走进SVCHOST
SVCHOST进程现在是声名狼藉,本来Windows用它来启动各种服务,可是偏偏病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“W32.Welchia.Worm”),弄的大家草木皆兵一见有SVCHOST就怀疑自己是否已经中招,其实Windows系统存在多个SVCHOST进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。
假设Windows XP系统被“W32.Welchia.Worm”感染了。正常的SVCHOST文件存在于“C:\Windows\system32”目录下,如果发现该文件出现在其他目录下就要小心了。“W32.Welchia.Worm”病毒存在于“C:\Windows\system32\wins”目录中,因此使用进程管理器查看SVCHOST进程的执行文件路径就很容易发现系统是否感染了病毒。Windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“Windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的SVCHOST进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。
在基于NT内核的Windows操作系统家族中,不同版本的Windows系统,存在不同数量的“SVCHOST”进程,用户使用“任务管理器”可查看其进程数目。一般来说,Win2000有两个SVCHOST进程,WinXP中则有四个或四个以上的SVCHOST进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而Win2003 server中则更多。这些SVCHOST进程提供很多系统服务,如:RpcSs服务(Remote Procedure Call)、dmserver服务(Logical Disk Manager)、Dhcp服务(DHCP Client)等。
如果要了解每个SVCHOST进程到底提供了多少系统服务,可以在Win2000的命令提示符窗口中输入“Tlist -S”命令来查看,该命令是Win2000 Support Tools提供的。在WinXP则使用“tasklist /svc”命令。
深入分析SVCHOST
Windows系统进程分为独立进程和共享进程两种,“SVCHOST.EXE”文件存在于“%SystemRoot%\system32\”目录下,它属于共享进程。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由SVCHOST.EXE进程来启动。但SVCHOST进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢?
原来这些系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向SVCHOST,由SVCHOST调用相应服务的动态链接库来启动服务。那SVCHOST又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以RpcSs(Remote Procedure Call)服务为例,进行讲解。实例:笔者以Windows XP为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“Remote Procedure Call”属性对话框,可以看到RpcSs服务的可执行文件的路径为“C:\WINDOWS\system32\svchost -k rpcss”,这说明RpcSs服务是依靠SVCHOST调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。
在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\RpcSs]项,找到类型为“REG_EXPAND_SZ”的键“magePath”,其键值为“%SystemRoot%\system32\svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令),另外在“Parameters”子项中有个名为“ServiceDll”的键,其值为“%SystemRoot%\system32\rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样SVCHOST进程通过读取“RpcSs”服务注册表信息,就能启动该服务了。