本文主要包括以下內(nèi)容：　　 [J55%N;#1  
1、了解Svchost.exe的功能 ^JGwCHeb|H  
2、判斷真假Svchost.exe進(jìn)程 bnH:|-?q  
3、清除偽裝成Svchost.exe的病毒、木馬 '_ys4hz}  
　　Svchost.exe、lsass.exe、wdfmgr.exe，打開(kāi)進(jìn)程列表后你會(huì)發(fā)現(xiàn)一大堆不知用途的進(jìn)程，究竟是系統(tǒng)進(jìn)程還是木馬病毒？如果打開(kāi)系統(tǒng)文件夾，一大堆奇奇怪怪名稱的文件，更是會(huì)把你弄得暈頭轉(zhuǎn)向。很多朋友因此而始終抱有一種未知的恐懼，認(rèn)為木馬、黑客無(wú)處不在，即使是高手，也不能把這些陌生的系統(tǒng)文件說(shuō)個(gè)明明白白。為消除大家的疑惑，從這期開(kāi)始為大家?guī)��?lái)一檔新的連載欄目——系統(tǒng)藍(lán)色檔案為大家曝光這些隱秘文件的秘密。兩位主人公，現(xiàn)在就來(lái)認(rèn)識(shí)一下。 spWo{  
　　主人公介紹 &d]@$4u$;  
　　小菜：剛接觸電腦不久的菜鳥，但對(duì)電腦知識(shí)有著非常濃厚的學(xué)習(xí)興趣，常說(shuō)的一句話是“菜鳥先飛”。 BCX2C  
　　大嘴:樂(lè)于助人的老鳥，經(jīng)常被別人冠以“大嘴高手”稱號(hào)，不過(guò)這并不是指他嘴特別大，而是一談到電腦知識(shí)就滔滔不絕。 BadnL<cj]  
　　一、緊急狀況:系統(tǒng)發(fā)現(xiàn)嚴(yán)重病毒 p[}~Z|(  
　　小菜剛剛學(xué)習(xí)了進(jìn)程的概念和知識(shí)，于是就打開(kāi)“任務(wù)管理器”觀察系統(tǒng)中的進(jìn)程，這一看不要緊，還真發(fā)現(xiàn)了一個(gè)“病毒”Svchost.exe，這家伙在系統(tǒng)進(jìn)程列表中竟然有5個(gè)之多(見(jiàn)圖1)，于是小菜就逐個(gè)結(jié)束這些進(jìn)程，沒(méi)想到第二個(gè)進(jìn)程結(jié)束后還會(huì)再生，而結(jié)束第四個(gè)進(jìn)程時(shí)更離譜，系統(tǒng)提示“系統(tǒng)即將關(guān)機(jī)，離關(guān)機(jī)還有60秒”，進(jìn)程再生、錯(cuò)誤提示，這些典型的病毒“癥狀”更讓小菜相信“Svchost.exe”是病毒無(wú)疑，但無(wú)法結(jié)束進(jìn)程，又該怎么清除病毒呢？小菜只好請(qǐng)來(lái)了大嘴。 GtKSA#oYZB  
　　大嘴過(guò)來(lái)后還沒(méi)看電腦，就先告訴小菜，系統(tǒng)中的Svchost.exe進(jìn)程是正常系統(tǒng)進(jìn)程，不是病毒，不僅僅是你，其他朋友一看到系統(tǒng)中這么多的Svchost.exe進(jìn)程，第一反應(yīng)也感覺(jué)它是病毒，雖然系統(tǒng)中有多個(gè)Svchost.exe進(jìn)程是正常的，但也不保證都是正常的。聽(tīng)起來(lái)似乎有些矛盾？這讓小菜更有些迷糊，大嘴坐下后給小菜詳細(xì)講了起來(lái)。
ER;\Aes*?  
　　二、松了口氣:Svchost.exe是臺(tái)“CD機(jī)” < Yc)F.:  
　　1.服務(wù)裝在“CD機(jī)”里 li0)<("/  
　　Svchost.exe是NT內(nèi)核操作系統(tǒng)(Windows 2000/XP/2003都屬于NT內(nèi)核操作系統(tǒng))獨(dú)有的進(jìn)程，“Svchost”其實(shí)就是“Service Host”(服務(wù)宿主)的縮寫。微軟官方對(duì)它的定義是:Svchost.exe是從動(dòng)態(tài)鏈接庫(kù)(DLL)中運(yùn)行的服務(wù)的通用主機(jī)進(jìn)程名稱，通俗講，它就是一個(gè)服務(wù)裝載器。大家可以把每個(gè)服務(wù)想象成一張音樂(lè)CD，而Svchost.exe就是用來(lái)播放這種CD的CD機(jī)。 BE!l{  
　　2.為什么用“CD機(jī)”裝服務(wù) /h@3R[k  
　　由于Windows 2000/XP系統(tǒng)服務(wù)越來(lái)越多，以EXE單獨(dú)進(jìn)程的形式啟動(dòng)所有服務(wù)會(huì)大大增加系統(tǒng)負(fù)擔(dān)，為節(jié)省系統(tǒng)資源，微軟將一些系統(tǒng)服務(wù)以動(dòng)態(tài)鏈接庫(kù)(DLL)形式實(shí)現(xiàn)，而Svchost.exe就是用來(lái)裝載這些DLL文件以啟動(dòng)系統(tǒng)服務(wù)的程序。沒(méi)有人會(huì)為了發(fā)行一張CD而制作一臺(tái)專用播放此CD的CD機(jī)，微軟也一樣。 #$l:%  
　　3.系統(tǒng)里有幾臺(tái)這樣的“CD機(jī)” E@-5L9eJ\  
　　那為什么系統(tǒng)進(jìn)程列表中的Svchost.exe會(huì)有多個(gè)呢？微軟為了讓系統(tǒng)能更好地進(jìn)行服務(wù)控制，就允許多個(gè)Svchost.exe進(jìn)程同時(shí)運(yùn)行，每個(gè)Svchost.exe進(jìn)程可以包含一組服務(wù)，想像一下可以同時(shí)容納3張甚至更多CD的多碟CD機(jī)。打開(kāi)注冊(cè)表[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost]主鍵，在窗口右側(cè)可以看到許多鍵值，這里的每個(gè)鍵值都代表一組服務(wù)，鍵值數(shù)據(jù)則包含了該組服務(wù)下面運(yùn)行的服務(wù)名稱列表，每組服務(wù)啟動(dòng)時(shí)都會(huì)通過(guò)單獨(dú)的Svchost.exe進(jìn)程來(lái)裝載。Windows XP中默認(rèn)共有六組服務(wù)(見(jiàn)圖2)，其中imgsvc、NetworkService、rpcss、termsvcs四個(gè)組，它們都只有一個(gè)服務(wù)運(yùn)行，這些服務(wù)啟動(dòng)后的Svchost.exe進(jìn)程用戶名為“SYSTEM”。而LocalService和netsvcs組都啟動(dòng)了多個(gè)服務(wù)，它們的Svchost.exe進(jìn)程用戶名分別為“LOCAL SERVICE”和“NETWORD SERVICE”，從圖1中可以看到這種區(qū)別。 Bve',.xH  
　　當(dāng)然了，這六組服務(wù)通常并不都是啟動(dòng)狀態(tài)的，根據(jù)系統(tǒng)啟動(dòng)的服務(wù)不同，反映在系統(tǒng)進(jìn)程列表中的Svchost.exe進(jìn)程數(shù)量也是不同的，Windows XP會(huì)有四個(gè)到六個(gè)Svchost.exe進(jìn)程，而Windows 2000通常則會(huì)有兩個(gè)Svchost.exe進(jìn)程。 AuY*x;~  
　　小提示：點(diǎn)擊“開(kāi)始→運(yùn)行”，在運(yùn)行框中輸入“CMD”回車，然后在打開(kāi)的命令行窗口中輸入“Tasklist /svc”(不含引號(hào))命令，可以更直觀地看到每個(gè)Svchost.exe進(jìn)程裝載的服務(wù)名稱列表(見(jiàn)圖3)。 )"_&CYnd  
　　4.獲取每張“CD”的詳細(xì)信息 5ka6=R(r  
　　如果想更進(jìn)一步了解Svchost.exe裝載的這些服務(wù)都是什么功能，可以記下鍵值數(shù)據(jù)中的服務(wù)名稱，例如“RpcSs”，接著打開(kāi)注冊(cè)表的[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services]，再打開(kāi)下面的“RpcSs”子鍵，在右邊的“Description”鍵值中就可以看到該服務(wù)的描述，而在“ImagePath”鍵值數(shù)據(jù)中則可以看到這個(gè)服務(wù)的運(yùn)行命令正是“%SystemRoot%\system32\svchost -k rpcss”(見(jiàn)圖4)。而在“RpcSs”子鍵下還有一個(gè)“Parameters”(參數(shù))子鍵，其右邊的“ServiceDll”鍵值數(shù)據(jù)“%SystemRoot%\system32\rpcss.dll”則表明了RpcSs服務(wù)啟動(dòng)時(shí)調(diào)用的是系統(tǒng)目錄下的“Rpcss.dll”文件，這就好像你原來(lái)只知道CD中歌曲的歌名，現(xiàn)在又讓你能夠查到這首歌的演唱者。 6#ktw)e  
　　如果覺(jué)得通過(guò)注冊(cè)表查詢服務(wù)名稱了解其屬性不太方便，也可以使用“全能助手用Windows服務(wù)管理專家”(以下簡(jiǎn)稱“服務(wù)管理專家”)來(lái)查詢，運(yùn)行軟件后單擊“All Win32 Services”分支，在右側(cè)服務(wù)列表中根據(jù)服務(wù)名稱索引即可快速找到要查詢的服務(wù)，單擊服務(wù)名稱，即可看到該服務(wù)的啟動(dòng)命令以及調(diào)用的DLL文件等相關(guān)信息(見(jiàn)圖5)。同時(shí)軟件還專門設(shè)計(jì)了Svchost Group分支，可以快速查詢LocalService和netsvcs組中的服務(wù)詳細(xì)信息。 z G`|)  
　　全能助手Windows服務(wù)管理專家 小檔案 `rV-,-r@  

軟件名稱：	全能助手Windows服務(wù)管理專家
軟件版本：	1.02
軟件大小：	67KB
軟件授權(quán)：	免費(fèi)
適用平臺(tái)：	Windows 2000/XP
下載地址：	點(diǎn)擊這里下載

P1|3%#c  
　　三、危機(jī)仍在:小心病毒的騙局 |o@U L  
　　由于Svchost.exe進(jìn)程的特殊性，它隱藏了真正運(yùn)行的程序的名稱，在表面看到的只是Svchost.exe進(jìn)程，這個(gè)特性同時(shí)也讓許多病毒、木馬有空可鉆，企圖以此迷惑用戶。那么如何判斷系統(tǒng)中的多個(gè)Svchost.exe進(jìn)程是否正常呢？下面針對(duì)這類病毒常用的幾種欺騙手法來(lái)進(jìn)行分析。 Z6&bUZF$bE  
　　騙局1:利用假冒Svchost.exe名稱的病毒程序 "*:?m{w5  
　　火眼金睛:這種方式運(yùn)行的病毒并沒(méi)有直接利用真正的Svchost.exe進(jìn)程，而是啟動(dòng)了另外一個(gè)名稱同樣是Svchost.exe的病毒進(jìn)程，由于這個(gè)假冒的病毒進(jìn)程并沒(méi)有加載系統(tǒng)服務(wù)，它和真正的Svchost.exe進(jìn)程是不同的，只需在命令行窗口中運(yùn)行一下“Tasklist /svc”，如果看到哪個(gè)Svchost.exe進(jìn)程后面提示的服務(wù)信息是“暫缺”(見(jiàn)圖6)，而不是一個(gè)具體的服務(wù)名，那么它就是病毒進(jìn)程了，記下這個(gè)病毒進(jìn)程對(duì)應(yīng)的PID數(shù)值(進(jìn)程標(biāo)識(shí)符)，即可在任務(wù)管理器的進(jìn)程列表中找到它，結(jié)束進(jìn)程后，在C盤搜索Svchost.exe文件，也可以用第三方進(jìn)程工具直接查看該進(jìn)程的路徑，正常的Svchost.exe文件是位于%systemroot%\System32目錄中的，而假冒的Svchost.exe病毒或木馬文件則會(huì)在其他目錄，例如“w32.welchina.worm”病毒假冒的Svchost.exe就隱藏在Windows\System32\Wins目錄中，將其刪除，并徹底清除病毒的其他數(shù)據(jù)即可。 %
AA-G  
　　騙局2:一些高級(jí)病毒則采用類似系統(tǒng)服務(wù)啟動(dòng)的方式，通過(guò)真正的Svchost.exe進(jìn)程加載病毒程序，而Svchost.exe是通過(guò)注冊(cè)表數(shù)據(jù)來(lái)決定要裝載的服務(wù)列表的，所以病毒通常會(huì)在注冊(cè)表中采用以下方法進(jìn)行加載： ;WgzR_'!'  

• 添加一個(gè)新的服務(wù)組，在組里添加病毒服務(wù)名
• 在現(xiàn)有的服務(wù)組里直接添加病毒服務(wù)名
• 修改現(xiàn)有服務(wù)組里的現(xiàn)有服務(wù)屬性，修改其“ServiceDll”鍵值指向病毒程序

　　判斷方法:病毒程序要通過(guò)真正的Svchost.exe進(jìn)程加載，就必須要修改相關(guān)的注冊(cè)表數(shù)據(jù)，可以打開(kāi)[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost]，觀察有沒(méi)有增加新的服務(wù)組，同時(shí)要留意服務(wù)組中的服務(wù)列表，觀察有沒(méi)有可疑的服務(wù)名稱，通常來(lái)說(shuō)，病毒不會(huì)在只有一個(gè)服務(wù)名稱的組中添加，往往會(huì)選擇LocalService和netsvcs這兩個(gè)加載服務(wù)較多的組，以干擾分析，還有通過(guò)修改服務(wù)屬性指向病毒程序的，通過(guò)注冊(cè)表判斷起來(lái)都比較困難，這時(shí)可以利用前面介紹的服務(wù)管理專家，分別打開(kāi)LocalService和netsvcs分支，逐個(gè)檢查右邊服務(wù)列表中的服務(wù)屬性，尤其要注意服務(wù)描述信息全部為英文的，很可能是第三方安裝的服務(wù)，同時(shí)要結(jié)合它的文件描述、版本、公司等相關(guān)信息，進(jìn)行綜合判斷。例如這個(gè)名為PortLess BackDoor的木馬程序，在服務(wù)列表中可以看到它的服務(wù)描述為“Intranet Services”，而它的文件版本、公司、描述信息更全部為空(見(jiàn)圖7)，如果是微軟的系統(tǒng)服務(wù)程序是絕對(duì)不可能出現(xiàn)這種現(xiàn)象的。從啟動(dòng)信息“C:\WINDOWS\System32\svchost.exe -k netsvcs”中可以看出這是一款典型的利用Svchost.exe進(jìn)程加載運(yùn)行的木馬，知道了其原理，清除方法也很簡(jiǎn)單了：先用服務(wù)管理專家停止該服務(wù)的運(yùn)行，然后運(yùn)行regedit.exe打開(kāi)“注冊(cè)表編輯器”，刪除[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPRIP]主鍵，重新啟動(dòng)計(jì)算機(jī)，再刪除%systemroot%\System32目錄中的木馬源程序“svchostdll.dll”，通過(guò)按時(shí)間排序，又發(fā)現(xiàn)了時(shí)間完全相同的木馬安裝程序“PortlessInst.exe”，一并刪除即可。 )|W6Z