wordpress 插件站,设计师接私单做网站,wordpress主题xiu,大学生兼职网站开发在基于NT内核的Windows操作系统家族中#xff0c;Svchost.exe是一个非常重要的进程。很多病毒、木马驻留系统与这个进程密切相关#xff0c;因此深入了解该进程是非常有必要的。本文主要介绍Svchost进程的功能#xff0c;以及与该进程相关的知识。 Svchost进程概述…在基于NT内核的Windows操作系统家族中Svchost.exe是一个非常重要的进程。很多病毒、木马驻留系统与这个进程密切相关因此深入了解该进程是非常有必要的。本文主要介绍Svchost进程的功能以及与该进程相关的知识。 Svchost进程概述 微软对“Svchost进程”的定义是Svchost.exe是从动态链接库DLL中运行的服务的通用主机进程名称。Svchost.exe文件位于“%SystemRoot%/System32”文件夹中。当系统启动时Svchost将检查注册表中的服务部分以构建需要加载的服务列表。Svchost的多个实例可以同时运行。每个Svchost会话可以包含一组服务以便根据Svchost的启动方式和位置的不同运行不同的服务这样可以更好地进行控制且更加便于调试。 Svchost组是由注册表[HKEY_LOCAL_MACHINE/ Software/Microsoft/Windows NT/CurrentVersion/Svchost]项来识别的。在这个注册表项下的每个值都代表单独的Svchost组并在我们查看活动进程时作为单独的实例显示。这里的键值均为REG_MULTI_SZ类型的值并且包含该Svchost组里运行的服务名称如图1。 实际上Svchost只是作为服务的宿主本身并不实现什么功能。如果需要使用Svchost来启动某个DLL形式实现的服务该DLL的载体Loader指向Svchost在启动服务的时候由Svchost调用该服务的DLL来实现启动的目的。使用Svchost启动某个服务的DLL文件是由注册表中的参数来决定的在需要启动服务的注册表项下都有一个“Parameters”子项其中的“ServiceDll”键值表明该服务由哪个DLL文件负责并且这个DLL文件必须导出一个ServiceMain函数为处理服务任务提供支持。 提示不同版本的Windows系统存在不同数量的Svchost进程。一般来说Windows 2000有两个Svchost进程而Windows XP则有四个或四个以上的Svchost进程。 Svchost进程实例讲解 要想查看在Svchost中运行服务的列表可以在Windows XP命令提示符窗口中输入“Tasklist /svc”命令后回车执行如果使用的是Windows 2000可用Support Tools提供的Tlist工具查看命令为“Tlist -s”。Tasklist命令显示活动进程的列表/svc命令开关指定显示每个进程中活动服务的列表。从图中可以看到Svchost进程启动很多系统服务如RpcSsRemote Procedure Call、DhcpDHCP Client、NetmanNetwork Connections服务等等如图2。 这里我们以RpcSs服务为例来具体了解一下Svchost进程与服务的关系。运行Regedit打开注册表编辑器依次展开[HKEY_LOCAL_MACHINE/SYSTEM CurrentControlSet/Services/RpcSs ]分支在“Parameters”子项中有个名为“ServiceDll”的键其值为“%SystemRoot%/system32/rpcss.dll”。这表示系统启动RpcSs服务时调用“%SystemRoot%/system32”目录下的Rpcss.dll动态链接库文件。 接下来从控制面板中依次双击“管理工具→服务”打开服务控制台。在右侧窗格中双击“Remote Procedure CallRPC”服务项打开其属性对话框可以看到RpcSs服务的可执行文件的路径为“C:/Windows/system32/svchost -k rpcss”这说明RpcSs服务是依靠Svchost启动的“-k rpcss”表示此服务包含在Svchost的Rpcss服务组中。 Svchost进程木马浅析 从前面的介绍我们已经知道在注册表[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current- Version/Svchost]分支中存放着Svchost启动的组和组内的各项服务很多木马和病毒正是利用这一点来实现自动加载的。它们通常的方法有 • 添加一个新的组在组里添加服务名 • 在现有的组里添加服务名或者利用现有组一个未安装的服务 • 修改现有组里的服务将它的ServiceDll指向自己的DLL文件。 例如PortLess BackDoor就是一款典型的利用Svchost进程加载的后门工具。那么对于像PortLess BackDoor这样的木马、病毒该如何检测并清除呢以Windows XP为例首先我们可以利用“进程间谍”这样的进程工具查看Svchost进程中的模块信息如图3并与之前的模块信息比较可以发现Svchost进程中有一个可疑的DLL文件“SvchostDLL.dll”。同时在“管理工具→服务”列表中会看到一项新的服务“Intranet Services”显示名称此服务名称为Iprip由Svchost启动“-k netsvcs”表示此服务包含在Netsvcs服务组中。 提示在Windows 2000中系统的Iprip服务侦听由使用Routing Information协议版本1RIPv1的路由器发送的路由更新信息在服务列表中显示的名称为“RIP Listener”。 运行Regedit打开注册表编辑器展开[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet Services/IPRIP]分支查看其“Parameters”子项其中“ServiceDll”键值指向调用的DLL文件路径和全称这正是后门的DLL文件。知道了这些就可以动手清除了在服务列表用右键单击“Intranet Services”服务从菜单中选择“停止”然后在上述注册表分支中删除“Iprip”项。重新启动计算机再按照“ServiceDll”键值提示的位置删除后门程序主文件即可。最后需要提醒读者的是对注册表进行修改前应做好备份工作以便出现错误时能够及时还原
