svchost.exeは、2000年、XP用のNTコアシステムの非常に重要なプロセスであり、不可欠です。多くのウイルスとトロイの木馬もそれを呼びます。したがって、このプログラムを深く理解することは、コンピュータをプレイするための必修科目の1つです。誰もがWindowsオペレーティングシステムに精通していますが、あなたはシステム内のファイル "svchost.exe"に気づいたことがありますか?気の利いた友人はWindowsで複数の "svchost"プロセスを見つけるでしょう(< ctrl + alt + del"キーでタスクマネージャを開くと、 "process"がここで見られます)、これはなぜですか? ?その不思議なベールを発表しましょう。
NTカーネル、Windowsシステムのバージョンが異なるWindowsオペレーティングシステムファミリでは、 "svchost"プロセスの数が異なります。ユーザーはプロセス数を表示するために "タスクマネージャ"を使用します。一般に、win2000には2つのsvchostプロセスがあり、winxpには4つ以上のsvchostプロセスがあります(後でシステム内に複数のプロセスが表示されます。システムにウイルスがあるとすぐに判断しないでください)。 Win2003サーバーでもっと。これらのsvchostプロセスは、rpcssサービス(リモートプロシージャコール)、dmserverサービス(論理ディスクマネージャ)、dhcpサービス(dhcpクライアント)などの多くのシステムサービスを提供します。
各svchostプロセスが提供するシステムサービスの数を知りたい場合は、win2000コマンドプロンプトウィンドウに「ldlist -s」コマンドを入力して表示できます。このコマンドは、win2000サポートツールによって提供されます。 winxpでは、' tasklist /svc'コマンドを使用します。
Svchostは、複数のサービスを含むことができます
Windowsのシステムプロセスは、独立したプロセスと共有プロセスに分けられます、「svchost.exe」ファイルは、「%systemroot%system32」ディレクトリにあります。共有プロセスに属します。 Windowsシステムサービスの数が増えるにつれて、システムリソースを節約するために、Microsoftは多くのサービスをsvchost.exeプロセスによって開始される共有モードにしました。ただし、svchostプロセスはサービスホストとしてのみ機能し、他のサービスをここで開始するための条件を提供するだけで、ユーザーにサービスを提供することはできません。これらのサービスはどのように実装されていますか?
元のシステムサービスは、実行可能プログラムがsvchostを指すダイナミックリンクライブラリ(DLL)の形式で実装され、svchostは対応するサービスのダイナミックリンクライブラリを呼び出してサービスを開始します。それではsvchostはどのダイナミックリンクライブラリがシステムサービスによって呼び出されるのかをどのようにして知るのでしょうか?これは、レジストリ内のシステムサービスによって設定されたパラメータによって行われます。以下は、rpcss(リモートプロシージャコール)サービスの例です。
サービスは起動パラメータから表示されます。
svchostによって起動されたインスタンス
例としてwindows xpを見てください「スタート」と「ファイル名を指定して実行」をクリックして「services.msc」コマンドを入力します。サービスダイアログボックスをポップアップし、[リモートプロシージャコール]プロパティダイアログボックスを開くと、rpcssサービスの実行可能ファイルのパスが "c:windowssystem32svchost -k rpcss"であることがわかります。これは、rpcssサービスがsvchost<; rpcss&'>によって呼び出されることを意味します。パラメータが実装され、パラメータの内容がシステムレジストリに格納されます。
[ファイル名を指定して実行]ダイアログボックスに「ldedit; exe」と入力し、Enterキーを押してレジストリエディタを開き、[hkey_local_machine systemcurrentcontrolsetservicesrpcss]項目を見つけて、キーの種類 "ld_;"を見つけます。 '%systemroot%system32svchost -k rpcss'(これはサービスウィンドウに表示されるサービス起動コマンドです)、さらに、 "parameters"カテゴリに "ldld; servicedll"という名前のキーがあり、値は "ld"です。 %systemroot%system32rpcss.dll'。ここで、' rpcss.dll'は、rpcssサービスで使用されるダイナミックリンクライブラリファイルです。このようにして、svchostプロセスは、< rpcss>サービスレジストリ情報を読み取ることでサービスを開始できます。
svchostプロセスはさまざまなサービスを開始するため、ウイルスやトロイの木馬はまた、ユーザーを混乱させ、感染、侵入、破壊の目的を達成するためにその機能を利用しようとします。 ' w32.welchia.worm')しかし、Windowsシステムに複数のsvchostプロセスが存在するのは普通のことです。これは説明するための例です。
windows xpシステムが' w32.welchia.worm'に感染しているとします。通常のsvchostファイルは "c:windowssystem32"ディレクトリにありますが、他のディレクトリにあることがわかった場合は注意が必要です。 ' w32.welchia.worm'このウイルスは "c:windowssystem32wins"ディレクトリに存在するため、プロセスマネージャを使用してsvchostプロセスの実行可能ファイルのパスを確認すると、システムがウイルスに感染しているかどうかを簡単に確認できます。 Windowsシステムは、タスクマネージャがプロセスのパスを表示することはできません付属しています、これらのツールを介して "窓の最適化マスタ"プロセスマネージャなどのサードパーティ製のプロセス管理ソフトウェアを使用できます。ファイルパスを実行し、その実行パスが異常であることが判明したらすぐにそれを検出して処理します。