奇虎快照

w001_88 2010-07-19

展開(kāi)全文

SVCHOST.EXE有兩個(gè)怎么辦?

SVCHOST.EXE LOCAL SERVICE
網(wǎng)賺培訓(xùn)
SVCHOST.EXE NETWORK SERVICE
我該結(jié)束哪個(gè)啊?

XP下一般會(huì)有5-6個(gè)svchost隨機(jī)啟動(dòng)運(yùn)行，有的是在聯(lián)局域網(wǎng)，有的在檢測(cè)更新，所以剛開(kāi)機(jī)時(shí)是很慢的，沒(méi)什么用的，建議關(guān)閉檢測(cè)更新的那個(gè)，以后半月手動(dòng)更新一次就行了。就這個(gè)最占CPU達(dá)100%。說(shuō)實(shí)話咱一個(gè)小老百姓沒(méi)什么更新的必要，關(guān)閉方法如下：
打開(kāi)控制面板==管理工具==服務(wù)，找到"Automatic Updates"(或者是自動(dòng)更新)，將其停止，并且設(shè)置為手動(dòng)啟動(dòng)，然后再刪除C：\WINDOWS\SoftwareDistribution。問(wèn)題就解決了。本人親測(cè)無(wú)害！
vchost.exe、 lsass.exe、wdfmgr.exe，打開(kāi)進(jìn)程列表后你會(huì)發(fā)現(xiàn)一大堆不知用途的進(jìn)程，究竟是系統(tǒng)進(jìn)程還是木馬病毒?如果打開(kāi)系統(tǒng)文件夾，一大堆奇奇怪怪名稱的文件，更是會(huì)把你弄得暈頭轉(zhuǎn)向。很多朋友因此而始終抱有一種未知的恐懼，認(rèn)為木馬、黑客無(wú)處不在，即使是高手，也不能把這些陌生的系統(tǒng)文件說(shuō)個(gè) 明明白白。為消除大家的疑惑，從這期開(kāi)始為大家?guī)?lái)一檔新的連載欄目--系統(tǒng)藍(lán)色檔案為大家曝光這些隱秘文件的秘密。兩位主人公，現(xiàn)在就來(lái)認(rèn)識(shí)一下。
主人公介紹
小菜：剛接觸電腦不久的菜鳥(niǎo)，但對(duì)電腦知識(shí)有著非常濃厚的學(xué)習(xí)興趣，常說(shuō)的一句話是"菜鳥(niǎo)先飛"。
大嘴：樂(lè)于助人的老鳥(niǎo)，經(jīng)常被別人冠以"大嘴高手"稱號(hào)，不過(guò)這并不是指他嘴特別大，而是一談到電腦知識(shí)就滔滔不絕。
一、緊急狀況：系統(tǒng)發(fā)現(xiàn)嚴(yán)重病毒
小菜剛剛學(xué)習(xí)了進(jìn)程的概念和知識(shí)，于是就打開(kāi)"任務(wù)管理器"觀察系統(tǒng)中的進(jìn)程，這一看不要緊，還真發(fā)現(xiàn)了一個(gè)"病毒"Svchost.exe，這家伙在系統(tǒng) 進(jìn)程列表中竟然有5個(gè)之多(見(jiàn)圖1)，于是小菜就逐個(gè)結(jié)束這些進(jìn)程，沒(méi)想到第二個(gè)進(jìn)程結(jié)束后還會(huì)再生，而結(jié)束第四個(gè)進(jìn)程時(shí)更離譜，系統(tǒng)提示"系統(tǒng)即將關(guān) 機(jī)，離關(guān)機(jī)還有60秒"，進(jìn)程再生、錯(cuò)誤提示，這些典型的病毒"癥狀"更讓小菜相信"Svchost.exe"是病毒無(wú)疑，但無(wú)法結(jié)束進(jìn)程，又該怎么清除病毒呢?小菜只好請(qǐng)來(lái)了大嘴。
圖1數(shù)量眾多的SVCHOST進(jìn)程
大嘴過(guò)來(lái)后還沒(méi)看電腦，就先告訴小菜，系統(tǒng)中的Svchost.exe進(jìn) 程是正常系統(tǒng)進(jìn)程，不是病毒，不僅僅是你，其他朋友一看到系統(tǒng)中這么多的Svchost.exe進(jìn)程，第一反應(yīng)也感覺(jué)它是病毒，雖然系統(tǒng)中有多個(gè) Svchost.exe進(jìn)程是正常的，但也不保證都是正常的。聽(tīng)起來(lái)似乎有些矛盾?這讓小菜更有些迷糊，大嘴坐下后給小菜詳細(xì)講了起來(lái)。
二、松了口氣：Svchost.exe是臺(tái)"CD機(jī)"
1.服務(wù)裝在"CD機(jī)"里
Svchost.exe 是NT內(nèi)核*作系統(tǒng)(Windows 2000/XP/2003都屬于NT內(nèi)核*作系統(tǒng))獨(dú)有的進(jìn)程，"Svchost"其實(shí)就是"Service Host"(服務(wù)宿主)的縮寫(xiě)。微軟官方對(duì)它的定義是：Svchost.exe是從動(dòng)態(tài)鏈接庫(kù)(DLL)中運(yùn)行的服務(wù)的通用主機(jī)進(jìn)程名稱，通俗講，它就是一個(gè)服務(wù)裝載器。大家可以把每個(gè)服務(wù)想象成一張音樂(lè)CD，而Svchost.exe就是用來(lái)播放這種CD的CD機(jī)。
2.為什么用"CD機(jī)"裝服務(wù)
由于Windows 2000/XP系統(tǒng)服務(wù)越來(lái)越多，以EXE單獨(dú)進(jìn)程的形式啟動(dòng)所有服務(wù)會(huì)大大增加系統(tǒng)負(fù)擔(dān)，為節(jié)省系統(tǒng)資源，微軟將一些系統(tǒng)服務(wù)以動(dòng)態(tài)鏈接庫(kù)(DLL)形式實(shí)現(xiàn)，而Svchost.exe就是用來(lái)裝載這些DLL文件以啟動(dòng)系統(tǒng)服務(wù)的程序。沒(méi)有人會(huì)為了發(fā)行一張CD而制作一臺(tái)專用播放此CD的CD機(jī)，微軟也一樣。
3.系統(tǒng)里有幾臺(tái)這樣的"CD機(jī)"
那為什么系統(tǒng)進(jìn)程列表中的Svchost.exe會(huì)有多個(gè)呢?微軟為了讓系統(tǒng)能更好地進(jìn)行服務(wù)控制，就允許多個(gè)Svchost.exe進(jìn)程同時(shí)運(yùn)行，每個(gè)Svchost.exe進(jìn)程可以包含一組服務(wù)，想像一下可以同時(shí)容納3張甚至更多CD的多碟CD 機(jī)。打開(kāi)注冊(cè)表[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost]主鍵，在窗口右側(cè)可以看到許多鍵值，這里的每個(gè)鍵值都代表一組服務(wù)，鍵值數(shù)據(jù)則包含了該組服務(wù)下面運(yùn)行的服務(wù)名稱列表，每組服務(wù)啟動(dòng)時(shí)都會(huì)通過(guò)單獨(dú)的Svchost.exe進(jìn)程來(lái)裝載。Windows XP中默認(rèn)共有六組服務(wù)(見(jiàn)圖2)，其中imgsvc、NetworkService、rpcss、termsvcs四個(gè)組，它們都只有一個(gè)服務(wù)運(yùn)行，這些服務(wù)啟動(dòng)后的Svchost.exe進(jìn)程用戶名為"SYSTEM"。而LocalService和netsvcs組都啟動(dòng)了多個(gè)服務(wù)，它們的 Svchost.exe進(jìn)程用戶名分別為"LOCAL SERVICE"和"NETWORD SERVICE"，從圖1中可以看到這種區(qū)別。
圖2眾多svchost進(jìn)程的區(qū)別
當(dāng) 然了，這六組服務(wù)通常并不都是啟動(dòng)狀態(tài)的，根據(jù)系統(tǒng)啟動(dòng)的服務(wù)不同，反映在系統(tǒng)進(jìn)程列表中的Svchost.exe進(jìn)程數(shù)量也是不同的，Windows XP會(huì)有四個(gè)到六個(gè)Svchost.exe進(jìn)程，而Windows 2000通常則會(huì)有兩個(gè)Svchost.exe進(jìn)程。
小提示：點(diǎn)擊"開(kāi)始→運(yùn)行"，在運(yùn)行框中輸入"CMD"回車，然后在打開(kāi)的命令行窗口中輸入"Tasklist/svc"(不含引號(hào))命令，可以更直觀地看到每個(gè)Svchost.exe進(jìn)程裝載的服務(wù)名稱列表(見(jiàn)圖3)。
圖3查看svchost進(jìn)程裝載的服務(wù)名稱
4.獲取每張"CD"的詳細(xì)信息
如果想更進(jìn)一步了解Svchost.exe裝載的這些服務(wù)都是什么功能，可以記下鍵值數(shù)據(jù)中的服務(wù)名稱，例如"RpcSs"，接著打開(kāi)注冊(cè)表的 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services]，再打開(kāi)下面的"RpcSs"子鍵，在右邊的"Description"鍵值中就可以看到該服務(wù)的描述，而在"ImagePath"鍵值數(shù)據(jù)中則可以看到這個(gè)服務(wù)的運(yùn)行命令正是"%SystemRoot%\system32\svchost-k rpcss"(見(jiàn)圖4)。而在"RpcSs"子鍵下還有一個(gè)"Parameters"(參數(shù))子鍵，其右邊的"ServiceDll"鍵值數(shù) 據(jù)"%SystemRoot%\system32\rpcss.dll"則表明了RpcSs服務(wù)啟動(dòng)時(shí)調(diào)用的是系統(tǒng)目錄下的"Rpcss.dll"文件，這就好像你原來(lái)只知道CD中歌曲的歌名，現(xiàn)在又讓你能夠查到這首歌的演唱者。
圖4查看svchost的具體功能
如果覺(jué)得通過(guò)注冊(cè)表查詢服務(wù)名稱了解其屬性不太方便，也可以使用"全能助手用Windows服務(wù)管理專家"(以下簡(jiǎn)稱"服務(wù)管理專家")來(lái)查詢，運(yùn)行軟件后單擊"All Win32Services"分支，在右側(cè)服務(wù)列表中根據(jù)服務(wù)名稱索引即可快速找到要查詢的服務(wù)，單擊服務(wù)名稱，即可看到該服務(wù)的啟動(dòng)命令以及調(diào)用的 DLL文件等相關(guān)信息(見(jiàn)圖5)。同時(shí)軟件還專門(mén)設(shè)計(jì)了Svchost Group分支，可以快速查詢LocalService和netsvcs組中的服務(wù)詳細(xì)信息。
圖5用工具查看svchost的情況
全能助手Windows服務(wù)管理專家小檔案
軟件名稱：全能助手Windows服務(wù)管理專家
軟件版本：1.02
軟件大?。?7KB
軟件授權(quán)：免費(fèi)
適用平臺(tái)：Windows 2000/XP
下載地址：點(diǎn)擊這里下載
三、危機(jī)仍在：小心病毒的騙局
由于Svchost.exe進(jìn)程的特殊性，它隱藏了真正運(yùn)行的程序的名稱，在表面看到的只是Svchost.exe進(jìn)程，這個(gè)特性同時(shí)也讓許多病毒、木馬有空可鉆，企圖以此迷惑用戶。那么如何判斷系統(tǒng)中的多個(gè)Svchost.exe進(jìn)程是否正常呢?下面針對(duì)這類病毒常用的幾種欺騙手法來(lái)進(jìn)行分析。
騙局1：利用假冒Svchost.exe名稱的病毒程序
火眼金睛：這種方式運(yùn)行的病毒并沒(méi)有直接利用真正的Svchost.exe進(jìn)程，而是啟動(dòng)了另外一個(gè)名稱同樣是Svchost.exe的病毒進(jìn)程，由于這個(gè) 假冒的病毒進(jìn)程并沒(méi)有加載系統(tǒng)服務(wù)，它和真正的Svchost.exe進(jìn)程是不同的，只需在命令行窗口中運(yùn)行一下"Tasklist/svc"，如果看到哪個(gè)Svchost.exe進(jìn)程后面提示的服務(wù)信息是"暫缺"(見(jiàn)圖6)，而不是一個(gè)具體的服務(wù)名，那么它就是病毒進(jìn)程了，記下這個(gè)病毒進(jìn)程對(duì)應(yīng)的PID 數(shù)值(進(jìn)程標(biāo)識(shí)符)，即可在任務(wù)管理器的進(jìn)程列表中找到它，結(jié)束進(jìn)程后，在C盤(pán)搜索Svchost.exe文件，也可以用第三方進(jìn)程工具直接查看該進(jìn)程的路徑，正常的Svchost.exe文件是位于%systemroot%\System32目錄中的，而假冒的Svchost.exe病毒或木馬文件則會(huì) 在其他目錄，例如"w32.welchina.worm"病毒假冒的Svchost.exe就隱藏在Windows\System32\Wins目錄中，將其刪除，并徹底清除病毒的其他數(shù)據(jù)即可。
圖6查看可疑svchost進(jìn)程
騙局2：一些高級(jí)病毒則采用類似系統(tǒng)服務(wù)啟動(dòng)的方式，通過(guò)真正的Svchost.exe進(jìn)程加載病毒程序，而Svchost.exe是通過(guò)注冊(cè)表數(shù)據(jù)來(lái)決定要裝載的服務(wù)列表的，所以病毒通常會(huì)在注冊(cè)表中采用以下方法進(jìn)行加載：
添加一個(gè)新的服務(wù)組，在組里添加病毒服務(wù)名
在現(xiàn)有的服務(wù)組里直接添加病毒服務(wù)名
修改現(xiàn)有服務(wù)組里的現(xiàn)有服務(wù)屬性，修改其"ServiceDll"鍵值指向病毒程序
判斷方法：病毒程序要通過(guò)真正的Svchost.exe進(jìn)程加載，就必須要修改相關(guān)的注冊(cè)表數(shù)據(jù)，可以打開(kāi) [HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion \Svchost]，觀察有沒(méi)有增加新的服務(wù)組，同時(shí)要留意服務(wù)組中的服務(wù)列表，觀察有沒(méi)有可疑的服務(wù)名稱，通常來(lái)說(shuō)，病毒不會(huì)在只有一個(gè)服務(wù)名稱的組中添加，往往會(huì)選擇LocalService和netsvcs這兩個(gè)加載服務(wù)較多的組，以干擾分析，還有通過(guò)修改服務(wù)屬性指向病毒程序的，通過(guò)注冊(cè)表判斷起來(lái)都比較困難，這時(shí)可以利用前面介紹的服務(wù)管理專家，分別打開(kāi)LocalService和netsvcs分支，逐個(gè)檢查右邊服務(wù)列表中的服務(wù)屬性，尤其要注意服務(wù)描述信息全部為英文的，很可能是第三方安裝的服務(wù)，同時(shí)要結(jié)合它的文件描述、版本、公司等相關(guān)信息，進(jìn)行綜合判斷。例如這個(gè)名為PortLess BackDoor的木馬程序，在服務(wù)列表中可以看到它的服務(wù)描述為"Intranet Services"，而它的文件版本、公司、描述信息更全部為空(見(jiàn)圖7)，如果是微軟的系統(tǒng)服務(wù)程序是絕對(duì)不可能出現(xiàn)這種現(xiàn)象的。從啟動(dòng)信息"C：\WINDOWS\System32\svchost.exe-k netsvcs"中可以看出這是一款典型的利用Svchost.exe進(jìn)程加載運(yùn)行的木馬，知道了其原理，清除方法也很簡(jiǎn)單了：先用服務(wù)管理專家停止該服務(wù)的運(yùn)行，然后運(yùn)行regedit.exe打開(kāi)"注冊(cè)表編輯器"，刪除[HKEY_LOCAL_MACHINE\System \CurrentControlSet\Services\IPRIP]主鍵，重新啟動(dòng)計(jì)算機(jī)，再刪除%systemroot%\System32目錄中的木馬源程序"svchostdll.dll"，通過(guò)按時(shí)間排序，又發(fā)現(xiàn)了時(shí)間完全相同的木馬安裝程序"PortlessInst.exe"，一并刪除即可。
LZ的電腦好差才2個(gè)我家5個(gè)呢
先殺毒，我有好幾個(gè)
在Windows2000系統(tǒng)中一般存在2個(gè) svchost.exe進(jìn)程，一個(gè)是RPCSS(RemoteProcedureCall)服務(wù)進(jìn)程，另外一個(gè)則是由很多服務(wù)共享的一個(gè) svchost.exe；而在WindowsXP中，則一般有4個(gè)以上的svchost.exe服務(wù)進(jìn)程。如果svchost.exe進(jìn)程的數(shù)量多于5 個(gè)，就要小心了，很可能是病毒假冒的，檢測(cè)方法也很簡(jiǎn)單，使用一些進(jìn)程管理工具，例如Windows優(yōu)化大師的進(jìn)程管理功能，查看svchost.exe 的可執(zhí)行文件路徑，如果在"C：\WINDOWS\system32"目錄外，那么就可以判定是病毒了
參考資料：百度百科

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購(gòu)買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來(lái)自： w001_88 > 《我的圖書(shū)館》

舉報(bào)/認(rèn)領(lǐng)