娛樂滿紛 26FUN's Archiver

airport 發表於 2005-6-28 07:21 AM

A Question About svchost---

Sometime, norton will show a message saying that a computer from another location trying to connect to my computer, by svchost---. Is that means a hacker trying to hack me by svchost---? Should I block the internet use of svchost---?

Can anyone experts here tell me what should I do, many thanks..^.^""

gergermen 發表於 2005-6-28 04:30 PM

svchost---是nt核心系統的非常重要的進程,對於2000、xp來說,不可或缺。很多病毒、木馬也會調用它。所以也不能說他一定是安全的!一般2000有兩個svchost進程,winxp中則有四個或四個以上的svchost進程!而win2003 server中則更多。這些svchost進程提供很多系統服務!!!這些系統服務是以動態連結程式庫(dll)形式實現的,它們把可執行程式指向 svchost,由svchost調用相應服務的動態連結程式庫來啓動服務!因爲svchost進程啓動各種服務,所以病毒、木馬也想盡辦法來利用它,企圖利用它的特性來迷惑用戶,達到感染、入侵、破壞的目的(如衝擊波變種病毒“w32.welchia.worm”)。但windows系統存在多個svchost進程是很正常的。

    Svchost---文件對那些從動態連接庫中運行的服務來說是一個普通的主機進程名。Svhost---文件定位 在系統的%systemroot%\\system32文件夾下。在啓動的時候,Svchost---檢查註冊表中的位置來構建需要載入的服務列表。這就會使多個Svchost---在同一時間運行。每個Svchost---的回話期間都包含一組服務,以至於單獨的服務必須依靠Svchost---怎樣和在那裏啓動。這樣就更加容易控制和查找錯誤。

    Svchost--- 組是用下面的註冊表值來識別。
    HKEY_LOCAL_MACHINE\\Software\\Microsoft\\WindowsNT\\CurrentVersion\\Svchost每個在這個鍵下的值代表一個獨立的Svchost組,並且當你正在看活動的進程時,它顯示作爲一個單獨的例子。每個鍵值都REG_MULTI_S類型的值而且包括運行在Svchost組內的服務。每個Svchost組都包含一個或多個從註冊表值中選取的服務名,這個服務的參數值包含了一個ServiceDLL值。
    HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\Service 更多的資訊爲了能看到正在運行在Svchost列表中的服務。

[[i] Last edited by gergermen on 2005-6-28 at 04:38 PM [/i]]

airport 發表於 2005-6-29 03:04 AM

thanks for your explaination...^.^

頁: [1]

Powered by Discuz! Archiver 7.0.0  © 2001-2009 Comsenz Inc.