exe > recalls Windows command lines and creates macros 指令行新增巨集

dosx.exe > DOS Extender DOS擴展

dplaysvr.exe > Direct Play Helper 直接執行說明

drwatson.exe > Dr Watson for 2000 Fault Detector 華生醫生錯誤檢測

drwtsn32.exe > Dr Watson for 2000 viewer and configuration manager 華生醫生顯示和配置管理

dtcsetup.exe > Installs MDTC

dvdplay.exe > Windows 2000 DVD player DVD播放

dxdiag.exe > Direct-X Diagnostics Direct-X診斷工具

edlin.exe > line-oriented text editor. 指令行的文本編輯器(歷史悠久啊!)
edlin.exe > line-oriented text editor. 指令行的文本編輯器(歷史悠久啊!)

esentutl.exe > MS Database Utility MS資料庫工具

eudcedit.exe > Private character editor Ture Type造字程序

eventvwr.exe > Windows 2000 Event Viewer 事件檢視器

evnt_cmd_.exe > Event to trap translator; Configuration tool

evntwin.exe > Event to trap translator setup

exe2bin.exe > Converts EXE to binary format 轉換EXE文件到二進制

expand.exe > Expand Files that have been compressed 解壓縮

extrac32.exe > CAB File extraction utility 解CAB工具

fastopen.exe > Fastopen tracks the location of files on a hard disk and stores the information in memory for fast access. 快速訪問在記憶體中的硬碟文件

faxcover.exe > Fax Cover page editor 傳真封面編輯

faxqueue.exe > Display Fax Queue 顯示傳真貯列

faxsend.exe > Fax Wizard for sending faxes 傳送傳真嚮導

faxsvc.exe > Starts fax server 啟動傳真服務

fc.exe > Compares two files or sets of files and their differences 比較兩個文件的不同

find.exe > Searches for a text string in file or files 搜尋文件中的文本行

findstr.exe > Searches for strings in files 搜尋文件中的行

finger.exe > Fingers a user and displays statistics on that user Finger一個用戶並顯示出統計結果

fixmapi.exe > Fix mapi files 修復MAPI文件

flattemp.exe > Enable or disable temporally directories 允許或者禁用臨時文件目錄

fontview.exe > Display fonts in a font file 顯示字體文件中的字體

forcedos.exe > Forces a file to start in dos mode. 強制文件在DOS模式下執行

freecell.exe > Popular Windows Game 空當接龍

ftp.exe > File Transfer Protocol used to transfer files over a network connection 就是FTP了

gdi.exe > Graphic Device Interface 圖形界面驅動

grovel.exe >

grpconv.exe > Program Manager Group Convertor 轉換程序管理員組

help.exe > displays help for Windows 2000 commands 顯示說明

hostname.exe > Display hostname for machine. 顯示機器的Hostname

ie4uinit.exe > IE5 User Install tool IE5用戶安裝工具

ieshwiz.exe > Customize folder wizard 自訂資料夾嚮導

iexpress.exe > Create and setup packages for install 穿件安裝包

iisreset.exe > Restart IIS Admin Service 重啟IIS服務

internat.exe > Keyboard Language Indicator Applet 鍵盤語言指示器

ipconfig.exe > Windows 2000 IP configuration. 察看IP配置

ipsecmon.exe > IP Security Monitor IP安全監視器

ipxroute.exe > IPX Routing and Source Routing Control Program IPX路由和源路由控制程序

irftp.exe > Setup FTP for wireless communication 無線連接

ismserv.exe > Intersite messaging Service 安裝或者刪除Service Control Manager中的服務

jdbgmgr.exe > Microsoft debugger for java 4 Java4的偵錯器

jetconv.exe > Convert a Jet Engine Database 轉換Jet Engine資料庫

jetpack.exe > Compact Jet Database. 壓縮Jet資料庫

jview.exe > Command-line loader for Java Java的指令行裝載者

krnl386.exe > Core Component for Windows 2000 2000的核心元件

label.exe > Change label for drives 改變驅動器的卷冊

lcwiz.exe > License Compliance Wizard for local or remote systems. 許可證符合嚮導

ldifde.exe > LDIF cmd line manager LDIF目錄交換指令行管理

licmgr.exe > Terminal Server License Manager 終端服務許可傳輸協定管理

lights.exe > display connection status lights 顯示連接狀況

llsmgr.exe > Windows 2000 License Manager 2000許可傳輸協定管理

llssrv.exe > Start the license Server 啟動許可傳輸協定伺服器

lnkstub.exe >

locator.exe > RPC Locator 遠端定位

lodctr.exe > Load perfmon counters 使用效能計數

logoff.exe > Log current user off. 登出用戶

lpq.exe > Displays status of a remote LPD queue 顯示遠端的LPD列印貯列的狀態,顯示被送到關於Unix的伺服器的列印工作

lpr.exe > Send a print job to a network printer. 重轉發IP列印工作到網路中的列印機。通常用於Unix客戶列印機將列印工作傳送給連接了列印設備的NT的列印機伺服器。

lsass.exe > LSA Executable and Server DLL 執行LSA和Server的DLL

lserver.exe > Specifies the new DNS domain for the default server 指定預設Server新的DNS域

macfile.exe > Used for managing MACFILES 管理MACFILES

magnify.exe > Used to magnify the current screen 放大鏡

makecab.exe > MS Cabinet Maker 製作CAB檔案

mdm.exe > Machine Debug Manager 機器偵錯管理

mem.exe > Display current Memory stats 顯示記憶體狀態

migpwd.exe > Migrate passwords. 遷移密碼

mmc.exe > Microsoft Management Console 控制台

mnmsrvc.exe > Netmeeting Remote Desktop Sharing NetMeeting遠端桌面共享

mobsync.exe > Manage Synchronization. 同步目錄管理器

mountvol.exe > Creates, deletes, or lists a volume mount point. 新增、刪除或列出磁碟區的裝入點。

mplay32.exe > MS Media Player 媒體播放器

mpnotify.exe > Multiple Provider Notification application 多提供者通知應用程式

mq1sync.exe >

mqbkup.exe > MS Message Queue Backup and Restore Utility 信息貯列制作備份和恢復工具

mqexchng.exe > MSMQ Exchange Connector Setup 信息貯列交換連接設定

mqmig.exe > MSMQ Migration Utility 信息貯列遷移工具

mqsvc.exe > ?

mrinfo.exe > Multicast routing using SNMP 使用SNMP多點傳送路由

mscdexnt.exe > Installs MSCD (MS CD Extensions) 安裝MSCD

msdtc.exe > Dynamic Transaction Controller Console 動態事務處理控制台

msg.exe > Send a message to a user local or remote. 傳送消息到本機或遠端客戶

mshta.exe > HTML Application HOST HTML應用程式主機

msiexec.exe > Starts Windows Installer Program 開始Windows安裝程序

mspaint.exe > Microsoft Paint 畫板

msswchx.exe >

mstask.exe > Task Schedule Program 排定的工作表程序

mstinit.exe > Task scheduler setup 排定的工作表安裝

narrator.exe > Program will allow you to have a narrator for reading. Microsoft講述人

nbtstat.exe > Displays protocol stats and current TCP/IP connections using NBT 使用 NBT(TCP/IP 上的 NetBIOS)顯示傳輸協定統計和當前 TCP/IP 連接。

nddeapir.exe > NDDE API Server side NDDE API伺服器端

net.exe > Net Utility 詳細用法看/?

net1.exe > Net Utility updated version from MS Net的昇級版

netdde.exe > Network DDE will install itself into the background 安裝自己到後台

netsh.exe > Creates a shell for network information 用於配置和監控 Windows 2000 指令行指令碼接頭。

netstat.exe > Displays current connections. 顯示傳輸協定統計和當前的 TCP/IP 網路連接。

nlsfunc.exe > Loads country-specific information 載入特定國家(地區)的信息。Windows 2000 和 MS-DOS 子系統不使用該指令。接受該指令只是為了與 MS-DOS 文件相容。

notepad.exe > Opens Windows 2000 Notepad 記事本

nslookup.exe > Displays information for DNS 該診斷工具顯示來自域名系統 (DNS) 名稱伺服器的信息。

ntbackup.exe > Opens the NT Backup Utility 制作備份和故障修復工具

ntbooks.exe > Starts Windows Help Utility 說明

ntdsutil.exe > Performs DB maintenance of the ADSI 完成ADSI的DB的維護

ntfrs.exe > NT File Replication Service NT文件複製服務

ntfrsupg.exe >

ntkrnlpa.exe > Kernel patch 核心修正檔

ntoskrnl.exe > Core NT Kernel KT的核心

ntsd.exe >

ntvdm.exe > Simulates a 16-bit Windows environment 模擬16位Windows環境

nw16.exe > Netware Redirector NetWare轉向器

nwscript.exe > runs netware scripts 執行Netware指令碼

odbcad32.exe > ODBC 32-bit Administrator 32位ODBC管理

odbcconf.exe > Configure ODBC driver's and data source's from command line 指令行配置ODBC驅動和資料來源

os2.exe > An OS/2 Warp Server (os2 /o) OS/2

os2srv.exe > An OS/2 Warp Server OS/2

os2ss.exe > An OS/2 Warp Server OS/2

osk.exe > On Screen Keyboard 螢幕小鍵盤

packager.exe > Windows 2000 Packager Manager 對像包裝程序

pathping.exe > Combination of Ping and Tracert 包含Ping和Tracert的程序

pax.exe > is a POSIX program and path names used as arguments must be specified in POSIX format. Use "//C/Users/Default" instead of "C:\USERS\DEFAULT." 啟動便攜式存檔互換 (Pax) 實用程序

pentnt.exe > Used to check the Pentium for the floating point division error. 檢查Pentium的浮點錯誤

perfmon.exe > Starts Windows Performance Monitor 效能監視器

ping.exe > Packet Internet Groper 驗證與遠端電腦的連接

posix.exe > Used for backward compatibility with Unix 用於相容Unix

print.exe > Cmd line used to print files 列印文本文件或顯示列印貯列的內容。

progman.exe > Program manager 程序管理器

proquota.exe > Profile quota program

psxss.exe > POSIX Subsystem Application Posix子系統應用程式

qappsrv.exe > Displays the available application terminal servers on the network
在網路上顯示終端伺服器可用的程序

qprocess.exe > Display information about processes local or remote 在本機或遠端顯示工作的信息(需終端服務)

query.exe > Query TERMSERVER user process and sessions 查詢工作和對話

quser.exe > Display information about a user logged on 顯示用戶登入的信息(需終端服務)

qwinsta.exe > Display information about Terminal Sessions. 顯示終端服務的信息

rasadmin.exe > Start the remote access admin service 啟動遠端訪問服務

rasautou.exe > Creates a RAS connection 建立一個RAS連接

rasdial.exe > Dial a connection 撥號連接

rasphone.exe > Starts a RAS connection 執行RAS連接

rcp.exe > Copies a file from and to a RCP service. 在 Windows 2000 電腦和執行遠端外殼連接阜監控程序 rshd 的系統之間複製文件

rdpclip.exe > RdpClip allows you to copy and paste files between a terminal session and client console session. 再終端和本機複製和貼上文件

recover.exe > Recovers readable information from a bad or defective disk 從壞的或有缺陷的磁牒中恢復可讀取的信息。

redir.exe > Starts the redirector service 執行重轉發IP服務

regedt32.exe > 32-bit register service 32位註冊服務

regini.exe > modify registry permissions from within a script 用指令碼修改註冊許可

register.exe > Register a program so it can have special execution characteristics. 註冊包含特殊執行字串的程序

regsvc.exe >

regsvr32.exe > Registers and unregister's dll's. As to how and where it register's them I dont know. 註冊和反註冊DLL

regtrace.exe > Options to tune debug options for applications failing to dump trace statements
Trace 設定
regwiz.exe > Registration Wizard 註冊嚮導

remrras.exe >

replace.exe > Replace files 用源目錄中的同名文件替換目標目錄中的文件。

reset.exe > Reset an active section 重置活動部分

rexec.exe > Runs commands on remote hosts running the REXEC service. 在執行 REXEC 服務的遠端電腦上執行指令。rexec 指令在執行指定指令前,驗證遠端電腦上的用戶名,只有安裝了 TCP/IP 傳輸協定後才可以使用該指令。

risetup.exe > Starts the Remote Installation Service Wizard. 執行遠端安裝嚮導服務

route.exe > display or edit the current routing tables. 控制網路路由表

routemon.exe > no longer supported 不再支持了!

router.exe > Router software that runs either on a dedicated DOS or on an OS/2 system. Route軟體在 DOS或者是OS/2系統

rsh.exe > Runs commands on remote hosts running the RSH service 在執行 RSH 服務的遠端電腦上執行指令

rsm.exe > Mounts and configures remote system media 配置遠端系統媒體

rsnotify.exe > Remote storage notification recall 遠端存儲通知回顯

rsvp.exe > Resource reservation protocol 源預約傳輸協定

runas.exe > RUN a program as another user 允許用戶用其他權限執行指定的工具和程序

rundll32.exe > Launches a 32-bit dll program 啟動32位DLL程序

runonce.exe > Causes a program to run during startup 執行程序再開始選單中

rwinsta.exe > Reset the session subsystem hardware and software to known initial values 重置會話子系統硬體和軟體到最初的值

savedump.exe > Does not write to e:\winnt\user.dmp 不寫入User.dmp中

scardsvr.exe > Smart Card resource management server 子能卡資源管理伺服器

schupgr.exe > It will read the schema update files (.ldf files) and upgrade the schema. (part of ADSI) 讀取計劃更新文件和更新計劃

secedit.exe > Starts Security Editor help 自動安全性配置管理

services.exe > Controls all the services 控制所有服務

sethc.exe > Set High Contrast - changes colours and display mode Logoff to set it back to normal 設定高對比

setreg.exe > Shows the Software Publishing State Key values 顯示軟體發佈的國家語言

setup.exe > GUI box prompts you to goto control panel to configure system components 安裝程序(轉到控制台)

setver.exe > Set Version for Files 設定 MS-DOS 子系統向程序報告的 MS-DOS 版本號

sfc.exe > System File Checker test and check system files for integrity 系統檔案檢查

sfmprint.exe > Print Services for Macintosh 列印Macintosh服務

sfmpsexe.exe >

sfmsvc.exe >

shadow.exe > Monitor another Terminal Services session. 監控另外一台中端伺服器會話

share.exe > Windows 2000 和 MS-DOS 子系統不使用該指令。接受該指令只是為了與 MS-DOS 文件相容

shmgrate.exe >

shrpubw.exe > Create and Share folders 建立和共用資料夾

sigverif.exe > File Signature Verification 文件簽名驗證

skeys.exe > Serial Keys utility 序列號製作工具

smlogsvc.exe > Performance Logs and Alerts 效能日誌和警報

smss.exe >

sndrec32.exe > starts the Windows Sound Recorder 錄音機

sndvol32.exe > Display the current volume information 顯示聲音控制信息

snmp.exe > Simple Network Management Protocol used for Network Mangement 簡單網路管理傳輸協定

snmptrap.exe > Utility used with SNMP SNMP工具

sol.exe > Windows Solitaire Game 紙牌

sort.exe > Compares files and Folders 讀取輸入、排序資料並將結果寫到螢幕、文件和其他設備上

SPOOLSV.EXE > Part of the spooler service for printing 列印池服務的一部分

sprestrt.exe >

srvmgr.exe > Starts the Windows Server Manager 伺服器管理器

stimon.exe > WDM StillImage- > Monitor

stisvc.exe > WDM StillImage- > Service

subst.exe > Associates a path with a drive letter 將路徑與驅動器磁碟代號關聯

svchost.exe > Svchost.exe is a generic host process name for services that are run from dynamic-link libraries (DLLs). DLL得主工作

syncapp.exe > Creates Windows Briefcase. 新增Windows文件包

sysedit.exe > Opens Editor for 4 system files 系統配置編輯器

syskey.exe > Encrypt and secure system database NT帳號資料庫按群工具

sysocmgr.exe > Windows 2000 Setup 2000安裝程序

systray.exe > Starts the systray in the lower right corner. 在低權限執行systray

taskman.exe > Task Manager 工作管理器

taskmgr.exe > Starts the Windows 2000 Task Manager 工作管理器

tcmsetup.exe > telephony client wizard 電話服務客戶安裝

tcpsvcs.exe > TCP Services TCP服務

.exe > Telnet Utility used to connect to Telnet Server

termsrv.exe > Terminal Server 終端服務

tftp.exe > Trivial FTP 將文件傳輸到正在執行 TFTP 服務的遠端電腦或從正在執行 TFTP 服務的遠端電腦傳輸文件

tftpd.exe > Trivial FTP Daemon

themes.exe > Change Windows Themes 桌面主旨

tlntadmn.exe > Telnet Server Administrator Telnet服務管理

tlntsess.exe > Display the current Telnet Sessions 顯示目前的Telnet會話

tlntsvr.exe > Start the Telnet Server 開始Telnet服務

tracert.exe > Trace a route to display paths 該診斷實用程序將包含不同生存時間 (TTL) 值的 Internet 控制消息傳輸協定 (ICMP) 回顯資料包傳送到目標,以決定到達目標採用的路由

tsadmin.exe > Terminal Server Administrator 終端服務管理器

tscon.exe > Attaches a user session to a terminal session. 貼上用戶會話到終端對話

tsdiscon.exe > Disconnect a user from a terminal session 中斷連線終端服務的用戶

tskill.exe > Kill a Terminal server process 殺掉終端服務

tsprof.exe > Used with Terminal Server to query results. 用終端服務得出查詢結果

tsshutdn.exe > Shutdown the system 關閉系統

unlodctr.exe > Part of performance monitoring 效能監視器的一部分

upg351db.exe > Upgrade a jet database 昇級Jet資料庫

ups.exe > UPS service UPS服務

user.exe > Core Windows Service Windows核心服務

userinit.exe > Part of the winlogon process Winlogon工作的一部分

usrmgr.exe > Start the windows user manager for domains 域用戶管理器

utilman.exe > This tool enables an administrator to designate which computers automatically open accessibility tools when Windows 2000 starts. 指定2000啟動時自動開啟那台機器

verifier.exe > Driver Verifier Manager Driver Verifier Manager

vwipxspx.exe > Loads IPX/SPX VDM 使用IPX/SPX VDM

w32tm.exe > Windows Time Server 時間伺服器

wextract.exe > Used to extract windows files 解壓縮Windows文件

winchat.exe > Opens Windows Chat 開啟Windows聊天

winhlp32.exe > Starts the Windows Help System 執行說明 系統

winlogon.exe > Used as part of the logon process. Logon工作的一部分

winmine.exe > windows Game 挖地雷

winmsd.exe > Windows Diagnostic utility 系統資訊

wins.exe > Wins Service Wins服務

winspool.exe > Print Routing 列印路由

winver.exe > Displays the current version of Windows 顯示Windows版本

wizmgr.exe > Starts Windows Administration Wizards Windows管理嚮導

wjview.exe > Command line loader for Java 指令行使用Java

wowdeb.exe > . For starters, the 32-bit APIs require that the WOWDEB.EXE task runs in the target debugee's VM 啟動時,32位API需要

wowexec.exe > For running Windows over Windows Applications 在Windows應用程式上執行Windows

wpnpinst.exe > ?

write.exe > Starts MS Write Program 寫字板

wscript.exe > Windows Scripting Utility 指令碼工具

wupdmgr.exe > Starts the Windows update Wizard (Internet) 執行Windows昇級嚮導

xcopy.exe > Used to copy directories 複製文件和目錄,包括子目錄
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3196 次
向 psac 送花的會員:
╰。超凡者〃☆ (2009-01-11)
感謝您發表一篇好文章
舊 2003-08-02, 05:18 AM   #2 (permalink)
貝斯特
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

原來如此,謝謝教學
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-08-12, 12:21 AM   #3 (permalink)
linlili
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

謝謝你的分享
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-08-21, 04:27 PM   #4 (permalink)
註冊會員
 
unguest 的頭像
榮譽勳章

勳章總數
UID - 45479
在線等級: 級別:1 | 在線時長:10小時 | 升級還需:2小時
註冊日期: 2003-03-06
VIP期限: 2007-03
住址: 新竹交大
文章: 527
精華: 0
現金: -5 金幣
資產: 1021 金幣
預設

實在是太謝謝你的解說了
尤其在現在這種敏感時期
讓大家知道啥東東是正確的
unguest 目前離線  
送花文章: 1, 收花文章: 2 篇, 收花: 3 次
舊 2003-08-21, 10:53 PM   #5 (permalink)
風之淚痕
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

解說的真詳細.......感謝分享
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2003-08-25, 11:13 AM   #6 (permalink)
註冊會員
 
Dian 的頭像
榮譽勳章

勳章總數
UID - 12720
在線等級: 級別:1 | 在線時長:5小時 | 升級還需:7小時
註冊日期: 2002-12-16
VIP期限: 2007-02
住址: 彰化市
文章: 258
精華: 0
現金: 264 金幣
資產: 264 金幣
預設

謝謝psac大大的分享!
Dian 目前離線  
送花文章: 1, 收花文章: 2 篇, 收花: 2 次
舊 2006-06-16, 08:48 PM   #7 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

Svhost 的解釋 (摘至論壇的某某)

--------------------------------------------------------------------------------
  Svchost.exe是一個很普通的利用dll動態鏈接庫來執行服務的程式,它位於system32目錄下。在電腦啟動時,它將讀取註冊表中有關服務的部分,然後建立需要啟動的服務列表。在同一時刻,可能有多個S vchost.exe在同時執行,每個Svchost.exe中可能包含一個或一組服務,同一組內的每個服務都可以在一個Svchost.exe開始執行時在同等的條件下同時啟動。說白一點,之所以要把若干個服務作為一組放在同一個S vchost.exe中來執行,目的就是使這些服務能夠更好的被控制和除錯。

  Svchost.exe組的確定是位於註冊表以下這個鍵值之中,HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost,這裡的每一項就是一組服務,也就是大家在任務管理器中看到的一個「Svchost.exe」。每一個REG_MULTI_ SZ中的值就是一個服務組,一個組中可能只有一個服務,也有可能有若干個服務。到底哪些服務是屬於同一個組,那些服務是獨立執行的?您可以在這個鍵值中找到答案,H KEY_LOCAL_MACHINE\System\CurrentControlSet\Services。

  在Windows2000資源工具包中,有一個Tlist.exe文件可以列出當前記憶體中正在執行的Svchost.exe中所包含的服務,命令行用法是「t list.exe -s」。
svchost的確是與服務有關的,更準確的說是COM+服務.啟動元件管理,可以看到COM+下面個Applications,也就是樓上那位仁兄說的"組"了.
svchost.exe究竟是個什麼性質的工作行程呢?實際上是COM+為部署在其上的COM
元件創建的代理工作行程,從而實現用工作行程內的COM+元件提供遠端調用.因為,大家
都知道,工作行程內元件一般情況下是不能被遠端調用的~
【以上文字本人版權所有,只在「軟件論壇」發表,任何媒體或網站欲轉載請先與本人聯繫!--------------------------- cut --------------------------------------
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3196 次
舊 2006-06-23, 06:50 PM   #8 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

解開SVCHOST.exe工作行程之謎

svchost.exe是nt核心系統的非常重要的工作行程,對於2000、xp來說,不可或缺。很多病毒、木馬也會調用它。所以,深入瞭解這個程式,是玩電腦的必修課之一。



  大家對windows操作系統一定不陌生,但你是否注意到系統中「svchost.exe」這個文件呢?細心的朋友會發現windows中存在多個 「svchost」工作行程(通過「ctrl+alt+del」鍵打開任務管理器,這裡的「工作行程」標籤中就可看到了),為什麼會這樣呢?下面就來揭開它神秘的面紗。


發現
  在基於nt內核的windows操作系統家族中,不同版本的windows系統,存在不同數量的「svchost」工作行程,用戶使用「任務管理器」可檢視其工作行程數目。



一般來說,win2000有兩個svchost工作行程,winxp中則有四個或四個以上的svchost工作行程(以後看到系統中有多個這種工作行程,千萬別立即判定系統有病毒了喲),而win2003 server中則更多。


這些svchost工作行程提供很多系統服務,如:rpcss服務(remote procedure call)、dmserver服務(logical disk manager)、dhcp服務(dhcp client)等。



  如果要瞭解每個svchost工作行程到底提供了多少系統服務,可以在win2000的命令提示字元視窗中輸入「tlist -s」命令來檢視,該命令是win2000 support tools提供的。在winxp則使用「tasklist /svc」命令。
svchost中可以包含多個服務
深入
  windows系統工作行程分為獨立工作行程和共享工作行程兩種,「svchost.exe」文件存在於「%systemroot% system32」目錄下,它屬於共享工作行程。


隨著windows系統服務不斷增多,為了節省系統資源,微軟把很多服務做成共享方式,交由 svchost.exe工作行程來啟動。

但svchost工作行程只作為服務宿主,並不能實現任何服務功能,即它只能提供條件讓其他服務在這裡被啟動,而它自己卻不能給用戶提供任何服務。那這些服務是如何實現的呢?

  原來這些系統服務是以動態鏈接庫(dll)形式實現的,它們把可執行程式指向 svchost,由svchost調用相應服務的動態鏈接庫來啟動服務。那svchost又怎麼知道某個系統服務該調用哪個動態鏈接庫呢?這是通過系統服務在註冊表中設置的參數來實現。下面就以rpcss(remote procedure call)服務為例,進行講解。
  從啟動參數中可見服務是*svchost來啟動的。
實例
  以windows xp為例,點擊「開始」/「執行」,輸入「services.msc」命令,彈出服務交談視窗,然後打開「remote procedure call」內容交談視窗,可以看到rpcss服務的可執行文件的路徑為「c:\windows\system32\svchost -k rpcss」,這說明rpcss服務是依*svchost調用「rpcss」參數來實現的,而參數的內容則是存放在系統註冊表中的。


  在執行交談視窗中輸入「regedit.exe」後Enter鍵,打開註冊表編輯器,找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]項,找到類型為「reg_expand_sz」的鍵「magepath」,其鍵值為「%systemroot%system32svchost -k rpcss」(這就是在服務視窗中看到的服務啟動命令),另外在「parameters」子項中有個名為「servicedll」的鍵,其值為「% systemroot%system32rpcss.dll」,其中「rpcss.dll」就是rpcss服務要使用的動態鏈接庫文件。這樣 svchost工作行程通過讀取「rpcss」服務註冊表訊息,就能啟動該服務了。


解惑

  因為svchost工作行程啟動各種服務,所以病毒、木馬也想盡辦法來利用它,企圖利用它的特性來迷惑用戶,達到感染、入侵、破壞的目的(如衝擊波變種病毒「w32.welchia.worm」)。


但windows系統存在多個svchost工作行程是很正常的,在受感染的機器中到底哪個是病毒工作行程呢?這裡僅舉一例來說明。


  假設windows xp系統被「w32.welchia.worm」感染了。正常的svchost文件存在於「c:\windows\system32」目錄下,如果發現該文件出現在其他目錄下就要小心了。


「w32.welchia.worm」病毒存在於「c:\windows\system32wins」目錄中,因此使用工作行程管理器檢視svchost工作行程的執行文件路徑就很容易發現系統是否感染了病毒。

windows系統自帶的任務管理器不能夠檢視工作行程的路徑,可以使用第三方工作行程管理軟件,如「windows優化大師」工作行程管理器,通過這些工具就可很容易地檢視到所有的svchost工作行程的執行文件路徑,一旦發現其執行路徑為不平常的位置就應該馬上進行檢測和處理
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3196 次
舊 2006-07-11, 07:55 PM   #9 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

關於Svchost工作行程概述
在基於NT內核的Windows操作系統家族中,Svchost.exe是一個非常重要的工作行程。很多病毒、木馬駐留系統與這個工作行程密切相關,因此深入瞭解該工作行程是非常有必要的。本文主要介紹Svchost工作行程的功能,以及與該工作行程相關的知識。
  Svchost工作行程概述
  微軟對「Svchost工作行程」的定義是:Svchost.exe是從動態鏈接庫(DLL)中執行的服務的通用主機工作行程名稱。Svchost.exe文件位於「%SystemRoot%System32」資料夾中。當系統啟動時,Svchost將檢查註冊表中的服務部分,以構建需要載入的服務列表。Svchost的多個實例可以同時執行。每個Svchost會話可以包含一組服務,以便根據Svchost的啟動方式和位置的不同執行不同的服務,這樣可以更好地進行控制且更加便於除錯。
  Svchost組是由註冊表[HKEY_LOCAL_MACHINE SoftwareMicrosoftWindows NTCurrentVersionSvchost]項來識別的。在這個註冊表項下的每個值都代表單獨的Svchost組,並在我們檢視活動工作行程時作為單獨的實例顯示。這裡的鍵值均為REG_MULTI_SZ類型的值,並且包含該Svchost組裡執行的服務名稱(如圖1)。
http://it.rising.com.cn/image/016/safety040909svchost01.gif
圖1 註冊表中的Svchost
  實際上,Svchost只是作為服務的宿主,本身並不實現什麼功能。如果需要使用Svchost來啟動某個DLL形式實現的服務,該DLL的載體Loader指向Svchost,在啟動服務的時候由Svchost呼叫該服務的DLL來實現啟動的目的。使用Svchost啟動某個服務的DLL文件是由註冊表中的參數來決定的,在需要啟動服務的註冊表項下都有一個「Parameters」子項,其中的「ServiceDll」鍵值表明該服務由哪個DLL文件負責,並且這個DLL文件必須匯出一個ServiceMain()函數,為處理服務任務提供支持。
  提示:不同版本的Windows系統,存在不同數量的Svchost工作行程。一般來說,Windows 2000有兩個Svchost工作行程,而Windows XP則有四個或四個以上的Svchost工作行程。
  Svchost工作行程實例講解
  要想檢視在Svchost中執行服務的列表,可以在Windows XP命令提示字元視窗中輸入「Tasklist /svc」命令後,Enter鍵執行(如果使用的是Windows 2000,可用Support Tools提供的Tlist工具檢視,命令為「Tlist -s」)。Tasklist命令顯示活動工作行程的列表,/svc命令開關指定顯示每個工作行程中活動服務的列表。從圖中可以看到,Svchost工作行程啟動很多系統服務,如:RpcSs(Remote Procedure Call)、Dhcp(DHCP Client)、Netman(Network Connections)服務等等(如圖2)。
http://it.rising.com.cn/image/016/safety040909svchost02.gif
圖2 Svchost的服務列表
  這裡我們以RpcSs服務為例,來具體瞭解一下Svchost工作行程與服務的關係。執行Regedit,打開註冊表編輯器,依次展開[HKEY_LOCAL_MACHINESYSTEM
  CurrentControlSetServicesRpcSs ]分支,在「Parameters」子項中有個名為「ServiceDll」的鍵,其值為「%SystemRoot%system32 pcss.dll」。這表示系統啟動RpcSs服務時,呼叫「%SystemRoot%system32」目錄下的Rpcss.dll動態鏈接庫文件。
  接下來,從控制台中依次雙擊「管理工具→服務」,打開服務控制台。在右側視窗內中雙擊「Remote Procedure Call(RPC)」服務項,打開其內容交談視窗,可以看到RpcSs服務的可執行文件的路徑為「C:Windowssystem32svchost -k rpcss」,這說明RpcSs服務是依靠Svchost啟動的,「-k rpcss」表示此服務包含在Svchost的Rpcss服務組中。
  Svchost工作行程木馬淺析
  從前面的介紹我們已經知道,在註冊表[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent- VersionSvchost]分支中,存放著Svchost啟動的組和組內的各項服務,很多木馬和病毒正是利用這一點來實現自動載入的。它們通常的方法有:
  · 新增一個新的組,在組裡新增服務名;
  · 在現有的組裡新增服務名或者利用現有組一個未安裝的服務;
  · 修改現有組裡的服務,將它的ServiceDll指向自己的DLL文件。
  例如PortLess BackDoor就是一款典型的利用Svchost工作行程載入的後門工具。那麼對於像PortLess BackDoor這樣的木馬、病毒,該如何檢測並清除呢?以Windows XP為例,首先我們可以利用「工作行程間諜」這樣的工作行程工具檢視Svchost工作行程中的模塊訊息(如圖3),並與之前的模塊訊息比較,可以發現Svchost工作行程中有一個可疑的DLL文件「SvchostDLL.dll」。同時,在「管理工具→服務」列表中會看到一項新的服務「Intranet Services」(顯示名稱),此服務名稱為:Iprip,由Svchost啟動,「-k netsvcs」表示此服務包含在Netsvcs服務組中。
http://it.rising.com.cn/image/016/safety040909svchost03.gif
圖3 Svchost工作行程中的模塊訊息
  提示:在Windows 2000中,系統的Iprip服務偵聽由使用Routing Information協議版本1(RIPv1)的路由器發送的路由更新訊息,在服務列表中顯示的名稱為「RIP Listener」。
  執行Regedit,打開註冊表編輯器,展開[HKEY_LOCAL_MACHINESYSTEMCurrentControlSet
  ServicesIPRIP]分支,檢視其「Parameters」子項,其中「ServiceDll」鍵值指向呼叫的DLL文件路徑和全稱,這正是後門的DLL文件。知道了這些,就可以動手清除了:在服務列表用右鍵單擊「Intranet Services」服務,從表菜單中選擇「停止」,然後在上述註冊表分支中刪除「Iprip」項。重新啟動電腦,再按照「ServiceDll」鍵值提示的位置刪除後門程式主文件即可。最後需要提醒讀者的是,對註冊表進行修改前,應做好備份工作,以便出現錯誤時能夠及時還原。
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3196 次
向 psac 送花的會員:
╰。超凡者〃☆ (2009-01-11)
感謝您發表一篇好文章
舊 2006-07-15, 02:35 PM   #10 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

明明白白Svchost.exe工作行程

--------------------------------------------------------------------------------



工作行程是描述程式執行的過程,系統執行一個程式時就會打開相應的工作行程,而該工作行程也將伴隨著整個操作過程,直到程式終止,不同的操作系統有各自不同的工作行程。
使用Windows操作系統的用戶,通過「Ctrl+Alt+Del」鍵打開Windows任務管理器,就可以看到該系統執行時的各個工作行程,其中就有一個Svchost.exe工作行程。
1 初識Svchost.exe
Svchost.exe是NT核心系統中一個非常重要的工作行程,尤其對Windows 2000以及其後期的Windows版本來說,是不可或缺的。不僅如此,當打開Windows任務管理器時,細心的用戶還會發現,在基於NT內核的各個Windows操作系統中,不同版本的Windows系統,同時啟動的Svchost.exe工作行程的個數亦有所不同。
通常情況下,Windows 2000中就有兩個,一個是RPCSS(Remote Procedure Call)服務工作行程,另外一個則是由很多服務共享的一個svchost.exe,而Windows XP中則有四個或四個以上的Svchost.exe工作行程,在Windows 2003中則更多。如何解答這種多個Svchost.exe工作行程並存的現象,我們得從它的作用談起。
2 Svchost.exe的作用
在Windows系統中,Svchost.exe工作行程提供了很多系統服務。例如,rpcss(遠端程式呼叫)服務、dmserver(邏輯磁碟管理員系統管理)服務、dhcp(自動化的客房端IP位址分配和選項配置)服務等,因此系統中可能同時存在多個Svchost.exe工作行程。如果想知道本機上每個Svchost.exe工作行程所提供的服務,可以通過以下通過以下步驟來檢視。
(1)單擊 Windows 任務欄上的開始,然後單擊「執行」項。
(2)在打開框中鍵入 CMD,然後按 ENTER 鍵。
(3)如果是Windows 2000系統,鍵入「tlist -s」命令來檢視,而在Windows XP中則是通過「sasklist /svc」命令來檢視。······
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3196 次
舊 2006-07-15, 02:40 PM   #11 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

解開SVCHOST.exe工作行程之謎



大家對Windows操作系統一定不陌生,但你是否注意到系統中「SVCHOST.EXE」這個文件呢?細心的朋友會發現Windows中存在多個「SVCHOST」工作行程(通過「Ctrl+Alt+Del」鍵打開任務管理器,這裡的「工作行程」標籤中就可看到了),為什麼會這樣呢?下面就來揭開它神秘的面紗。

  發現
在基於NT內核的Windows操作系統家族中,不同版本的Windows系統,存在不同數量的「SVCHOST」工作行程,用戶使用「任務管理器」可檢視其工作行程數目。一般來說,Win2000有兩個SVCHOST工作行程,WinXP中則有四個或四個以上的SVCHOST工作行程(以後看到系統中有多個這種工作行程,千萬別立即判定系統有病毒了喲),而Win2003 server中則更多。這些SVCHOST工作行程提供很多系統服務,如:RpcSs服務(Remote Procedure Call)、dmserver服務(Logical Disk Manager)、Dhcp服務(DHCP Client)等。

  如果要瞭解每個SVCHOST工作行程到底提供了多少系統服務,可以在Win2000的命令提示字元視窗中輸入「Tlist -S」命令來檢視,該命令是Win2000 Support Tools提供的。在WinXP則使用「tasklist /svc」命令。
Windows系統工作行程分為獨立工作行程和共享工作行程兩種,「SVCHOST.EXE」文件存在於「%SystemRoot%\system32\」目錄下,它屬於共享工作行程。隨著Windows系統服務不斷增多,為了節省系統資源,微軟把很多服務做成共享方式,交由SVCHOST.EXE工作行程來啟動。但SVCHOST工作行程只作為服務宿主,並不能實現任何服務功能,即它只能提供條件讓其他服務在這裡被啟動,而它自己卻不能給用戶提供任何服務。那這些服務是如何實現的呢?

  原來這些系統服務是以動態鏈接庫(DLL)形式實現的,它們把可執行程式指向SVCHOST,由SVCHOST呼叫相應服務的動態鏈接庫來啟動服務。那SVCHOST又怎麼知道某個系統服務該呼叫哪個動態鏈接庫呢?這是通過系統服務在註冊表中設置的參數來實現。下面就以RpcSs(Remote Procedure Call)服務為例,進行講解。

實例:筆者以Windows XP為例,點擊「開始」/「執行」,輸入「services.msc」命令,彈出服務交談視窗,然後打開「Remote Procedure Call」內容交談視窗,可以看到RpcSs服務的可執行文件的路徑為「C:\WINDOWS\system32\svchost -k rpcss」,這說明RpcSs服務是依靠SVCHOST呼叫「rpcss」參數來實現的,而參數的內容則是存放在系統註冊表中的。

  在執行交談視窗中輸入「regedit.exe」後Enter鍵,打開註冊表編輯器,找到[HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\RpcSs]項,找到類型為「REG_EXPAND_SZ」的鍵「magePath」,其鍵值為「%SystemRoot%\system32\svchost -k rpcss」(這就是在服務視窗中看到的服務啟動命令),另外在「Parameters」子項中有個名為「ServiceDll」的鍵,其值為「%SystemRoot%\system32\rpcss.dll」,其中「rpcss.dll」就是rpcss服務要使用的動態鏈接庫文件。這樣SVCHOST工作行程通過讀取「RpcSs」服務註冊表訊息,就能啟動該服務了。  

  解惑  

  因為SVCHOST工作行程啟動各種服務,所以病毒、木馬也想盡辦法來利用它,企圖利用它的特性來迷惑用戶,達到感染、入侵、破壞的目的(如衝擊波變種病毒「W32.Welchia.Worm」)。 但Windows系統存在多個SVCHOST工作行程是很正常的,在受感染的機器中到底哪個是病毒工作行程呢?這裡僅舉一例來說明。

  假設Windows XP系統被「W32.Welchia.Worm」感染了。正常的SVCHOST文件存在於「C:\Windows\system32」目錄下,如果發現該文件出現在其他目錄下就要小心了。「W32.Welchia.Worm」病毒存在於「C:\Windows\system32\wins」目錄中,因此使用工作行程管理器檢視SVCHOST工作行程的執行文件路徑就很容易發現系統是否感染了病毒。Windows系統自帶的任務管理器不能夠檢視工作行程的路徑,可以使用第三方工作行程管理軟件,如「Windows優化大師」工作行程管理器,通過這些工具就可很容易地檢視到所有的SVCHOST工作行程的執行文件路徑,一旦發現其執行路徑為不平常的位置就應該馬上進行檢測和處理。

  由於篇幅的關係,不能對SVCHOST全部功能進行詳細介紹,這是一個Windows中的一個特殊工作行程,有興趣的朋友可參考有關技術資料進一步去瞭解它。

  WinXP中SVCHOST.EXE的資料:

  http://support.microsoft.com/default...b;en-us;314056
  Win2000中SVCHOST.EXE的資料:

  http://support.microsoft.com/default...b;en-us;250320
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3196 次
向 psac 送花的會員:
╰。超凡者〃☆ (2009-01-11)
感謝您發表一篇好文章
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 06:39 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2019, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1