SVCHOST.EXE 其實算是一個從動態連結程序庫 (DLL, Dynamic Link Library) 執行服務的一個主處理程序名稱。

電腦在啟動的時候,會先去登錄查看此電腦開啟了什麼服務,建立一個清單后,統一由 svchost 進行啟動。

為什麼要 Windows 要這樣作呢?因為一方面系統在統一控制上十分方便,第二,系統一但出錯,

它就能依據 SVCHOST.EXE 啟動的方式和位置來進行偵錯。 

那要如何觀看 SVCHOST.EXE 為我的系統所加載的服務呢?

  其實 SVCHOST.EXE 只有一個,但是依照系統加載它的參數不同,會產生不同的執行個體 (簡單的來說,就是很多分身)。

你可以在 開始 –> 運行 內輸入 regedit 尋找有關于電腦上服務類型的机碼,如下:
  HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Svchost

在這机碼下,每一個值代表一個 "組",而你又可以看到每個值的類型是 REG_MULTI_SZ

在每個 "組" 里就是這個 "組" 的每一個 "組員",也就是值的內容,每個服務以空白分開。

至于每個組員又代表什麼?你可以到以下机碼來查詢:
  HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/你要查詢的服務名稱

在左邊窗口就是服務名,右邊則是這個服務相關的內容。

服務項目分為大體依照其制高程度分為 System, LocalService, NetworkService 這三類。

你可以按下 CTRL+ALT+DEL 開啟進程管理員來觀看:

要如何分辨 SVCHOST.EXE 的真偽?

那到底那個 SVCHOST.EXE 是真那個是假?還有一個觀察的方法,就是檢查它的組員是誰。

要怎麼檢查呢?首先在 開始 –> 運行 內,輸入 CMD 進入命令提示字元,在里面輸入:

Win2000 用戶執行
                                 TLIST /SVC
Win XP 用戶執行
                               TASKLIST /SVC

會顯示所有的服務進程,可以觀察在電腦上執行中的 SVCHOST.EXE 到底是為了什麼而加載的

如圖所示,你可以看到 SVCHOST.EXE 在 Services 處,有顯示它加載的服務,

各位有沒有看到最下面有個 SVCHOST.EXE 的 Service 竟然是 N/A (None Available, 不存在)
那個是亂改的 ,一般的 SVCHOST.EXE 病毒因為在載入時不會牽動服務,

所以是不會加載服務的,這是最基本辨別 SVCHOST.EXE 真偽的方法。  

那要如何刪除假的 SVCHOST.EXE 呢?XP 和 2000 用戶相同,輸入以下指令

WinXP & Win2000 用戶
引用: TSKILL 假SVCHOST.EXE的PID(執行編號)
如圖所示,看到假的 SVCHOST.EXE 它的 PID 是 1384,你只要輸入 TSKILL 1384 就可以殺掉這個假進程了。

SVCHOST.EXE 載入服務分類清單
另外整理出一份 SVCHOST.EXE 加載的清單,是 XP 的,Win2000 可能會有所不同,

rpcss、netsvcs 和 imgsvc 是屬于 System 的子類型,在進程管理器內啟動的使用者會顯示 System

-k LocalService

Alerter
Remote Registry
SSDP Discovery Service
TCP/IP NetBIOS Helper
Universal Plug and Play Device Host
WebClient

-k rpcss
Remote Procedure Call (RPC)

-k NetworkService
DNS Client

-k imgsvc
Windows Image Acquisition (WIA)

-k netsvcs
Application Management
Automatic Updates
Background Intelligent Transfer Services
COM+ Event System
Computer Browser
Cryptographic Services
DHCP Client
Distributed Link Tracking Client
Error Reporting Services
Fast User Switching Compatibility
Help and Support
Human Interface Device Access
Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
Logical Disk Manager
Messenger
Network Connections
Network Location Awareness (NLA)
Portable Media Serial Number Service
Remote Access Auto Connection Manager
Remote Access Connection Manager
Removable Storage
Routing and Remote Access
Secondary Logon
Server
Shell Hardware Detection
System Event Notification
System Restore Service
Task Scheduler
Telephony
Terminal Services
Themes
Upload Manager
Windows Audio
Windows Management Instrumentation
Windows Management Instrumentation Driver Extensions
Windows Time
Wireless Zero Configuration
Workstation

最後修改日期: 2006 年 11 月 10 日
Related posts 相關文章

作者

留言

撰寫回覆或留言

發佈留言必須填寫的電子郵件地址不會公開。

10 × 1 =