網路上有許多開玩笑的文章都會說電腦裡有哪些檔案可能是病毒...常常上榜的檔案大概算是SVCHOST.EXE這個系統服務吧! 以後若是這種檔案懷疑中毒或是惡意檔的時候就要多加注意歐...以免誤珊造成系統不穩定
Q:
在WIN2K3里面,SVCHOST.EXE的工作有5個?
我發現SVCHOST.EXE同樣名字的工作居然有5個?大家都是這樣的嗎?
還有一個ccApp.exe,這是什麼程序?有沒有用?可以禁止嗎?
A:
才5個 我都8個了
有時候很多有時候很少
這個應該要算是XP的安全隱患了,因為從工作裡看不出到底是什麼程序在執行。
現在已經有黑客在使用這樣的木馬:它隱藏自己的名字,而掛在Svchost.exe 中,反正工作裡Svchost.exe多得要命,平時一般人發覺不了。
Svchost.exe文件對那些從動態連接庫中執行的服務來說是一個普通的主機工作名。Svhost.exe文件定位在系統的%systemroot%\system32資料夾下。在啟動的時候,Svchost.exe檢查註冊表中的位置來構建需要載入的服務列表。這就會使多個Svchost.exe在同一時間執行。每個Svchost.exe的回話期間都包含一組服務,以至於單獨的服務必須依靠Svchost.exe怎樣和在那裡啟動。這樣就更加容易控制和搜尋錯誤。
.
Svchost.exe 組是用下面的註冊表值來識別。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每個在這個鍵下的值代表一個獨立的Svchost組,並且當你正在看活動的工作時,它顯示作為一個單獨的例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括執行在Svchost組內的服務。每個Svchost組都包含一個或多個從註冊表值中選取的服務名,這個服務的參數值包含了一個ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
為了能看到正在執行在Svchost列表中的服務。
開始-執行-敲入cmd
然後在敲入 tlist -s (tlist 應該是win2k工具箱裡的東東)
Tlist 顯示一個活動工作的列表。開關 -s 顯示在每個工作中的活動服務列表。如果想知道更多的關於工作的信息,可以敲 tlist pid。
Tlist 顯示Svchost.exe執行的兩個例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkst
ation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在這個例子中註冊表設定了兩個組。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent RasautoRa
sman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs
smss.exe
csrss.exe
這個是用戶模式Win32子系統的一部分。csrss代表客戶/服務器執行子系統而且是一個基本的子系統必須一直執行。csrss 負責控制windows,新增或者刪除線程和一些16位的虛擬MS-DOS環境。
explorer.exe
這是一個用戶的shell(我實在是不知道怎麼翻譯shell),在我們看起來就像工作條,桌面等等。這個
工作並不是像你想像的那樣是作為一個重要的工作執行在windows中,你可以從工作管理器中停掉它,或者重新啟動。
通常不會對系統產生什麼負面影響。
internat.exe
這個工作是可以從工作管理器中關掉的。
internat.exe在啟動的時候開始執行。它載入由用戶指定的不同的輸入點。輸入點是從註冊表的這個位置
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 載入內容的。
internat.exe 載入「EN」圖示進入系統的圖示區,允許使用者可以很容易的轉換不同的輸入點。
當工作停掉的時候,圖示就會消失,但是輸入點仍然可以通過控制台來改變。
lsass.exe
這個工作是不可以從工作管理器中關掉的。
這是一個本機的安全授權服務,並且它會為使用winlogon服務的授權用戶產生一個工作。這個工作是
通過使用授權的包,例如預設的msgina.dll來執行的。如果授權是成功的,lsass就會產生用戶的進入
令牌,令牌別使用啟動初始的shell。其他的由用戶啟始化的工作會繼承這個令牌的。
mstask.exe
這個工作是不可以從工作管理器中關掉的。
這是一個工作調度服務,負責用戶事先決定在某一時間執行的工作的執行。
smss.exe
這個工作是不可以從工作管理器中關掉的。
這是一個會話管理子系統,負責啟動用戶會話。這個工作是通過系統工作啟始化的並且對許多活動的,
包括已經正在執行的Winlogon,Win32(Csrss.exe)線程和設定的系統變數作出反映。在它啟動這些
工作後,它等待Winlogon或者Csrss結束。如果這些程序時正常的,系統就關掉了。如果發生了什麼
不可預料的事情,smss.exe就會讓系統停止回應(就是掛起)。
spoolsv.exe
這個工作是不可以從工作管理器中關掉的。
緩衝(spooler)服務是管理緩衝池中的列印和傳真作業。
service.exe
這個工作是不可以從工作管理器中關掉的。
大多數的系統核心模式工作是作為系統工作在執行。
System Idle Process
這個工作是不可以從工作管理器中關掉的。
這個工作是作為單線程執行在每個處理器上,並在系統不處理其他線程的時候分派處理器的時間。
taskmagr.exe
這個工作是可以在工作管理器中關掉的。
這個工作就是工作管理器。
winlogon.exe
這個工作是管理用戶登入和推出的。而且winlogon在用戶按下CTRL+ALT+DEL時就啟動了,顯示安全對話視窗。
winmgmt.exe
winmgmt是win2000客戶端管理的核心元件。當客戶端應用程式連接或當管理程序需要他本身的服務時這個工作啟始化。
Q:
在WIN2K3里面,SVCHOST.EXE的工作有5個?
我發現SVCHOST.EXE同樣名字的工作居然有5個?大家都是這樣的嗎?
還有一個ccApp.exe,這是什麼程序?有沒有用?可以禁止嗎?
A:
才5個 我都8個了
有時候很多有時候很少
這個應該要算是XP的安全隱患了,因為從工作裡看不出到底是什麼程序在執行。
現在已經有黑客在使用這樣的木馬:它隱藏自己的名字,而掛在Svchost.exe 中,反正工作裡Svchost.exe多得要命,平時一般人發覺不了。
Svchost.exe文件對那些從動態連接庫中執行的服務來說是一個普通的主機工作名。Svhost.exe文件定位在系統的%systemroot%\system32資料夾下。在啟動的時候,Svchost.exe檢查註冊表中的位置來構建需要載入的服務列表。這就會使多個Svchost.exe在同一時間執行。每個Svchost.exe的回話期間都包含一組服務,以至於單獨的服務必須依靠Svchost.exe怎樣和在那裡啟動。這樣就更加容易控制和搜尋錯誤。
.
Svchost.exe 組是用下面的註冊表值來識別。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每個在這個鍵下的值代表一個獨立的Svchost組,並且當你正在看活動的工作時,它顯示作為一個單獨的例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括執行在Svchost組內的服務。每個Svchost組都包含一個或多個從註冊表值中選取的服務名,這個服務的參數值包含了一個ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
為了能看到正在執行在Svchost列表中的服務。
開始-執行-敲入cmd
然後在敲入 tlist -s (tlist 應該是win2k工具箱裡的東東)
Tlist 顯示一個活動工作的列表。開關 -s 顯示在每個工作中的活動服務列表。如果想知道更多的關於工作的信息,可以敲 tlist pid。
Tlist 顯示Svchost.exe執行的兩個例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkst
ation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在這個例子中註冊表設定了兩個組。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent RasautoRa
sman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs
smss.exe
csrss.exe
這個是用戶模式Win32子系統的一部分。csrss代表客戶/服務器執行子系統而且是一個基本的子系統必須一直執行。csrss 負責控制windows,新增或者刪除線程和一些16位的虛擬MS-DOS環境。
explorer.exe
這是一個用戶的shell(我實在是不知道怎麼翻譯shell),在我們看起來就像工作條,桌面等等。這個
工作並不是像你想像的那樣是作為一個重要的工作執行在windows中,你可以從工作管理器中停掉它,或者重新啟動。
通常不會對系統產生什麼負面影響。
internat.exe
這個工作是可以從工作管理器中關掉的。
internat.exe在啟動的時候開始執行。它載入由用戶指定的不同的輸入點。輸入點是從註冊表的這個位置
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 載入內容的。
internat.exe 載入「EN」圖示進入系統的圖示區,允許使用者可以很容易的轉換不同的輸入點。
當工作停掉的時候,圖示就會消失,但是輸入點仍然可以通過控制台來改變。
lsass.exe
這個工作是不可以從工作管理器中關掉的。
這是一個本機的安全授權服務,並且它會為使用winlogon服務的授權用戶產生一個工作。這個工作是
通過使用授權的包,例如預設的msgina.dll來執行的。如果授權是成功的,lsass就會產生用戶的進入
令牌,令牌別使用啟動初始的shell。其他的由用戶啟始化的工作會繼承這個令牌的。
mstask.exe
這個工作是不可以從工作管理器中關掉的。
這是一個工作調度服務,負責用戶事先決定在某一時間執行的工作的執行。
smss.exe
這個工作是不可以從工作管理器中關掉的。
這是一個會話管理子系統,負責啟動用戶會話。這個工作是通過系統工作啟始化的並且對許多活動的,
包括已經正在執行的Winlogon,Win32(Csrss.exe)線程和設定的系統變數作出反映。在它啟動這些
工作後,它等待Winlogon或者Csrss結束。如果這些程序時正常的,系統就關掉了。如果發生了什麼
不可預料的事情,smss.exe就會讓系統停止回應(就是掛起)。
spoolsv.exe
這個工作是不可以從工作管理器中關掉的。
緩衝(spooler)服務是管理緩衝池中的列印和傳真作業。
service.exe
這個工作是不可以從工作管理器中關掉的。
大多數的系統核心模式工作是作為系統工作在執行。
System Idle Process
這個工作是不可以從工作管理器中關掉的。
這個工作是作為單線程執行在每個處理器上,並在系統不處理其他線程的時候分派處理器的時間。
taskmagr.exe
這個工作是可以在工作管理器中關掉的。
這個工作就是工作管理器。
winlogon.exe
這個工作是管理用戶登入和推出的。而且winlogon在用戶按下CTRL+ALT+DEL時就啟動了,顯示安全對話視窗。
winmgmt.exe
winmgmt是win2000客戶端管理的核心元件。當客戶端應用程式連接或當管理程序需要他本身的服務時這個工作啟始化。