√了解Svchost.exe的功能
√判斷真假Svchost.exe進(jìn)程
√清除偽裝成Svchost.exe的病毒、木馬

關(guān)于“系統(tǒng)藍(lán)色檔案”欄目
Svchost.exe、lsass.exe、wdfmgr.exe，打開進(jìn)程列表后你會發(fā)現(xiàn)一大堆不知用途的進(jìn)程，究竟是系統(tǒng)進(jìn)程還是木馬病毒？如果打開系統(tǒng)文件夾，一大堆奇奇怪怪名稱的文件，更是會把你弄得暈頭轉(zhuǎn)向。很多朋友因此而始終抱有一種未知的恐懼，認(rèn)為木馬、黑客無處不在，即使是高手，也不能把這些陌生的系統(tǒng)文件說個(gè)明明白白。為消除大家的疑惑，從這期開始為大家?guī)硪粰n新的連載欄目——系統(tǒng)藍(lán)色檔案為大家曝光這些隱秘文件的秘密。和DOS快餐店一樣，這次同樣有兩位主人公，現(xiàn)在就來認(rèn)識一下。
主人公介紹
小菜:剛接觸電腦不久的菜鳥，但對電腦知識有著非常濃厚的學(xué)習(xí)興趣，常說的一句話是“菜鳥先飛”。
大嘴:樂于助人的老鳥，經(jīng)常被別人冠以“大嘴高手”稱號，不過這并不是指他嘴特別大，而是一談到電腦知識就滔滔不絕。

一、緊急狀況:系統(tǒng)發(fā)現(xiàn)嚴(yán)重病毒！
小菜剛剛學(xué)習(xí)了進(jìn)程的概念和知識，于是就打開“任務(wù)管理器”觀察系統(tǒng)中的進(jìn)程，這一看不要緊，還真發(fā)現(xiàn)了一個(gè)“病毒”——Svchost.exe，這家伙在系統(tǒng)進(jìn)程列表中竟然有5個(gè)之多(見圖1)，于是小菜就逐個(gè)結(jié)束這些進(jìn)程，沒想到第二個(gè)進(jìn)程結(jié)束后還會再生，而結(jié)束第四個(gè)進(jìn)程時(shí)更離譜，系統(tǒng)提示“系統(tǒng)即將關(guān)機(jī)，離關(guān)機(jī)還有60秒”，進(jìn)程再生、錯(cuò)誤提示，這些典型的病毒“癥狀”更讓小菜相信“Svchost.exe”是病毒無疑，但無法結(jié)束進(jìn)程，又該怎么清除病毒呢？小菜只好請來了大嘴。

圖1

大嘴過來后還沒看電腦，就先告訴小菜，系統(tǒng)中的Svchost.exe進(jìn)程是正常系統(tǒng)進(jìn)程，不是病毒，不僅僅是你，其他朋友一看到系統(tǒng)中這么多的Svchost.exe進(jìn)程，第一反應(yīng)也感覺它是病毒，雖然系統(tǒng)中有多個(gè)Svchost.exe進(jìn)程是正常的，但也不保證都是正常的。聽起來似乎有些矛盾？這讓小菜更有些迷糊，大嘴坐下后給小菜詳細(xì)講了起來。
二、松了口氣:Svchost.exe是臺“CD機(jī)”
1.服務(wù)裝在“CD機(jī)”里
Svchost.exe是NT內(nèi)核操作系統(tǒng)(Windows 2000/XP/2003都屬于NT內(nèi)核操作系統(tǒng))獨(dú)有的進(jìn)程，“Svchost”其實(shí)就是“Service Host”(服務(wù)宿主)的縮寫。微軟官方對它的定義是:Svchost.exe是從動態(tài)鏈接庫(DLL)中運(yùn)行的服務(wù)的通用主機(jī)進(jìn)程名稱，通俗講，它就是一個(gè)服務(wù)裝載器。大家可以把每個(gè)服務(wù)想象成一張音樂CD，而Svchost.exe就是用來播放這種CD的CD機(jī)。
2.為什么用“CD機(jī)”裝服務(wù)
由于Windows 2000/XP系統(tǒng)服務(wù)越來越多，以EXE單獨(dú)進(jìn)程的形式啟動所有服務(wù)會大大增加系統(tǒng)負(fù)擔(dān)，為節(jié)省系統(tǒng)資源，微軟將一些系統(tǒng)服務(wù)以動態(tài)鏈接庫(DLL)形式實(shí)現(xiàn)，而Svchost.exe就是用來裝載這些DLL文件以啟動系統(tǒng)服務(wù)的程序。沒有人會為了發(fā)行一張CD而制作一臺專用播放此CD的CD機(jī)，微軟也一樣。
3.系統(tǒng)里有幾臺這樣的“CD機(jī)”
那為什么系統(tǒng)進(jìn)程列表中的Svchost.exe會有多個(gè)呢？微軟為了讓系統(tǒng)能更好地進(jìn)行服務(wù)控制，就允許多個(gè)Svchost.exe進(jìn)程同時(shí)運(yùn)行，每個(gè)Svchost.exe進(jìn)程可以包含一組服務(wù)，想像一下可以同時(shí)容納3張甚至更多CD的多碟CD機(jī)。打開注冊表[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost]主鍵，在窗口右側(cè)可以看到許多鍵值，這里的每個(gè)鍵值都代表一組服務(wù)，鍵值數(shù)據(jù)則包含了該組服務(wù)下面運(yùn)行的服務(wù)名稱列表，每組服務(wù)啟動時(shí)都會通過單獨(dú)的Svchost.exe進(jìn)程來裝載。Windows XP中默認(rèn)共有六組服務(wù)(見圖2)，其中imgsvc、NetworkService、rpcss、termsvcs四個(gè)組，它們都只有一個(gè)服務(wù)運(yùn)行，這些服務(wù)啟動后的Svchost.exe進(jìn)程用戶名為“SYSTEM”。而LocalService和netsvcs組都啟動了多個(gè)服務(wù)，它們的Svchost.exe進(jìn)程用戶名分別為“LOCAL SERVICE”和“NETWORD SERVICE”，從圖1中可以看到這種區(qū)別。

圖2

當(dāng)然了，這六組服務(wù)通常并不都是啟動狀態(tài)的，根據(jù)系統(tǒng)啟動的服務(wù)不同，反映在系統(tǒng)進(jìn)程列表中的Svchost.exe進(jìn)程數(shù)量也是不同的，Windows XP會有四個(gè)到六個(gè)Svchost.exe進(jìn)程，而Windows 2000通常則會有兩個(gè)Svchost.exe進(jìn)程。
小提示
點(diǎn)擊“開始→運(yùn)行”，在運(yùn)行框中輸入“CMD”回車，然后在打開的命令行窗口中輸入“Tasklist /svc”(不含引號)命令，可以更直觀地看到每個(gè)Svchost.exe進(jìn)程裝載的服務(wù)名稱列表(見圖3)。

圖3

4.獲取每張“CD”的詳細(xì)信息
如果想更進(jìn)一步了解Svchost.exe裝載的這些服務(wù)都是什么功能，可以記下鍵值數(shù)據(jù)中的服務(wù)名稱，例如“RpcSs”，接著打開注冊表的[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services]，再打開下面的“RpcSs”子鍵，在右邊的“Description”鍵值中就可以看到該服務(wù)的描述，而在“ImagePath”鍵值數(shù)據(jù)中則可以看到這個(gè)服務(wù)的運(yùn)行命令正是“%SystemRoot%\system32\svchost -k rpcss”(見圖4)。而在“RpcSs”子鍵下還有一個(gè)“Parameters”(參數(shù))子鍵，其右邊的“ServiceDll”鍵值數(shù)據(jù)“%SystemRoot%\system32\rpcss.dll”則表明了RpcSs服務(wù)啟動時(shí)調(diào)用的是系統(tǒng)目錄下的“Rpcss.dll”文件，這就好像你原來只知道CD中歌曲的歌名，現(xiàn)在又讓你能夠查到這首歌的演唱者。

圖4

如果覺得通過注冊表查詢服務(wù)名稱了解其屬性不太方便，也可以使用“全能助手用Windows服務(wù)管理專家”(以下簡稱“服務(wù)管理專家”)來查詢，運(yùn)行軟件后單擊“All Win32 Services”分支，在右側(cè)服務(wù)列表中根據(jù)服務(wù)名稱索引即可快速找到要查詢的服務(wù)，單擊服務(wù)名稱，即可看到該服務(wù)的啟動命令以及調(diào)用的DLL文件等相關(guān)信息(見圖5)。同時(shí)軟件還專門設(shè)計(jì)了Svchost Group分支，可以快速查詢LocalService和netsvcs組中的服務(wù)詳細(xì)信息。

圖5

全能助手用Windows服務(wù)管理專家 小檔案
軟件版本:1.02軟件大小:164KB
軟件性質(zhì):免費(fèi)軟件適用平臺:Windows 2000/XP
下載地址:http://www.onlinedown.net/soft/39428.htm
三、危機(jī)仍在:小心病毒的騙局
由于Svchost.exe進(jìn)程的特殊性，它隱藏了真正運(yùn)行的程序的名稱，在表面看到的只是Svchost.exe進(jìn)程，這個(gè)特性同時(shí)也讓許多病毒、木馬有空可鉆，企圖以此迷惑我們。那么如何判斷系統(tǒng)中的多個(gè)Svchost.exe進(jìn)程是否正常呢？下面針對這類病毒常用的幾種欺騙手法來進(jìn)行分析。
騙局1:利用假冒Svchost.exe名稱的病毒程序
火眼金睛:這種方式運(yùn)行的病毒并沒有直接利用真正的Svchost.exe進(jìn)程，而是啟動了另外一個(gè)名稱同樣是Svchost.exe的病毒進(jìn)程，由于這個(gè)假冒的病毒進(jìn)程并沒有加載系統(tǒng)服務(wù)，它和真正的Svchost.exe進(jìn)程是不同的，我們只需在命令行窗口中運(yùn)行一下“Tasklist /svc”，如果看到哪個(gè)Svchost.exe進(jìn)程后面提示的服務(wù)信息是“暫缺”(見圖6)，而不是一個(gè)具體的服務(wù)名，那么它就是病毒進(jìn)程了，記下這個(gè)病毒進(jìn)程對應(yīng)的PID數(shù)值(進(jìn)程標(biāo)識符)，即可在任務(wù)管理器的進(jìn)程列表中找到它，結(jié)束進(jìn)程后，在C盤搜索Svchost.exe文件，也可以用第三方進(jìn)程工具直接查看該進(jìn)程的路徑，正常的Svchost.exe文件是位于%systemroot%\System32目錄中的，而假冒的Svchost.exe病毒或木馬文件則會在其他目錄，例如“w32.welchina.worm”病毒假冒的Svchost.exe就隱藏在Windows\System32\Wins目錄中，將其刪除，并徹底清除病毒的其他數(shù)據(jù)即可。

圖6

騙局2:一些高級病毒則采用類似系統(tǒng)服務(wù)啟動的方式，通過真正的Svchost.exe進(jìn)程加載病毒程序，而Svchost.exe是通過注冊表數(shù)據(jù)來決定要裝載的服務(wù)列表的，所以病毒通常會在注冊表中采用以下方法進(jìn)行加載:
·添加一個(gè)新的服務(wù)組，在組里添加病毒服務(wù)名
·在現(xiàn)有的服務(wù)組里直接添加病毒服務(wù)名
·修改現(xiàn)有服務(wù)組里的現(xiàn)有服務(wù)屬性，修改其“ServiceDll”鍵值指向病毒程序
判斷方法:病毒程序要通過真正的Svchost.exe進(jìn)程加載，就必須要修改相關(guān)的注冊表數(shù)據(jù)，我們可以打開[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost]，觀察有沒有增加新的服務(wù)組，同時(shí)要留意服務(wù)組中的服務(wù)列表，觀察有沒有可疑的服務(wù)名稱，通常來說，病毒不會在只有一個(gè)服務(wù)名稱的組中添加，往往會選擇LocalService和netsvcs這兩個(gè)加載服務(wù)較多的組，以干擾我們的分析，還有通過修改服務(wù)屬性指向病毒程序的，通過注冊表判斷起來都比較困難，這時(shí)我們可以利用前面介紹的服務(wù)管理專家，分別打開LocalService和netsvcs分支，逐個(gè)檢查右邊服務(wù)列表中的服務(wù)屬性，尤其要注意服務(wù)描述信息全部為英文的，很可能是第三方安裝的服務(wù)，同時(shí)要結(jié)合它的文件描述、版本、公司等相關(guān)信息，進(jìn)行綜合判斷。例如這個(gè)名為PortLess BackDoor的木馬程序，我們在服務(wù)列表中可以看到它的服務(wù)描述為“Intranet Services”，而它的文件版本、公司、描述信息更全部為空(見圖7)，如果是微軟的系統(tǒng)服務(wù)程序是絕對不可能出現(xiàn)這種現(xiàn)象的。從啟動信息“C:\WINDOWS\System32\svchost.exe -k netsvcs”中可以看出這是一款典型的利用Svchost.exe進(jìn)程加載運(yùn)行的木馬，知道了其原理，清除方法也很簡單了:先用服務(wù)管理專家停止該服務(wù)的運(yùn)行，然后運(yùn)行regedit.exe打開“注冊表編輯器”，刪除[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPRIP]主鍵，重新啟動計(jì)算機(jī)，再刪除%systemroot%\System32目錄中的木馬源程序“svchostdll.dll”，通過按時(shí)間排序，又發(fā)現(xiàn)了時(shí)間完全相同的木馬安裝程序“PortlessInst.exe”，一并刪除即可。

圖7