我们先看看微软是怎样描述Svchost.exe的。在微软知识库314056中对Svchost.exe有如
下描述:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
其实Svchost.exe是Windows XP系统的一个核心进程。Svchost.exe不单单只出现在
Windows XP中,在使用NT内核的Windows系统中都会有Svchost.exe的存在。一般在Windows
2000中Svchost.exe进程的数目为2个,而在Windows XP中Svchost.exe进程的数目就上升到了
4个及4个以上。所以看到系统的进程列表中有几个Svchost.exe不用那么担心。
软件测试专业网站:51Testing软件测试网D7IG;L1rp7{ wtk
Svchost.exe到底是做什么用的呢?
首先我们要了解一点那就是Windows系统的中的进程分为:独立进程和共享进程这两种。
由于Windows系统中的服务越来越多,为了节约有限的系统资源微软把很多的系统服务做成了
共享模式。那Svchost.exe在这中间是担任怎样一个角色呢?
Svchost.exe的工作就是作为这些服务的宿主,即由Svchost.exe来启动这些服务。
Svchost.exe只是负责为这些服务提供启动的条件,其自身并不能实现任何服务的功能,也不
能为用户提供任何服务。Svchost.exe通过为这些系统服务调用动态链接库(DLL)的方式来
启动系统服务。
那Svchost.exe是病毒这种说法是任何产生的呢?
因为Svchost.exe可以作为服务的宿主来启动服务,所以病毒、木马的编写者也挖空心思
的要利用Svchost.exe的这个特性来迷惑用户达到入侵、破坏计算机的目的。
如何才能辨别哪些是正常的Svchost.exe进程,而哪些是病毒进程呢?
Svchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Svchost”,如图1所示。图1中每个键值表示一个独立的Svchost.exe组
。
微软还为我们提供了一种察看系统正在运行在Svchost.exe列表中的服务的方法。以
Windows XP为例:在“运行”中输入:cmd,然后在命令行模式中输入:tasklist /svc。
例:
如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为:“tlist -s”即
可。如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索
Svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:\Windows\System32”目
录下的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中
毒了。
还有一种确认Svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是
由于在Windows系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。
上面简单的介绍了Svchost.exe进程的相关情况。总而言之,Svchost.exe是一个系统的
核心进程,并不是病毒进程。但由于Svchost.exe进程的特殊性,所以病毒也会千方百计的入
侵Svchost.exe。通过察看Svchost.exe进程的执行路径可以确认是否中毒。
注:希望广大朋友不要进行非法用途,在这里解密木马捆绑是希望大家了解其原理。
软件测试专业网站:51Testing软件测试网0d&N1my5Nc8|/AM
如今网络上病毒肆虐,让电脑用户在应付病毒上花费了不少精力。当你使用杀毒软件查
杀病毒时,是否遇到查出了病毒,但是杀不掉的情况,原因何在?该如何处理呢?以下笔者对
此略作介绍。
◆系统还原文件
_restore文件夹是Windows Me/XP系统特有的系统还原文件夹,隐藏在该文件夹中的病毒
是不能直接清除的。当然这些病毒也不能直接发挥作用。要清除这些病毒,可以关闭Windows
系统的“系统还原”功能,清理系统还原点,或者直接删除_restore文件夹的内容。
◆疑似电脑病毒
有时杀毒软件会出现提示:unknown.com.tsr.virus。该提示中,unknown是“不明的”
意思,tsr是内存驻留的意思,本信息一般提示的是纯DOS环境下的可执行文件,表明杀毒软
件在该文件中发现了可疑代码,类似病毒,但是没有确定是什么病毒。
如果疑似病毒提示涉及Type-Win32代码,则表示可疑的32位代码的意思,是指Windows环
境下可疑的可执行代码。对于疑似病毒,可以直接删除该文件,或者将这些“疑似”的病毒
文件发送给反病毒软件公司,请求帮助。
◆exe 文件感染病毒
以.exe为扩展名称的文件是软件安装程序的部分文件,其中的病毒不能直接清除。只有
在软件完全安装成功后,方可清除。这有点类似于在COPY文件时发现了病毒的处理方法。
◆在DOS下清除病毒
对于在引导区发现的病毒,如POLYBOOT/WYX.b病毒,请使用干净的系统盘启动系统到DOS
,然后在DOS下杀毒即可清除。如果可感染引导区的病毒存在于文件中,可以直接删除该文件
。
◆系统初始文件中引用病毒
杀毒时出现如下提示:
------------------------------------------------------------------------------------
QUOTE:
C:\Windows\brasil.pif worm.win32.opasoft.a病毒 已删除
C:\Windows\instit.bat worm.win32.opasoft.a病毒 已删除
C:\Windows\alevir.exe worm.win32.opasoft.a病毒 已删除
C:\Windows\marco.scr worm.win32.opasoft.a病毒 已删除
C:\Windows\SCRSVR.exe worm.win32.opasoft.a病毒 已删除
------------------------------------------------------------------------------------杀毒后,重启动电脑时出现很多找不到文件的信息,而且再次杀毒时提示依旧,病毒还
是存在。这些顽固病毒的引用应该是在win.ini文件中,请单击“开始→运行”,键入
“sysedit”,按下回车键,编辑win.ini,删除对病毒的引用行。
◆病毒最新变种
杀毒软件查出的是其病毒库中不存在的新型病毒,请将杀毒软件的病毒库升级到最新,然后
再查杀。