Windows操作系统中Svchost进程功能(2)

　　Svchost进程木马浅析

　　从前面的介绍我们已经知道，在注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current- Version\Svchost]分支中，存放着Svchost启动的组和组内的各项服务，很多木马和病毒正是利用这一点来实现自动加载的。它们通常的方法有：

　　·添加一个新的组，在组里添加服务名；

　　·在现有的组里添加服务名或者利用现有组一个未安装的服务；

　　·修改现有组里的服务，将它的ServiceDll指向自己的DLL文件。

　　例如PortLess BackDoor就是一款典型的利用Svchost进程加载的后门工具。那么对于像PortLess BackDoor这样的木马、病毒，该如何检测并清除呢？以Windows XP为例，首先我们可以利用“进程间谍”这样的进程工具查看Svchost进程中的模块信息(如图3)，并与之前的模块信息比较，可以发现Svchost进程中有一个可疑的DLL文件“SvchostDLL.dll”。同时，在“管理工具→服务”列表中会看到一项新的服务“Intranet Services”(显示名称)，此服务名称为：Iprip，由Svchost启动，“-k netsvcs”表示此服务包含在Netsvcs服务组中。

　　提示：在Windows 2000中，系统的Iprip服务侦听由使用Routing Information协议版本1(RIPv1)的路由器发送的路由更新信息，在服务列表中显示的名称为“RIP Listener”。

　　运行Regedit，打开注册表编辑器，展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

　　Services\IPRIP]分支，查看其“Parameters”子项，其中“ServiceDll”键值指向调用的DLL文件路径和全称，这正是后门的DLL文件。知道了这些，就可以动手清除了：在服务列表用右键单击“Intranet Services”服务，从菜单中选择“停止”，然后在上述注册表分支中删除“Iprip”项。重新启动计算机，再按照“ServiceDll”键值提示的位置删除后门程序主文件即可。最后需要提醒读者的是，对注册表进行修改前，应做好备份工作，以便出现错误时能够及时还原。

　　图1 注册表中的Svchost

　　图2 Svchost的服务列表

　　图3 Svchost进程中的模块信息