扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
svchost.exe是nt核心系统的非常重要的进程,对于windows 2000、xp等不可或缺。细心的朋友会发现windows中存在多个 “svchost”进程(通过“ctrl+alt+del”键打开任务管理器,在“进程”标签中就可看到了)。windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot% system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由 svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。不同版本的windows系统,有不同数量的“svchost”进程。一般来说,win2000有2个svchost,winxp中则有4个或4个以上的svchost进程,而win2003则更多。
二、Svchost.exe病毒程序
1.假冒Svchost.exe程序的病毒
运行的病毒并没有直接利用真正的Svchost.exe,而是启动了一个名称同样是Svchost.exe的病毒进程,由于没有加载系统服务,它和真正的 Svchost.exe进程是不同的,只需在命令行窗口中运行一下“Tasklist /svc”,如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”,而不是一个具体的服务名,那么它就是病毒进程了,记下这个病毒进程对应的PID数值(进程标识符),即可在任务管理器的进程列表中找到它,结束进程后,在C盘搜索Svchost.exe文件,也可以用第三方进程工具直接查看该进程的路径,正常的Svchost.exe文件是位于% systemroot%System32目录中的,而假冒的Svchost.exe病毒文件则会在其他目录。
2:一些高级病毒则采用类似系统服务启动的方式,通过真正的Svchost.exe进程加载病毒程序,而Svchost.exe是通过注册表数据来决定要装载的服务列表的,所以病毒通常会在注册表中采用以下方法进行加载:
添加一个新的服务组,在组里添加病毒服务名
在现有的服务组里直接添加病毒服务名
修改现有服务组里的现有服务属性,修改其“ServiceDll”键值指向病毒程序
Svchost.exe病毒的简单处理:
1.当发现Svchost.exe不在%systemroot%System32目录中的,可以安全删除,同时在注册表中查找对应的注册项删除掉。
2.Svchost.exe在%systemroot%System32目录,说明Svchost.exe是被病毒感染了,可以用杀毒软件清除。
注:清除和删除要分清楚,清除是清除病毒,删除则是删文件。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。