galilette |
2004-02-12 15:12 |
看到版内常常有人讨论 "SVCHOST.EXE 是不是病毒?" "为什么它一次会加载那么多在我电脑里?" "为什么 SVCHOST.EXE 在进程管理里杀掉后又会自动重开?" "到底哪个 SVCHOST.EXE 是病毒?"
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 何谓 SVCHOST.EXE?[/SIZE]
SVCHOST.EXE 其实算是一个从动态连结程序库 (DLL, Dynamic Link Library) 执行服务的一个主处理程序名称。电脑在启动的时候,会先去登录查看此电脑开启了什么服务,建立一个清单后,统一由 svchost 进行启动。
為什麼要 Windows 要這樣作呢?因為一方面系統在統一控制上十分方便,第二,系統一但出錯,它就能依據 SVCHOST.EXE 啟動的方式和位置來進行偵錯。
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 那要如何观看 SVCHOST.EXE 为我的系统所加载的服务呢?[/SIZE]
其实 SVCHOST.EXE 只有一个,但是依照系统加载它的参数不同,会产生不同的执行個体 (简单的来说,就是很多分身)。
你可以在 开始 --> 运行 内输入 regedit 寻找有关于电脑上服务类型的机码,如下: HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Svchost
在这机码下,每一个值代表一个 "组",而你又可以看到每个值的类型是 REG_MULTI_SZ,在每个 "组" 里就是这个 "组" 的每一个 "组员",也就是值的内容,每个服务以空白分开。 至于每个组员又代表什么?你可以到以下机码来查询: HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/你要查询的服务名称
在左边窗口就是服务名,右边则是这个服务相关的内容。
服务项目分为大体依照其制高程度分为 System, LocalService, NetworkService 这三类。你可以按下 CTRL+ALT+DEL 开启进程管理员来观看:
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 要如何分辨 SVCHOST.EXE 的真伪?[/SIZE]
那到底那个 SVCHOST.EXE 是真那个是假?还有一个观察的方法,就是检查它的组员是谁。
要怎么检查呢?首先在 开始 --> 运行 内,输入 CMD 进入命令提示字元,在里面输入: Win2000 用户 [QUOTE]TLIST /SVC[/QUOTE]
Win XP 用户 [QUOTE]TASKLIST /SVC[/QUOTE]
会显示你所有的服务进程,你可以观察在你电脑上执行中的 SVCHOST.EXE 到底是为了什么而加载的
如图所示,你可以看到 SVCHOST.EXE 在 Services 处,有显示它加载的服务,各位有没有看到最下面有个 SVCHOST.EXE 的 Service 竟然是 N/A (None Available, 不存在) 那个是我乱改的 :P,一般的 SVCHOST.EXE 病毒因为在载入时不会牵动服务,所以是不会加载服务的,这是最基本辨别 SVCHOST.EXE 真伪的方法。 ,++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 完了,中招了!请问我要怎么做呢?[/SIZE]
那要如何删除假的 SVCHOST.EXE 呢?XP 和 2000 用户相同,输入以下指令 WinXP & Win2000 用户 [quote]TSKILL 假SVCHOST.EXE的PID(執行編號)[/QUOTE]
如图所示,我们看到假的 SVCHOST.EXE 它的 PID 是 1384,你只要输入 TSKILL 1384 就可以杀掉这个假进程了。
接下来你所要做的,就是利用扫毒软件或是用 Norton 的线上扫毒功能 Symantec Virus Check Online(For English Users) 賽門鐵客線上病毒檢查工具(繁體用戶) 赛门铁客线上病毒检查工具(简体用户)
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 如何开启或关闭不需要的服务 (高级)[/SIZE] 另外介绍一下如何观看服务内容的方法,不说明了,用图:
对着需要观看是否已经启动的服务单击右键选择内容
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++ SVCHOST.EXE 载入服务分类清单[/SIZE]
另外整理出一份 SVCHOST.EXE 加载的清单,是 XP 的,Win2000 可能会有所不同,请见谅 rpcss、netsvcs 和 imgsvc 是属于 System 的子类型,在进程管理器内启动的使用者会显示 System [QUOTE]-k LocalService Alerter Remote Registry SSDP Discovery Service TCP/IP NetBIOS Helper Universal Plug and Play Device Host WebClient
-k rpcss Remote Procedure Call (RPC)
-k NetworkService DNS Client
-k imgsvc Windows Image Acquisition (WIA)
-k netsvcs Application Management Automatic Updates Background Intelligent Transfer Services COM+ Event System Computer Browser Cryptographic Services DHCP Client Distributed Link Tracking Client Error Reporting Services Fast User Switching Compatibility Help and Support Human Interface Device Access Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) Logical Disk Manager Messenger Network Connections Network Location Awareness (NLA) Portable Media Serial Number Service Remote Access Auto Connection Manager Remote Access Connection Manager Removable Storage Routing and Remote Access Secondary Logon Server Shell Hardware Detection System Event Notification System Restore Service Task Scheduler Telephony Terminal Services Themes Upload Manager Windows Audio Windows Management Instrumentation Windows Management Instrumentation Driver Extensions Windows Time Wireless Zero Configuration Workstation[/QUOTE] |
|