社区
安全技术/病毒
帖子详情
SVCHOST进程是做什么用的?
psypsy
2003-08-22 10:03:09
我的xp上有4个这个名字的进程在运行,一个用户名为LOCAL SERVICE的,
一个NETWORK SERVICE的,两个SYSTEM的,
其中一个SYSTEM的CPU占用率始终在50%以上
会不会是病毒?
...全文
46
3
打赏
收藏
SVCHOST进程是做什么用的?
我的xp上有4个这个名字的进程在运行,一个用户名为LOCAL SERVICE的, 一个NETWORK SERVICE的,两个SYSTEM的, 其中一个SYSTEM的CPU占用率始终在50%以上 会不会是病毒?
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
3 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
回炉重造,学习编程中。。。
2003-08-23
打赏
举报
回复
其中一个SYSTEM的CPU占用率始终在50%以上
那就可能是病毒了
----------------------------------------
宠辱不惊,坐看庭前花开花落;
去留无意,漫随天上云卷云舒;
----------------------------------------
二进制空间安全
2003-08-23
打赏
举报
回复
1
SVCHOST在正常情况下是正常程序,不过最近的冲击波变种好像也有一个SVCHOST程序,并且还有一个dllhost程序!!你看看你机子还有没有其它的可疑程序!
alexdyong
2003-08-22
打赏
举报
回复
Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。
.
Svchost.exe 组是用下面的注册表值来识别。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
.
为了能看到正在运行在Svchost列表中的服务。
开始-运行-敲入cmd
然后在敲入 tlist -s (tlist 应该是win2k工具箱里的东东)
Tlist 显示一个活动进程的列表。开关 -s 显示在每个进程中的活动服务列表。如果想知道更多的关于进程的信息,可以敲 tlist pid。
Tlist 显示Svchost.exe运行的两个例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkst
ation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在这个例子中注册表设置了两个组。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent RasautoRa
sman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs
smss.exe
csrss.exe
这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss 负责控制windows,创建或者删除线程和一些16位的虚拟MS-DOS环境。
svc
host
进程
分析器(可查看
svc
host
进程
中的线程)
svc
host
进程
分析器,可以看出里面的线程,对于可以的线程给出相应的提示,并提供终止线程,提供网络搜索相关资料。
服务Dll注入
Svc
host
进程
程序功能:(知识点在doc中) 1、实现服务dll 2、注入到
svc
host
进程
3、服务打开计算器(涉及到session,知识点) 4、线程输出时间debugview中查看 程序安装完服务,服务启动有以下方式: 1、重启电脑,使用电脑自带sv
host
服务组自启动服务; 2、手动执行脚本“DriverLifeSrvDll_启动服务.bat”; 3、打开任务管理器或者服务管理器,手动右键启动服务。
Svc
host
进程
分析器 1.0
Svc
host
.exe是WindowsXP/Vista上最神秘的
进程
之一.
Svc
host
.exe是运行动态链接库(DLLs)的服务的通用
进程
名.值得信任的
svc
host
.exe位于C:WindowsSystem32,但是很多病毒和木马也利用这个文件和
进程
名来进行伪装.
Svc
host
进程
分析器可以列举出所有的
svc
host
的实例,并检查它们包含的服务。这样就很容易发现
svc
host
蠕虫病毒,例如:声名狼藉的Confickerworm
svc
host
viewer 轻松识别
svc
host
.exe
进程
相信大家在打开任务管理器的时候,会看到多个
svc
host
.exe
进程
。那么这些
进程
是干什么的呢?为什么跟其他
进程
不一样呢? 其实,
svc
host
.exe 是一个属于微软操作系统的系统程序,用于执行DLL文件,系统的服务都是靠它来运行的。正因为如此,有很多病毒也喜欢伪装成它。那么我们如何轻松识别每一个
svc
host
.exe 是干什么的呢? 介绍大家下面这个小软件
svc
host
viewer ,专门查看
svc
host
.exe 运行的服务。
Svc
host
进程
分析器
Svc
host
.exe 是Windows XP/Vista上最神秘的
进程
之一.
Svc
host
.exe是运行动态链接库(DLLs)的服务的通用
进程
名. 值得信任的
svc
host
.exe位于C:\Windows\System32, 但是很多病毒和木马也利用这个文件和
进程
名来进行伪装.
Svc
host
进程
分析器 可以列举出所有的
svc
host
的实例,并检查它们包含的服务. 这样就很容易发现
svc
host
蠕虫病毒, 例如:声名狼藉的Conficker worm. 功能一览 不需安装和卸载 不需依赖任何其它的模块来运行 绿色软件,不会修改注册表 不会更改任何其他文件夹上的文件 不带任何广告软件 系统需求 Windows Vista, XP, 2000, 2003, NT 只占用 0.3 MB 硬盘空间
安全技术/病毒
9,506
社区成员
28,984
社区内容
发帖
与我相关
我的任务
安全技术/病毒
Windows专区 安全技术/病毒
复制链接
扫一扫
分享
社区描述
Windows专区 安全技术/病毒
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章