加入收藏
 地图
 用户登陆
 帮助中心
电子商务 SEO动态 SEO技术 SEO软件 SEO推荐 网站留言 SEO用户 SEO专栏 电子商务   SEO培训
今天是:2020年9月19日 星期六   您现在位于: 首页 →  SEO技术 → 计算机技术(软件频道)

揭开SVCHOST.exe进程之谜

2020/9/19  电子商务网  浏览选项:    本文已被浏览 1363 次
svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。所以,深入了解这个程序,是玩电脑的必修课之一。
大家对windows操作系统一定不陌生,但你是否注意到系统中“svchost.exe”这个文件呢?细心的朋友会发现windows中存在多个 “svchost”进程(通过“ctrl+alt+del”键打开任务管理器,这里的“进程”标签中就可看到了),为什么会这样呢?下面就来揭开它神秘的面纱。
发现
在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003 server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等。
如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看,该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。
svchost中可以包含多个服务
深入
windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot% system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由 svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢?
原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向 svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remote procedure call)服务为例,进行讲解。
从启动参数中可见服务是靠svchost来启动的。
实例
以windows xp为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“remote procedure call”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。
在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项,找到类型为“reg_expand_sz”的键“magepath”,其键值为“%systemroot%system32svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“servicedll”的键,其值为“% systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。
解惑
因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。
假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。
由于篇幅的关系,不能对svchost全部功能进行详细介绍,这是一个windows中的一个特殊进程,有兴趣的可参考有关技术资料进一步去了解它。
讨论
并不是启动一个相关服务就多一个svchost进程的,而是根据命令参数分组,一般是一组服务就有一个svchost进程,如TT举例的那个c:\windows\system32\svchost -k rpcss,这个属于rpcss组。
 发布人:杰米  [ → 我要发表文章 ] 上篇文章:启动盘介绍和制作准备 启动安装盘最新DIY大法
下篇文章:Microsoft 2004年产品路线图
→ 主题所属分类:  计算机技术 → 软件频道 → 『关闭窗口』
Win XP中鲜为人知的六招注册表..
WMP同步歌词秀全攻略
架设语聊服务器 打造自己的TS聊天..
Microsoft 2004年产品..
Windows系统非法操作详解(一..
学英语下歌词 QQ搜索满足你的特殊..
让IE也能多页面浏览网页 IE插件..
调查显示网上购物越来越受网民青睐
MSN推出新版搜索工具条
认识DC++ 海量下载DVD,我..
与MM强行视频聊天的战术应用(上)..
将搜索贯彻到压缩包内
Word一句话技巧
MSN Messenger的蝶变
下载文件查杀病毒先行
如何让VoIP更加可靠
技巧荟萃(一) 一周应用技巧大荟萃..
IPTV编码技术的考虑
搬走中国电子商务的三座大山
再见文件夹,欢迎标签 Gmail使..
电子图书常用格式一览
复制Excel自定义菜单栏 换台电..
电商网站案例:中国 XX 物流网
网文:办公室e生活散记
PhotoRap图像动态特效工具箱
女性网上开店月增四成
群策群力过新年-问候短信篇
电信与广电博弈IPTV主导权
网上开店去哪进货?
利用CSS改善网站可访问性(一) ..
减轻系统的多余功能 Windows..
让Windows外壳起死回生
探讨IPTV商业新模式促进产业健康..
天翻地覆看系统 剿灭Windows..
Word快速转换为PPT文稿
无边距照片打印
打造Windows XP/2003..
初涉音乐创作第三部-谱曲与放送
如何从DOS系统引导Linux系统..
解燃眉之急 用Win XP接收传真
网上购物拒开发票可罚一万元
PR更新总结
新版本简介 网际快车1.50新功能..
RMVB电影文件的合并与分割方法
2008年中国VOIP电话用户将达..
 热门文章
 
 组策略的启动 对XP桌面进行全面控制 (58161)
 让你的QQ更清爽、更实用 (58013)
 保存网页图片的八种方法 (53714)
 我的QQ 我的信息中心 (47957)
 2006年值得关注的十个web2.0网站 (39898)
 安装POP3和SMTP服务组件 Win2003自带mail... (34445)
 Vista捆绑游戏版本详情 (34222)
 如何利用PHP和CSS改变网页文字大小(上) 如何利... (34093)
 传统商务与电子商务的区别 (11760)
 让Windows序列号原形毕露 (11106)
 近一年来RSS和Blog已逐渐成为互联网发展的新潮流 (9846)
 如何让搜索引擎收录新网站 (8511)
 如何保持网站排名课程记录 --  电子商务网原创 (7995)
 在Word中输入乘号和除号的几种方法 (7548)
 IE6用户如何升级到IE7.0浏览器版本 (7398)
 最近更新
 
 组策略的启动 对XP桌面进行全面控制 (8月1日)
 让你的QQ更清爽、更实用 (8月1日)
 保存网页图片的八种方法 (8月1日)
 我的QQ 我的信息中心 (8月1日)
 2006年值得关注的十个web2.0网站 (8月1日)
 安装POP3和SMTP服务组件 Win2003自带mail... (8月1日)
 Vista捆绑游戏版本详情 (8月1日)
 如何利用PHP和CSS改变网页文字大小(上) 如何利... (8月1日)
 传统商务与电子商务的区别 (8月1日)
 让Windows序列号原形毕露 (8月1日)
 近一年来RSS和Blog已逐渐成为互联网发展的新潮流 (7月21日)
 如何让搜索引擎收录新网站 (8月14日)
 如何保持网站排名课程记录 --  电子商务网原创 (8月15日)
 在Word中输入乘号和除号的几种方法 (8月1日)
 IE6用户如何升级到IE7.0浏览器版本 (12月28日)
 文章搜索
 
搜索选项:            
  → 评论内容 (点击查看)
(没有相关评论)
  → 发表我的评论
您的姓名:  您的E-mail:

评论内容:
发表评论:  
   电子商务网每日推荐文章: [原创]桥页之我见! 2020/9/19
    注:本文中所说的搜索引擎只是使用蜘蛛爬虫自动收录的搜索引擎,不包括需要人工审核的收录搜索引擎。
    桥页是一个简单的页面,是一个专门针对搜索引擎专门定制的页面,他本身并没有什么别的实际内容,仅仅是一大堆包括关键字的词语或者短文和外链(没有任何的内链)。桥页可以集中一整页的优势去优化另一个相对重要的页面,也可以制作一个非常适合某一搜索引擎收录胃口的页面获得比较好的排名,然后让其集中指向另外一个域名,从而达到优化该域名的目的。正因为此,也一度成为优化网站提高排名的重要手段之一。
    由于以前的桥页仅仅是依靠一个专门的桥页软件生成一大堆包括关键字的纯文本网页,当用户点击搜索出的结果时,然后在这些网页中做自动的跳转,把用户转接到另外一个主页上,或者在桥页上放置一个连接,让用户自己点击。而这往往并非用户和搜索引擎所想要的东西,大家可想而知,这种方法对用户以及搜索引擎本身的伤害,所以搜索引擎曾对这种页面进行过大范围的删除和整改。而最近桥页死灰复燃,现在的桥页也已经和以前的桥页有了本质的区别。以前的桥页是没有人工进行干预的,而现在的桥页都是经过专门的针对关键字而写出来的文章或词汇,本质上已经不是桥页了,我称其为桥页的升级版,或叫超桥页。因为其加入了人为的干预,使其更具有了专业性和针对性。然后在这些关键字中做连接,将用户引导到自己的主页上,目的是希望以不同关键字来分别优化不同的页面,来提高网站的流量。......查看详细内容
关于我们 ┋ 网站留言 ┋ 电子商务网成员网站 ┋ SEO培训基地 ┋ 地图 ┋ SEO培训 ┋ 管理 ┋ TOP
合作站点: 杰晶网络 | 建材互联 | Herbal | 淘宝优惠券 | 中国保健品网 | OilPainting | NHE | 杰米世界 | 南强新网 | 十大建材品牌 | 建材市场 | 新闻热点 | 建材百科
电子商务网 网络营销顾问:杰晶网络 版权所有
Copyright © 2006 ECSoon.com All Rights Reserved