¿Qué es el archivo aga?
Respuesta autorizada:
svchost.exe es un proceso muy importante del sistema central NT y es indispensable para 2000 y XP. Muchos virus y troyanos también lo llaman. Por lo tanto, una comprensión profunda de este programa es uno de los cursos necesarios para jugar en la computadora.
Todo el mundo debe estar familiarizado con el sistema operativo Windows, pero ¿has notado el archivo "svchost.exe" en el sistema? Los amigos cuidadosos encontrarán que hay varios procesos "svchost" en Windows (abra el administrador de tareas mediante las teclas "ctrl+alt+del", podrá verlo en la pestaña "Procesos" aquí). Desvelemos su velo misterioso.
Descubrido
En la familia de sistemas operativos Windows basada en el kernel NT, las diferentes versiones del sistema Windows tienen diferentes números de procesos "svchost", que los usuarios pueden ver usando " Administrador de tareas" Su número de procesos. En términos generales, hay dos procesos svchost en win2000 y hay cuatro o más procesos svchost en winxp (si ve varios procesos de este tipo en el sistema en el futuro, no juzgue inmediatamente que el sistema tiene un virus), y allí Hay más en el servidor win2003. Estos procesos svchost proporcionan muchos servicios del sistema, como: servicio rpcss (llamada a procedimiento remoto), servicio dmserver (administrador de disco lógico), servicio dhcp (cliente dhcp), etc.
Si desea saber cuántos servicios del sistema proporciona cada proceso svchost, puede ingresar el comando "tlist -s" en la ventana del símbolo del sistema de win2000 para verificar. Este comando lo proporcionan las herramientas de soporte de win2000. En winxp, utilice el comando "lista de tareas /svc".
Svchost puede contener múltiples servicios
En profundidad
Los procesos del sistema Windows se dividen en procesos independientes y procesos compartidos, "svchost.exe" El archivo existe en el directorio "%systemroot% system32" y es un proceso compartido. A medida que la cantidad de servicios del sistema Windows continúa aumentando, para ahorrar recursos del sistema, Microsoft convirtió muchos servicios en modo compartido y los entregó al proceso svchost.exe para que se inicien. Sin embargo, el proceso svchost solo sirve como host de servicios y no puede implementar ninguna función de servicio. Es decir, solo puede proporcionar condiciones para que se inicien otros servicios aquí, pero él mismo no puede proporcionar ningún servicio a los usuarios. Entonces, ¿cómo se implementan estos servicios?
Resulta que estos servicios del sistema se implementan en forma de bibliotecas de enlaces dinámicos (dll). Apuntan el programa ejecutable a svchost, y svchost llama a la biblioteca de enlaces dinámicos del servicio correspondiente para iniciar el servicio. . Entonces, ¿cómo sabe svchost a qué biblioteca de enlaces dinámicos debe llamar un determinado servicio del sistema? Esto se logra mediante parámetros establecidos en el registro por el servicio del sistema. Tomemos el servicio rpcss (llamada a procedimiento remoto) como ejemplo para explicarlo.
Se puede ver en los parámetros de inicio que el servicio lo inicia svchost.
Ejemplo
Tome Windows XP como ejemplo, haga clic en "Inicio"/"Ejecutar", ingrese el comando "services.msc", aparecerá el cuadro de diálogo de servicio y luego abra "llamada a procedimiento remoto" En el cuadro de diálogo de propiedades, puede ver que la ruta al archivo ejecutable del servicio rpcss es "c:\windows\system32\svchost -k rpcss", lo que muestra que el servicio rpcss se implementa mediante confiando en svchost para llamar al parámetro "rpcss", y el contenido del parámetro se almacena en el registro del sistema.
Ingrese "regedit.exe" en el cuadro de diálogo de ejecución y presione Entrar, abra el editor de registro, busque el elemento [hkey_local_machine systemcurrentcontrolsetservicesrpcss], busque la clave "magepath" de tipo "reg_expand_sz" y su clave valor Es "%systemroot%system32svchost -k rpcss" (este es el comando de inicio del servicio que se ve en la ventana de servicio. Además, hay una clave llamada "servicedll" en la subclave "parámetros" y su valor es "%). systemroot% system32rpcss.dll", donde "rpcss.dll" es el archivo de biblioteca de vínculos dinámicos que utilizará el servicio rpcss. De esta manera, el proceso svchost puede iniciar el servicio leyendo la información del registro del servicio "rpcss".
Resolver dudas
Debido a que el proceso svchost inicia diversos servicios, virus y troyanos también hacen todo lo posible por utilizarlo, intentando utilizar sus características para confundir a los usuarios y lograr infección, invasión, propósito de destrucción (como la variante del virus de onda de choque "w32.welchia.worm"). Sin embargo, es normal que existan múltiples procesos svchost en los sistemas Windows. ¿Cuál es el proceso del virus en la máquina infectada? He aquí sólo un ejemplo para ilustrar.
Supongamos que el sistema Windows XP está infectado por "w32.welchia.worm". El archivo svchost normal existe en el directorio "c:\windows\system32". Si encuentra que este archivo aparece en otros directorios, tenga cuidado. El virus "w32.welchia.worm" existe en el directorio "c:\windows\system32wins", por lo que es fácil saber si el sistema está infectado por el virus utilizando el administrador de procesos para ver la ruta del archivo de ejecución del proceso svchost. El administrador de tareas que viene con el sistema Windows no puede ver la ruta del proceso. Puede utilizar software de administración de procesos de terceros, como el administrador de procesos "Windows Optimization Master". A través de estas herramientas, puede ver fácilmente los archivos de ejecución. Todos los procesos svchost Ruta, una vez que se descubre que la ruta de ejecución es una ubicación inusual, debe detectarse y procesarse de inmediato.
Debido a limitaciones de espacio, no podemos presentar todas las funciones de svchost en detalle. Este es un proceso especial en Windows. Aquellos que estén interesados pueden consultar la información técnica relevante para obtener más información.