奇虎快照

w001_88 2010-07-19

展開全文

SVCHOST.EXE有兩個怎么辦?

SVCHOST.EXE LOCAL SERVICE
網(wǎng)賺培訓(xùn)
SVCHOST.EXE NETWORK SERVICE
我該結(jié)束哪個啊?

XP下一般會有5-6個svchost隨機啟動運行，有的是在聯(lián)局域網(wǎng)，有的在檢測更新，所以剛開機時是很慢的，沒什么用的，建議關(guān)閉檢測更新的那個，以后半月手動更新一次就行了。就這個最占CPU達100%。說實話咱一個小老百姓沒什么更新的必要，關(guān)閉方法如下：
打開控制面板==管理工具==服務(wù)，找到"Automatic Updates"(或者是自動更新)，將其停止，并且設(shè)置為手動啟動，然后再刪除C：\WINDOWS\SoftwareDistribution。問題就解決了。本人親測無害！
vchost.exe、 lsass.exe、wdfmgr.exe，打開進程列表后你會發(fā)現(xiàn)一大堆不知用途的進程，究竟是系統(tǒng)進程還是木馬病毒?如果打開系統(tǒng)文件夾，一大堆奇奇怪怪名稱的文件，更是會把你弄得暈頭轉(zhuǎn)向。很多朋友因此而始終抱有一種未知的恐懼，認(rèn)為木馬、黑客無處不在，即使是高手，也不能把這些陌生的系統(tǒng)文件說個明明白白。為消除大家的疑惑，從這期開始為大家?guī)硪粰n新的連載欄目--系統(tǒng)藍色檔案為大家曝光這些隱秘文件的秘密。兩位主人公，現(xiàn)在就來認(rèn)識一下。
主人公介紹
小菜：剛接觸電腦不久的菜鳥，但對電腦知識有著非常濃厚的學(xué)習(xí)興趣，常說的一句話是"菜鳥先飛"。
大嘴：樂于助人的老鳥，經(jīng)常被別人冠以"大嘴高手"稱號，不過這并不是指他嘴特別大，而是一談到電腦知識就滔滔不絕。
一、緊急狀況：系統(tǒng)發(fā)現(xiàn)嚴(yán)重病毒
小菜剛剛學(xué)習(xí)了進程的概念和知識，于是就打開"任務(wù)管理器"觀察系統(tǒng)中的進程，這一看不要緊，還真發(fā)現(xiàn)了一個"病毒"Svchost.exe，這家伙在系統(tǒng) 進程列表中竟然有5個之多(見圖1)，于是小菜就逐個結(jié)束這些進程，沒想到第二個進程結(jié)束后還會再生，而結(jié)束第四個進程時更離譜，系統(tǒng)提示"系統(tǒng)即將關(guān) 機，離關(guān)機還有60秒"，進程再生、錯誤提示，這些典型的病毒"癥狀"更讓小菜相信"Svchost.exe"是病毒無疑，但無法結(jié)束進程，又該怎么清除病毒呢?小菜只好請來了大嘴。
圖1數(shù)量眾多的SVCHOST進程
大嘴過來后還沒看電腦，就先告訴小菜，系統(tǒng)中的Svchost.exe進程是正常系統(tǒng)進程，不是病毒，不僅僅是你，其他朋友一看到系統(tǒng)中這么多的Svchost.exe進程，第一反應(yīng)也感覺它是病毒，雖然系統(tǒng)中有多個 Svchost.exe進程是正常的，但也不保證都是正常的。聽起來似乎有些矛盾?這讓小菜更有些迷糊，大嘴坐下后給小菜詳細(xì)講了起來。
二、松了口氣：Svchost.exe是臺"CD機"
1.服務(wù)裝在"CD機"里
Svchost.exe 是NT內(nèi)核*作系統(tǒng)(Windows 2000/XP/2003都屬于NT內(nèi)核*作系統(tǒng))獨有的進程，"Svchost"其實就是"Service Host"(服務(wù)宿主)的縮寫。微軟官方對它的定義是：Svchost.exe是從動態(tài)鏈接庫(DLL)中運行的服務(wù)的通用主機進程名稱，通俗講，它就是一個服務(wù)裝載器。大家可以把每個服務(wù)想象成一張音樂CD，而Svchost.exe就是用來播放這種CD的CD機。
2.為什么用"CD機"裝服務(wù)
由于Windows 2000/XP系統(tǒng)服務(wù)越來越多，以EXE單獨進程的形式啟動所有服務(wù)會大大增加系統(tǒng)負(fù)擔(dān)，為節(jié)省系統(tǒng)資源，微軟將一些系統(tǒng)服務(wù)以動態(tài)鏈接庫(DLL)形式實現(xiàn)，而Svchost.exe就是用來裝載這些DLL文件以啟動系統(tǒng)服務(wù)的程序。沒有人會為了發(fā)行一張CD而制作一臺專用播放此CD的CD機，微軟也一樣。
3.系統(tǒng)里有幾臺這樣的"CD機"
那為什么系統(tǒng)進程列表中的Svchost.exe會有多個呢?微軟為了讓系統(tǒng)能更好地進行服務(wù)控制，就允許多個Svchost.exe進程同時運行，每個Svchost.exe進程可以包含一組服務(wù)，想像一下可以同時容納3張甚至更多CD的多碟CD 機。打開注冊表[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost]主鍵，在窗口右側(cè)可以看到許多鍵值，這里的每個鍵值都代表一組服務(wù)，鍵值數(shù)據(jù)則包含了該組服務(wù)下面運行的服務(wù)名稱列表，每組服務(wù)啟動時都會通過單獨的Svchost.exe進程來裝載。Windows XP中默認(rèn)共有六組服務(wù)(見圖2)，其中imgsvc、NetworkService、rpcss、termsvcs四個組，它們都只有一個服務(wù)運行，這些服務(wù)啟動后的Svchost.exe進程用戶名為"SYSTEM"。而LocalService和netsvcs組都啟動了多個服務(wù)，它們的 Svchost.exe進程用戶名分別為"LOCAL SERVICE"和"NETWORD SERVICE"，從圖1中可以看到這種區(qū)別。
圖2眾多svchost進程的區(qū)別
當(dāng) 然了，這六組服務(wù)通常并不都是啟動狀態(tài)的，根據(jù)系統(tǒng)啟動的服務(wù)不同，反映在系統(tǒng)進程列表中的Svchost.exe進程數(shù)量也是不同的，Windows XP會有四個到六個Svchost.exe進程，而Windows 2000通常則會有兩個Svchost.exe進程。
小提示：點擊"開始→運行"，在運行框中輸入"CMD"回車，然后在打開的命令行窗口中輸入"Tasklist/svc"(不含引號)命令，可以更直觀地看到每個Svchost.exe進程裝載的服務(wù)名稱列表(見圖3)。
圖3查看svchost進程裝載的服務(wù)名稱
4.獲取每張"CD"的詳細(xì)信息
如果想更進一步了解Svchost.exe裝載的這些服務(wù)都是什么功能，可以記下鍵值數(shù)據(jù)中的服務(wù)名稱，例如"RpcSs"，接著打開注冊表的 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services]，再打開下面的"RpcSs"子鍵，在右邊的"Description"鍵值中就可以看到該服務(wù)的描述，而在"ImagePath"鍵值數(shù)據(jù)中則可以看到這個服務(wù)的運行命令正是"%SystemRoot%\system32\svchost-k rpcss"(見圖4)。而在"RpcSs"子鍵下還有一個"Parameters"(參數(shù))子鍵，其右邊的"ServiceDll"鍵值數(shù) 據(jù)"%SystemRoot%\system32\rpcss.dll"則表明了RpcSs服務(wù)啟動時調(diào)用的是系統(tǒng)目錄下的"Rpcss.dll"文件，這就好像你原來只知道CD中歌曲的歌名，現(xiàn)在又讓你能夠查到這首歌的演唱者。
圖4查看svchost的具體功能
如果覺得通過注冊表查詢服務(wù)名稱了解其屬性不太方便，也可以使用"全能助手用Windows服務(wù)管理專家"(以下簡稱"服務(wù)管理專家")來查詢，運行軟件后單擊"All Win32Services"分支，在右側(cè)服務(wù)列表中根據(jù)服務(wù)名稱索引即可快速找到要查詢的服務(wù)，單擊服務(wù)名稱，即可看到該服務(wù)的啟動命令以及調(diào)用的 DLL文件等相關(guān)信息(見圖5)。同時軟件還專門設(shè)計了Svchost Group分支，可以快速查詢LocalService和netsvcs組中的服務(wù)詳細(xì)信息。
圖5用工具查看svchost的情況
全能助手Windows服務(wù)管理專家小檔案
軟件名稱：全能助手Windows服務(wù)管理專家
軟件版本：1.02
軟件大?。?7KB
軟件授權(quán)：免費
適用平臺：Windows 2000/XP
下載地址：點擊這里下載
三、危機仍在：小心病毒的騙局
由于Svchost.exe進程的特殊性，它隱藏了真正運行的程序的名稱，在表面看到的只是Svchost.exe進程，這個特性同時也讓許多病毒、木馬有空可鉆，企圖以此迷惑用戶。那么如何判斷系統(tǒng)中的多個Svchost.exe進程是否正常呢?下面針對這類病毒常用的幾種欺騙手法來進行分析。
騙局1：利用假冒Svchost.exe名稱的病毒程序
火眼金睛：這種方式運行的病毒并沒有直接利用真正的Svchost.exe進程，而是啟動了另外一個名稱同樣是Svchost.exe的病毒進程，由于這個假冒的病毒進程并沒有加載系統(tǒng)服務(wù)，它和真正的Svchost.exe進程是不同的，只需在命令行窗口中運行一下"Tasklist/svc"，如果看到哪個Svchost.exe進程后面提示的服務(wù)信息是"暫缺"(見圖6)，而不是一個具體的服務(wù)名，那么它就是病毒進程了，記下這個病毒進程對應(yīng)的PID 數(shù)值(進程標(biāo)識符)，即可在任務(wù)管理器的進程列表中找到它，結(jié)束進程后，在C盤搜索Svchost.exe文件，也可以用第三方進程工具直接查看該進程的路徑，正常的Svchost.exe文件是位于%systemroot%\System32目錄中的，而假冒的Svchost.exe病毒或木馬文件則會在其他目錄，例如"w32.welchina.worm"病毒假冒的Svchost.exe就隱藏在Windows\System32\Wins目錄中，將其刪除，并徹底清除病毒的其他數(shù)據(jù)即可。
圖6查看可疑svchost進程
騙局2：一些高級病毒則采用類似系統(tǒng)服務(wù)啟動的方式，通過真正的Svchost.exe進程加載病毒程序，而Svchost.exe是通過注冊表數(shù)據(jù)來決定要裝載的服務(wù)列表的，所以病毒通常會在注冊表中采用以下方法進行加載：
添加一個新的服務(wù)組，在組里添加病毒服務(wù)名
在現(xiàn)有的服務(wù)組里直接添加病毒服務(wù)名
修改現(xiàn)有服務(wù)組里的現(xiàn)有服務(wù)屬性，修改其"ServiceDll"鍵值指向病毒程序
判斷方法：病毒程序要通過真正的Svchost.exe進程加載，就必須要修改相關(guān)的注冊表數(shù)據(jù)，可以打開 [HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion \Svchost]，觀察有沒有增加新的服務(wù)組，同時要留意服務(wù)組中的服務(wù)列表，觀察有沒有可疑的服務(wù)名稱，通常來說，病毒不會在只有一個服務(wù)名稱的組中添加，往往會選擇LocalService和netsvcs這兩個加載服務(wù)較多的組，以干擾分析，還有通過修改服務(wù)屬性指向病毒程序的，通過注冊表判斷起來都比較困難，這時可以利用前面介紹的服務(wù)管理專家，分別打開LocalService和netsvcs分支，逐個檢查右邊服務(wù)列表中的服務(wù)屬性，尤其要注意服務(wù)描述信息全部為英文的，很可能是第三方安裝的服務(wù)，同時要結(jié)合它的文件描述、版本、公司等相關(guān)信息，進行綜合判斷。例如這個名為PortLess BackDoor的木馬程序，在服務(wù)列表中可以看到它的服務(wù)描述為"Intranet Services"，而它的文件版本、公司、描述信息更全部為空(見圖7)，如果是微軟的系統(tǒng)服務(wù)程序是絕對不可能出現(xiàn)這種現(xiàn)象的。從啟動信息"C：\WINDOWS\System32\svchost.exe-k netsvcs"中可以看出這是一款典型的利用Svchost.exe進程加載運行的木馬，知道了其原理，清除方法也很簡單了：先用服務(wù)管理專家停止該服務(wù)的運行，然后運行regedit.exe打開"注冊表編輯器"，刪除[HKEY_LOCAL_MACHINE\System \CurrentControlSet\Services\IPRIP]主鍵，重新啟動計算機，再刪除%systemroot%\System32目錄中的木馬源程序"svchostdll.dll"，通過按時間排序，又發(fā)現(xiàn)了時間完全相同的木馬安裝程序"PortlessInst.exe"，一并刪除即可。
LZ的電腦好差才2個我家5個呢
先殺毒，我有好幾個
在Windows2000系統(tǒng)中一般存在2個 svchost.exe進程，一個是RPCSS(RemoteProcedureCall)服務(wù)進程，另外一個則是由很多服務(wù)共享的一個 svchost.exe；而在WindowsXP中，則一般有4個以上的svchost.exe服務(wù)進程。如果svchost.exe進程的數(shù)量多于5 個，就要小心了，很可能是病毒假冒的，檢測方法也很簡單，使用一些進程管理工具，例如Windows優(yōu)化大師的進程管理功能，查看svchost.exe 的可執(zhí)行文件路徑，如果在"C：\WINDOWS\system32"目錄外，那么就可以判定是病毒了
參考資料：百度百科