| |
|
| |
 |
|
svchost进程揭秘
|
|
| 日期:2005-7-18 14:26:17 来源:易特网络技术 编辑:黑鹰 点击: |
在基于nt内核的windows操作系统家族中,svchost.exe是一个非常重要的进程。很多病毒、木马驻留系统与这个进程密切相关,因此深入了解该进程是非常有必要的。本文主要介绍svchost进程的功能,以及与该进程相关的知识。
svchost进程概述
微软对“svchost进程”的定义是:svchost.exe是从动态链接库(dll)中运行的服务的通用主机进程名称。svchost.exe文件位于“%systemroot%\system32”文件夹中。当系统启动时,svchost将检查注册表中的服务部分,以构建需要加载的服务列表。svchost的多个实例可以同时运行。每个svchost会话可以包含一组服务,以便根据svchost的启动方式和位置的不同运行不同的服务,这样可以更好地进行控制且更加便于调试。
svchost组是由注册表[hkey_local_machine\ software\microsoft\windows nt\currentversion\svchost]项来识别的。在这个注册表项下的每个值都代表单独的svchost组,并在我们查看活动进程时作为单独的实例显示。这里的键值均为reg_multi_sz类型的值,并且包含该svchost组里运行的服务名称(如图1)。
图1 注册表中的svchost
实际上,svchost只是作为服务的宿主,本身并不实现什么功能。如果需要使用svchost来启动某个dll形式实现的服务,该dll的载体loader指向svchost,在启动服务的时候由svchost调用该服务的dll来实现启动的目的。使用svchost启动某个服务的dll文件是由注册表中的参数来决定的,在需要启动服务的注册表项下都有一个“parameters”子项,其中的“servicedll”键值表明该服务由哪个dll文件负责,并且这个dll文件必须导出一个servicemain()函数,为处理服务任务提供支持。
提示:不同版本的windows系统,存在不同数量的svchost进程。一般来说,windows 2000有两个svchost进程,而windows xp则有四个或四个以上的svchost进程。
svchost进程实例讲解
要想查看在svchost中运行服务的列表,可以在windows xp命令提示符窗口中输入“tasklist /svc”命令后,回车执行(如果使用的是windows 2000,可用support tools提供的tlist工具查看,命令为“tlist -s”)。tasklist命令显示活动进程的列表,/svc命令开关指定显示每个进程中活动服务的列表。从图中可以看到,svchost进程启动很多系统服务,如:rpcss(remote procedure call)、dhcp(dhcp client)、netman(network connections)服务等等(如图2)。
图2 svchost的服务列表
这里我们以rpcss服务为例,来具体了解一下svchost进程与服务的关系。运行regedit,打开注册表编辑器,依次展开[hkey_local_machine\system\
currentcontrolset\services\rpcss ]分支,在“parameters”子项中有个名为“servicedll”的键,其值为“%systemroot%\system32\rpcss.dll”。这表示系统启动rpcss服务时,调用“%systemroot%\system32”目录下的rpcss.dll动态链接库文件。
接下来,从控制面板中依次双击“管理工具→服务”,打开服务控制台。在右侧窗格中双击“remote procedure call(rpc)”服务项,打开其属性对话框,可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”,这说明rpcss服务是依靠svchost启动的,“-k rpcss”表示此服务包含在svchost的rpcss服务组中。
svchost进程木马浅析
从前面的介绍我们已经知道,在注册表[hkey_local_machine\software\microsoft\windows nt\current- version\svchost]分支中,存放着svchost启动的组和组内的各项服务,很多木马和病毒正是利用这一点来实现自动加载的。它们通常的方法有:
· 添加一个新的组,在组里添加服务名;
· 在现有的组里添加服务名或者利用现有组一个未安装的服务;
· 修改现有组里的服务,将它的servicedll指向自己的dll文件。
例如portless backdoor就是一款典型的利用svchost进程加载的后门工具。那么对于像portless backdoor这样的木马、病毒,该如何检测并清除呢?以windows xp为例,首先我们可以利用“进程间谍”这样的进程工具查看svchost进程中的模块信息(如图3),并与之前的模块信息比较,可以发现svchost进程中有一个可疑的dll文件“svchostdll.dll”。同时,在“管理工具→服务”列表中会看到一项新的服务“intranet services”(显示名称),此服务名称为:iprip,由svchost启动,“-k netsvcs”表示此服务包含在netsvcs服务组中。
图3 svchost进程中的模块信息
提示:在windows 2000中,系统的iprip服务侦听由使用routing information协议版本1(ripv1)的路由器发送的路由更新信息,在服务列表中显示的名称为“rip listener”。
运行regedit,打开注册表编辑器,展开[hkey_local_machine\system\currentcontrolset\
services\iprip]分支,查看其“parameters”子项,其中“servicedll”键值指向调用的dll文件路径和全称,这正是后门的dll文件。知道了这些,就可以动手清除了:在服务列表用右键单击“intranet services”服务,从菜单中选择“停止”,然后在上述注册表分支中删除“iprip”项。重新启动计算机,再按照“servicedll”键值提示的位置删除后门程序主文件即可。最后需要提醒读者的是,对注册表进行修改前,应做好备份工作,以便出现错误时能够及时还原。
|
上一篇:菜鸟必读之七大windows系统故障解析
下一篇:苹果操作系统精选
[发送给好友] [打印本页] [关闭窗口] [返回顶部] 转载请注明来源:http://www.iyit.net |
|
| 特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。 |
| 责任编辑: 黑鹰 |
投稿作者: 易特网络 |
| 信息来源: 易特网络技术 |
录入时间: 2005-7-18 14:26:17 |
| 浏览次数: |
投稿信箱: shtghy@163.com |
|
|
|
|
