PCDVD數位科技討論區 - 瀏覽單個文章

引自 http://www.ck56.com/db/showthread.php?t=83702

svchost.exe是NT核心系統非常重要的檔案，對於Win2000/XP來說，不可或缺。這些svchost進度提供很多系統服務，如： rpcss服務（remote procedure call）、dmserver服務（logical disk manager）、dhcp服務（dhcp client）等等。

若果要瞭解每個svchost進度到底提供了多少系統服務，可以在WinXP的指令提示符視窗中輸入「tasklist /svc」指令來檢視。

工作原理

一般來說，Windows系統進度分為獨立進度和共享進度兩種。svchost.exe檔案存在於%systemroot%\system32目錄下，屬於共享進度。

隨著Windows系統服務不斷增多，為了節省系統資源，微軟把很多服務都做成共享模式，交由svchost進度來啟動。但svchost進度只作為服務宿主，並不能實現任何服務功能，即它只能提供條件讓其他服務在這裡被啟動，而它自己卻不能給使用者提供任何服務。

這些服務是如何實現的呢?原來這些系統服務是以動態連結庫（dll）形式實現的，它們把可執行程式指向svchost，由svchost呼叫相應服務的動態連結庫來啟動服務。

那svchost又怎麼知道某個系統服務該呼叫哪個動態連結庫呢?這是通過系統服務在註冊表中設定的參數來實現的。

具體實例....

下面以Remote Registry服務為例，來看看svchost進度是如何呼叫DLL檔案的。在WinXP中，點擊「開始→執行」，輸入「services.msc」指令，會跳出服務對話框，然後開啟「Remote Registry」屬性對話框，可以看到Remote Registry服務的可執行檔案的路徑為「C:\Windows\System32\svchost -k LocalService」，這說明Remote Registry服務是依靠svchost呼叫「LocalService」參數來實現的，而參數的內容則是存放在系統註冊表中的。

在執行對話框中輸入「regedit.exe」後Enter，開啟註冊表編輯器，找到「HKEY_LOCAL_MACHINE\System\currentcontrolset\services\Remote Registry」項，再找到類型為「reg_expand_sz」的「Imagepath」項，其鍵值為「%systemroot%\system32 \svchost -k LocalService」（這就是在服務視窗中看到的服務啟動指令），另外在「parameters」次機碼中有個名為「ServiceDll」的鍵，其值為「% systemroot%\system32\regsvc.dll」，其中「regsvc.dll」就是Remote Registry服務要使用的動態連結庫檔案。這樣svchost進度通過讀取「Remote Registry」服務註冊表訊息，就能啟動該服務了。

也正是因為svchost的重要性，所以病毒、木馬也想盡辦法來利用它，企圖利用它的特性來迷惑使用者，達到感染、入侵、破壞的目的。那麼應該如何判斷到底哪個是病毒進度呢?標準的svchost.exe檔案應該存在於「C:\Windows\system32」目錄下，若果發現該檔案出現在其他目錄下就要小心了。

提示：svchost.exe檔案的呼叫路徑可以通過「系統訊息→軟體環境→正在執行任務」來檢視

----------------------------------------------------------------------------------------------------
引自 http://1984.9hy.com/contents/1156767750.phtml
* 中了SVOHOST.EXE木馬~煩死了~

發表於 2006-08-28 19:51:03發表於2006-08-2819:51:03

這2天總會莫名其妙的連上一個網站~~看了啟動項~裏面多了個SVOHOST~不仔細看會以為是SVCHOST~`後面那個是正常的系統進程~`當然它必須是在system32目錄下的~`如果他出現在其他目錄~那100%是病毒~`` 這2天總會莫名其妙的連上一個網站~~看了啟動項~裡面多了個SVOHOST~不仔細看會以為是SVCHOST~`後面那個是正常的系統進程~`當然它必須是在system32目錄下的~`如果他出現在其他目錄~那100%是病毒~``

打開進程發現SVOHOST.exe進程~`非常可疑~就找到了他的所在目錄~在SYSTEM32 下~很奇怪的是我居然找不到它~連搜索都搜不到~`既然它在進程裏那就說明它肯定在那個目錄裏~`沒辦法我只好BAIDU一下了~還找到了不少資料~`打開進程發現SVOHOST.exe進程~`非常可疑~就找到了他的所在目錄~在SYSTEM32 下~很奇怪的是我居然找不到它~連搜索都搜不到~`既然它在進程裡那就說明它肯定在那個目錄裡~`沒辦法我只好BAIDU一下了~還找到了不少資料~`

原來這種木馬最近很流行~主要是盜QQ號的~症狀就跟我電腦一樣~木馬檔找不到~而且就算在啟動項去掉他重啟以後它又會再填上~其實它利用一個比較簡單的原理~就是修改註冊表讓電腦無法顯示隱藏檔~所以如果你在搜索裏面不把隱藏檔這個選項勾上的話~`搜索也找不到~``原來這種木馬最近很流行~主要是盜QQ號的~症狀就跟我電腦一樣~木馬檔找不到~而且就算在啟動項去掉他重啟以後它又會再填上~其實它利用一個比較簡單的原理~就是修改註冊表讓電腦無法顯示隱藏文件~所以如果你在搜索裏面不把隱藏文件這個選項勾上的話~`搜索也找不到~``

解決方法很簡單~只要修改註冊表讓隱藏檔顯示就刪掉就可以了~`打開註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\解決方法很簡單~只要修改註冊表讓隱藏文件顯示就刪掉就可以了~`打開註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\

SHOWALL這個鍵.看右邊.找到一個CheckedValue的值.這個噁心的病毒居然把他改成了字串值.你改了也沒用.把這個值刪除.重建一個DWORD的值為CheckedValue.把他的值設為1.就行了~SHOWALL這個鍵.看右邊.找到一個CheckedValue的值.這個噁心的病毒居然把他改成了字串值.你改了也沒用.把這個值刪除.重建一個DWORD的值為CheckedValue.把他的值設為1.就行了~

保險起見：最好去江民網站下個魔波專殺http://www.jiangmin.com/download/mo...ocbotkiller.exe
不知道是不是這個木馬搞的它在每個盤下面都新建了個自運行檔~具體內容沒看到~`我也是無意之間下了個這個殺了的~ 不知道是不是這個木馬搞的它在每個盤下麵都新建了個自運行文件~具體內容沒看到~`我也是無意之間下了個這個殺了的~