關於工作管理員中的 svchost.exe
- 主題發起人 jemshon
- 開始日期
我有6個 我也不知道那是啥 :PPP:Originally posted by jemshon@Feb 2 2005, 05:31 PM
有人說正常應該是只有4個...但小弟問了周遭蠻多朋友的
有人事4個 有人是5個 ,所以很不解
請問到底應該是幾個才正常,會是木馬作的怪嗎?
svchost.exe
(1.)微軟定義:Svchost.exe是從動態鏈接庫(DLL)中運行的服務的通用主機進程名稱
(2.)檔案位置:“%SystemRoot%System32”資料夾中
(3.)弁鄑@用:當系統啟動時,Svchost將檢查註冊表中的服務部分,以構建需要加載的服務清單。Svchost的多個實例可以同時運行。每個Svchost會話可以包含一組服務,以便根據Svchost的啟動方式和位置的不同運行不同的服務,這樣可以更好地進行控制且更加便於調試
(4.)不同版本的Windows系統,存在不同數量的Svchost程式。一般來說,Windows 2000有兩個Svchost程式,而Windows XP則有四個或四個以上的Svchost程式(以上皆是言在工作管理員內出現)
(5.)特性:Svchost隻是作為服務的宿主,本身並不實現什麼弁遄C如果需要使用Svchost來啟動某個DLL形式實現的服務,該DLL的載體Loader指向Svchost,在啟動服務的時候由Svchost調用該服務的DLL來實現啟動的目的。使用Svchost啟動某個服務的DLL文件是由註冊表中的參數來決定的
Svchost類似運輸調配站,主要是負責資訊調配,此項作用,使病毒可趁之機,再此加料,總讓人以為是病毒程式
正常來說會有5個。
(1.)微軟定義:Svchost.exe是從動態鏈接庫(DLL)中運行的服務的通用主機進程名稱
(2.)檔案位置:“%SystemRoot%System32”資料夾中
(3.)弁鄑@用:當系統啟動時,Svchost將檢查註冊表中的服務部分,以構建需要加載的服務清單。Svchost的多個實例可以同時運行。每個Svchost會話可以包含一組服務,以便根據Svchost的啟動方式和位置的不同運行不同的服務,這樣可以更好地進行控制且更加便於調試
(4.)不同版本的Windows系統,存在不同數量的Svchost程式。一般來說,Windows 2000有兩個Svchost程式,而Windows XP則有四個或四個以上的Svchost程式(以上皆是言在工作管理員內出現)
(5.)特性:Svchost隻是作為服務的宿主,本身並不實現什麼弁遄C如果需要使用Svchost來啟動某個DLL形式實現的服務,該DLL的載體Loader指向Svchost,在啟動服務的時候由Svchost調用該服務的DLL來實現啟動的目的。使用Svchost啟動某個服務的DLL文件是由註冊表中的參數來決定的
Svchost類似運輸調配站,主要是負責資訊調配,此項作用,使病毒可趁之機,再此加料,總讓人以為是病毒程式
正常來說會有5個。
有些木馬是採用與系統服務程式名稱相似的檔案,以達魚目混珠之效
之前幫老闆的電腦掃木馬時,看到記憶體裡一堆「乍看之下」很像是系統服務的東東
e.g.,
"scvhost.exe"(←正牌的是"svchost.exe")
"lsasss.exe"(←正牌的是"lsass.exe")
除此之外,如果在工作管理員中看到某些不知名的程式,莫名其妙地在連上網路之後就吃掉所有的CPU資源的話,那十之八九應該是木馬程式
相關的主題
