Windows操作系统中Svchost进程功能揭秘
svchost.exe是什么进程?
svchost.exe是什么进程?首先要明确一点svchost.exe这个东西本身并不是病毒程序,它只是系统里边一个不可缺少的进程,不管是什么操作系统(2000,xp,2003,win7)都会存在这个进程。
当然有时候病毒、木马也会利用svchost.exe这个进程。
看完本文介绍后你就会明白,为什么你的系统里会有很多这样的进程了,而且数量多少还会不一样。
任务管理器中的svchost.exe进程什么是svchost.exe进程?简单的说:svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
这个程序对系统的正常运行是非常重要,而且是不能被结束的。
windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在“%systemroot%system32”目录下,它属于共享进程。
随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。
但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。
Service Host Process是一个标准的动态连接库主机处理服务。
Svchost.exe文件对那些从动态连接库(DLL)中运行的服务来说是一个普通的主机进程名。
在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。
这就会使多个Svchost.exe在同一时间运行。
Windows 2000一般有2个Svchost进程,一个是RPCSS(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个Svchost.exe;而在windows XP中,则一般有4个以上的Svchost.exe服务进程;Windows 2003 server中则更多。
Svchost.exe进程
全面认识Svchost.exe进程很多朋友对svchost.exe进程都不太了解,有时在任务管理器中一旦看到有多个该进程(图1中有6个),就以为自己的电脑中了病毒或木马,其实并非如此!正常情况下,windows中可以有多个svchost.exe进程同时运行,例如Windows2000至少有2个Svchost进程,WindowsXP中有4个以上,Windows2003中则有更多,所以当你看到多个svchost进程时,未必就是病毒!svchost.exe进程是干什么的?svchost.exe文件存在于“%systemroot%\system32”(例如C:\Windows\system32)目录下,它是WindowsNT核心的重要进程(Windows9X 没有该进程),专门为系统启动各种服务的。
例如Svchost.exe调用rpcss.dll文件,就会启动rpcss服务(remoteprocedurecall)。
svchost.exe实际上是一个服务宿主,它本身并不能给用户提供任何服务,但是可以用来运行动态链接库DLL文件,从而启动对应的服务。
Svchost.exe进程可以同时启动多个服务。
svchost是如何启动系统服务的?由于系统服务都是以动态链接库(DLL)形式实现的,它们把可执行程序指向svchost,因此svchost只要调用某个动态链接库,即可启动对应的服务。
那么svchost启动某服务时,又是如何知道应该调用哪个动态链接库?这是由于系统服务在注册表中都设置了相关参数,因此svchost通过读取某服务在注册表中的信息,即可知道应该调用哪个动态链接库,从而启动该服务。
下面我们以svchost启动helpsvc(HelpandSupport)服务为例,介绍其启动服务的方法。
在WindowsXP中点击“开始”“运行”,输入“services.msc”命令,弹出服务对话框,然后双击打开“HelpandSupport”服务属性对话框,可以看到helpsvc 服务的可执行文件的路径为“C:\WINDOWS\System32\svchost.exe-knetsvcs”(如图2),说明helpsvc服务是依靠SVCHOST调用“netsvcs”参数来实现的,而参数的内容则是存放在系统注册表中的。
为什么Win10系统的Svchost
为什么Win10系统的Svchost.exe 进程会那么占网速
•
Win10系统使用过程中网络突然变得很卡, 经过查看以后发现有一个Svchost.exe的进 程在下载东西。这个Svchost.exe到底是什 么进程,为什么会那么占网速呢?本文就 来给大家解答一下这些问题。
• •
Svchost.exe是什么? Svchost.exe进程是一个属于微软 Windows操作系统的系统进程,微软系统 自身联网升级更新什么的需要Svchost.exe, 大部分软件也需要Svchost.exe联网之后才 能升级,这个程序对系统的正常运行是非 常重要。
• •
怎么关闭Svchost.exe进程? 您可以打开任务管理器。点击“显示 所有用户进程”。点击“镜像名称”进行 排序,接着在列表中找到Svchost.exe进程, 终止相应 的服务。
• 因为Svchost.exe进程是微软下载补丁的进 程,所以它才会那么占用Win10系统的网速。 如果关闭Svchost.exe进程,就不能更新 Win10系统了。
• Jjhl7684dggds如果你想学到更多的电脑知 识请随时关注系统114,记住我们的官方网 站:系统之家下载站 /
Svchost进程揭秘
Svchost进程揭秘出处:中国电脑教育报责任编辑:chenyong[04-9-7 10:06] 作者:尹竹·看奥运竞猜赛果拿iPod大奖·笔记本专家坐镇回答网友问题·喜欢CS的你绝对不能错过的贴·XP命令高手完全集合·推荐六套64位配置并解答问题·惊人发现ATARC完全是个骗局?·看奥运竞猜赛果拿iPod大奖·笔记本专家坐镇回答网友问题·喜欢CS的你绝对不能错过的贴·XP命令高手完全集合·推荐六套64位配置并解答问题·惊人发现ATARC完全是个骗局?·看奥运竞猜赛果拿iPod大奖·笔记本专家坐镇回答网友问题·喜欢CS的你绝对不能错过的贴·XP命令高手完全集合·推荐六套64位配置并解答问题·惊人发现ATARC完全是个骗局?在基于NT内核的Windows操作系统家族中,Svchost.exe是一个非常重要的进程。
很多病毒、木马驻留系统与这个进程密切相关,因此深入了解该进程是非常有必要的。
本文主要介绍Svchost进程的功能,以及与该进程相关的知识。
Svchost进程概述微软对“Svchost进程”的定义是:Svchost.exe是从动态链接库(DLL)中运行的服务的通用主机进程名称。
Svchost.exe文件位于“%System Root%\System32”文件夹中。
当系统启动时,Svchost将检查注册表中的服务部分,以构建需要加载的服务列表。
Svchost的多个实例可以同时运行。
每个Svchost会话可以包含一组服务,以便根据Svchost的启动方式和位置的不同运行不同的服务,这样可以更好地进行控制且更加便于调试。
Svchost组是由注册表[HKEY_LOCAL_MACHINE\ Software\Microsoft\WindowsNT\CurrentVersion\Svchost]项来识别的。
为什么进程里面会出现多个SVCHOST.EXE
为什么进程里面会出现多个SVCHOST.EXE很多朋友都以一个疑问,为啥进程里面会有好几个SVCHOST.EXE 进程出现?现在我就用比较俗的解释比喻一下:SVCHOST.EXE好比是一头牛,系统服务就像是牛身上的寄生虫,所以牛就是那些寄生虫的宿主。
也就是说服务都依附在SVCHOST.EXE进程后面运行,当然具有交互界面的服务除外(比如:Print Spooler服务)。
那为啥服务不都依附到一个SVCHOST.EXE后面呢?因为不同的服务具有不同的启动参数,参数一样的就会归类到他们共有的一个宿主后面,哪怕是只有一个不同服务启动参数的服务,也要新开一个SVCHOST.EXE宿主,所以说有多少启动参数类型一样的服务,就会出现一个SVCHOST.EXE,哪怕是这种启动参数的服务只有一个,也要新开一个宿主。
也许看着有些糊涂,那就再用俗的解释一下:我们把服务统称为调味品,调味品里面分别有盐、味精、胡椒,你肯定会拿三个瓶子,然后把他们各自放入到一个瓶子里面(这里的瓶子就算是SVCHOST.EXE),如果你再买回辣椒面,你肯定不会把它和别的混合在一个瓶子里面,就会再拿一个新瓶子装,这次就会多出一个瓶子。
以此类推你每增加一个新的调味品,就会再拿出一个瓶子来装它。
上面解释的够通俗吧!所以说每个SVCHOST.EXE都是负责一类启动参数的服务,如果你的进程里面有5个SVCHOST.EXE,那么就可以说你所有的已启动服务使用了五种启动参数,启动参数相同的服务就会在同一个SVCHOST.EXE进程后面。
所以说SVCHOST.EXE进程过多,并不就表示你的系统出了状况,但是可能开启了一些并用不上的服务,可以去服务里禁用掉当前不需要的服务。
如果需要查看系统当前加载了那些服务,每个SVCHOST后面都有那些服务,现推荐两种方法:1、使用微软免费提供的PROCESS EXPLORER工具(我极力推荐使用此款工具,免费、功能强大)2、使用CMD /K TASKLIST /SVC命令这里我还想强调的一点:千万不要为了减少SVCHOST.EXE进程数而去禁用服务,因为每个人的电脑配置设置不同,也不要参考某个人的电脑或者某些优化软件所谓的成品模板来禁用服务,而是要按照自己当前的需求来合理设置。
svchost.exe是什么进程,是病毒吗?
svchost.exe是什么进程,是病毒吗?一、svchost.exe是什么svchost.exe是windows操作系统一个非常重要的进程模块。
因此很多病毒都利用svchost.exe来迷惑大家。
但是只要我们仔细观察就会知道是不是病毒。
正常的XP操作系统下有五到六个svchost.exe进程,其中SYSTEM用户名下有3个svchost.exe,NETWORK SERVICE用户名下有2个svchost.exe,LOCAL SERVICE用户名下有1个svchost.exe。
其他系统也是大致如此,他们的用户名都是SYSTEM、NETWORK SERVICE、LOCAL SERVICE这三个,如果不是这三个用户名那么就有可能是病毒了。
而且还有非常重要的一点就是正常的svchost.exe这个程序是在windows\system32这个目录下。
如果其它目录下有svchost.exe那肯定就是病毒了。
进程里面的svchost.exe个数不重要,关键看他是什么用户名而且位置是不是在windows\system32这个目录下。
举个例子:木马很喜欢安装在C:\windows\目录下,因为很具有迷惑性哦,其实它就是木马,将它杀掉。
二、SVCHOST.EXE病毒辨别通常情况下svchost.exe不会是病毒的。
病毒程序没有办法覆盖系统的svchost.exe。
他们一般是采用混淆的方式,让用户产生错觉。
一般是把svchost.exe里面的o改成0,注意一个是欧一个是零,改成这样svch0st.exe,让你很难看出来的。
还有一种就是大小写欺骗,木马通常写成SVCHOST.EXE(全大些)或者svchost.EXE(部分大些)等等,而正常的操作系统一般是小写的,所有发现进程里有这些特征的,首先要怀疑是木马,查查毒,分析文件,确认是木马就将其杀掉。
三、SVCHOST.EXE病毒查杀方法SVCHOST.EXE这个病毒一般有以下几种情况1、直接是SVCHOST.EXE这个文件但放在其他目录下。
Svchost.exe进程介绍Svchost病毒清除方法
Svchost.exe进程介绍Svchost病毒清除方法Svchost.exe在windows进程中占据很大一部分的资源,而且这个进程非常容易被病毒所利用。
Svchost.exe被病毒利用之后,系统常会弹出Svchost.exe错误,当然Svchost病毒也有专杀工具。
那么Svchost.exe是什么进程呢?Svchost病毒又该怎么去清除呢?接下来就让我们一起来了解下吧。
很多朋友对Svchost进程都不太了解,有时在工作管理员中一旦看到有多个该进程,就以为自己的电脑中了病毒或木马,其实并非如此!正常情况下,windows中可以有多个Svchost.exe进程同时运行,例如Windows 2000至少有2个Svchost进程,Windows XP中有4个以上,Windows 2003中则有更多,所以当你看到多个Svchost进程时,未必就是病毒!Svchost.exe是什么?Svchost.exe文件存在于“%system root%system32”(例如C:Windowssystem32)目录下,它是Windows NT核心的重要进程(Windows 9X没有该进程),专门为系统启动各种服务的。
例如Svchost.exe调用rpcss.dll档,就会启动rpcss服务(remote procedure call).Svchost.exe实际上是一个服务宿主,它本身并不能给使用者提供任何服务,但是可以用来运行动态连结程式库DLL档,从而启动对应的服务。
Svchost.exe进程可以同时启动多个服务。
Svchost.exe是一个系统的核心进程,并不是病毒进程。
但由于Svchost.exe进程的特殊性,所以病毒也会千方百计的入侵Svchost.exe。
通过查看Svchost.exe进程的执行路径可以确认是否中毒如果你怀疑电脑有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索Svchost.exe档就可以发现异常情况。
全面认识Svchost
全面认识Svchost.exe进程很多朋友对svchost.exe进程都不太了解,有时在任务管理器中一旦看到有多个该进程(图1中有6个),就以为自己的电脑中了病毒或木马,其实并非如此!正常情况下,windows 中可以有多个svchost.exe进程同时运行,例如Windows2000至少有2个Svchost进程,WindowsXP中有4个以上,Windows2003中则有更多,所以当你看到多个svchost进程时,未必就是病毒!svchost.exe进程是干什么的?svchost.exe文件存在于“%systemroot%\system32”(例如C:\Windows\system32)目录下,它是WindowsNT核心的重要进程(Windows9X没有该进程),专门为系统启动各种服务的。
例如Svchost.exe调用rpcss.dll文件,就会启动rpcss 服务(remoteprocedurecall)。
svchost.exe实际上是一个服务宿主,它本身并不能给用户提供任何服务,但是可以用来运行动态链接库DLL文件,从而启动对应的服务。
Svchost.exe进程可以同时启动多个服务。
svchost是如何启动系统服务的?由于系统服务都是以动态链接库(DLL)形式实现的,它们把可执行程序指向svchost,因此svchost只要调用某个动态链接库,即可启动对应的服务。
那么svchost启动某服务时,又是如何知道应该调用哪个动态链接库?这是由于系统服务在注册表中都设置了相关参数,因此svchost通过读取某服务在注册表中的信息,即可知道应该调用哪个动态链接库,从而启动该服务。
下面我们以svchost启动helpsvc(HelpandSupport)服务为例,介绍其启动服务的方法。
在WindowsXP中点击“开始”“运行”,输入“services.msc”命令,弹出服务对话框,然后双击打开“HelpandSupport”服务属性对话框,可以看到helpsvc服务的可执行文件的路径为“C:\WINDOWS\System32\svchost.exe-knetsvcs”(如图2),说明helpsvc服务是依靠SVCHOST调用“netsvcs”参数来实现的,而参数的内容则是存放在系统注册表中的。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows操作系统中Svchost进程功能揭秘
南方网讯在基于NT内核的Windows操作系统家族中,Svchost.exe是一个非常重要的进程。
很多病毒、木马驻留系统与这个进程密切相关,因此深入了解该进程是非常有必要的。
本文主要介绍Svchost进程的功能,以及与该进程相关的知识。
Svchost进程概述
微软对“Svchost进程”的定义是:Svchost.exe是从动态链接库(DLL)中运行的服务的通用主机进程名称。
Svchost.exe文件位于“%SystemRoot%\System32”文件夹中。
当系统启动时,Svchost将检查注册表中的服务部分,以构建需要加载的服务列表。
Svchost的多个实例可以同时运行。
每个Svchost会话可以包含一组服务,以便根据Svchost的启动方式和位置的不同运行不同的服务,这样可以更好地进行控制且更加便于调试。
Svchost组是由注册表[HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows
NT\CurrentVersion\Svchost]项来识别的。
在这个注册表项下的每个值都代表单独的Svchost组,并在我们查看活动进程时作为单独的实例显示。
这里的键值均为REG_MULTI_SZ 类型的值,并且包含该Svchost组里运行的服务名称(如图1)。
实际上,Svchost只是作为服务的宿主,本身并不实现什么功能。
如果需要使用Svchost 来启动某个DLL形式实现的服务,该DLL的载体Loader指向Svchost,在启动服务的时候由Svchost调用该服务的DLL来实现启动的目的。
使用Svchost启动某个服务的DLL文件是由注册表中的参数来决定的,在需要启动服务的注册表项下都有一个“Parameters”子项,其中的“ServiceDll”键值表明该服务由哪个DLL文件负责,并且这个DLL文件必须导出一个ServiceMain()函数,为处理服务任务提供支持。
提示:不同版本的Windows系统,存在不同数量的Svchost进程。
一般来说,Windows 2000有两个Svchost进程,而Windows XP则有四个或四个以上的Svchost进程。
Svchost进程实例讲解
要想查看在Svchost中运行服务的列表,可以在Windows XP命令提示符窗口中输入“Tasklist /svc”命令后,回车执行(如果使用的是Windows 2000,可用Support Tools 提供的Tlist工具查看,命令为“Tlist -s”)。
Tasklist命令显示活动进程的列表,/svc 命令开关指定显示每个进程中活动服务的列表。
从图中可以看到,Svchost进程启动很多系统服务,如:RpcSs(Remote Procedure Call)、Dhcp(DHCP Client)、Netman(Network Connections)服务等等(如图2)。
这里我们以RpcSs服务为例,来具体了解一下Svchost进程与服务的关系。
运行Regedit,打开注册表编辑器,依次展开[HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\RpcSs ]分支,在“Parameters”子项中有个名为“ServiceDll”的键,其值为“%SystemRoot%\system32\rpcss.dll”。
这表示系统启动RpcSs 服务时,调用“%SystemRoot%\system32”目录下的Rpcss.dll动态链接库文件。
接下来,从控制面板中依次双击“管理工具→服务”,打开服务控制台。
在右侧窗格中双击“Remote Procedure Call(RPC)”服务项,打开其属性对话框,可以看到RpcSs服务的可执行文件的路径为“C:\Windows\system32\svchost -k rpcss”,这说明RpcSs服务是依靠Svchost启动的,“-k rpcss”表示此服务包含在Svchost的Rpcss服务组中。
Svchost进程木马浅析
从前面的介绍我们已经知道,在注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current- Version\Svchost]分支中,存放着Svchost启动的组和组内的各项服务,很多木马和病毒正是利用这一点来实现自动加载的。
它们通常的方法有:
·添加一个新的组,在组里添加服务名;
·在现有的组里添加服务名或者利用现有组一个未安装的服务;
·修改现有组里的服务,将它的ServiceDll指向自己的DLL文件。
例如PortLess BackDoor就是一款典型的利用Svchost进程加载的后门工具。
那么对于像PortLess BackDoor这样的木马、病毒,该如何检测并清除呢?以Windows XP为例,首先我们可以利用“进程间谍”这样的进程工具查看Svchost进程中的模块信息(如图3),并与之前的模块信息比较,可以发现Svchost进程中有一个可疑的DLL文件“SvchostDLL.dll”。
同时,在“管理工具→服务”列表中会看到一项新的服务“Intranet Services”(显示名称),此服务名称为:Iprip,由Svchost启动,“-k netsvcs”表示此服务包含在Netsvcs服务组中。
提示:在Windows 2000中,系统的Iprip服务侦听由使用Routing Information协议版本1(RIPv1)的路由器发送的路由更新信息,在服务列表中显示的名称为“RIP Listener”。
运行Regedit,打开注册表编辑器,展开
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\IPRIP]分支,查看其“Parameters”子项,其中“ServiceDll”键值指向调用的DLL文件路径和全称,这正是后门的DLL文件。
知道了这些,就可以动手清除了:在服务列表用右键单击“Intranet Services”服务,从菜单中选择“停止”,然后在上述注册表分支中删除“Iprip”项。
重新启动计算机,再按照“ServiceDll”键值提示的位置删除后门程序主文件即可。
最后需要提醒读者的是,对注册表进行修改前,应做好备份工作,以便出现错误时能够及时还原。
图1 注册表中的Svchost
图2 Svchost的服务列表
图3 Svchost进程中的模块信息。