Windows系统安全 Svchost进程揭秘

ZDNet软件频道 时间:2009-11-05 作者: | 中国IT实验室 我要评论()
本文关键词:svchost 系统安全 Windows Windows
在基于NT内核的Windows操作系统家族中,Svchost.exe是一个非常重要的进程。很多病毒、木马驻留系统与这个进程密切相关,因此深入了解该进程是非常有必要的。本文主要介绍Svchost进程的功能,以及与该进程相关的知识。

  在基于NT内核的Windows操作系统家族中,svchost.exe是一个非常重要的进程。很多病毒、木马驻留系统与这个进程密切相关,因此深入了解该进程是非常有必要的。本文主要介绍svchost进程的功能,以及与该进程相关的知识。

  svchost进程概述

  微软对“svchost进程”的定义是:svchost.exe是从动态链接库(DLL)中运行的服务的通用主机进程名称。svchost.exe文件位于“%SystemRoot%System32”文件夹中。当系统启动时,svchost将检查注册表中的服务部分,以构建需要加载的服务列表。svchost的多个实例可以同时运行。每个svchost会话可以包含一组服务,以便根据svchost的启动方式和位置的不同运行不同的服务,这样可以更好地进行控制且更加便于调试。

  svchost组是由注册表[HKEY_LOCAL_MACHINE SoftwareMicrosoftWindows NTCurrentVersionsvchost]项来识别的。在这个注册表项下的每个值都代表单独的svchost组,并在我们查看活动进程时作为单独的实例显示。这里的键值均为REG_MULTI_SZ类型的值,并且包含该svchost组里运行的服务名称(如图1)。

  实际上,svchost只是作为服务的宿主,本身并不实现什么功能。如果需要使用svchost来启动某个DLL形式实现的服务,该DLL的载体Loader指向svchost,在启动服务的时候由svchost调用该服务的DLL来实现启动的目的。使用svchost启动某个服务的DLL文件是由注册表中的参数来决定的,在需要启动服务的注册表项下都有一个“Parameters”子项,其中的“ServiceDll”键值表明该服务由哪个DLL文件负责,并且这个DLL文件必须导出一个ServiceMain()函数,为处理服务任务提供支持。

  提示:不同版本的Windows系统,存在不同数量的svchost进程。一般来说,Windows 2000有两个svchost进程,而Windows XP则有四个或四个以上的svchost进程。

  svchost进程实例讲解

  要想查看在svchost中运行服务的列表,可以在Windows XP命令提示符窗口中输入“Tasklist /svc”命令后,回车执行(如果使用的是Windows 2000,可用Support Tools提供的Tlist工具查看,命令为“Tlist -s”)。Tasklist命令显示活动进程的列表,/svc命令开关指定显示每个进程中活动服务的列表。从图中可以看到,svchost进程启动很多系统服务,如:RpcSs(Remote Procedure Call)、Dhcp(DHCP Client)、Netman(Network Connections)服务等等(如图2)。

  这里我们以RpcSs服务为例,来具体了解一下svchost进程与服务的关系。运行Regedit,打开注册表编辑器,依次展开[HKEY_LOCAL_MACHINESYSTEM

  CurrentControlSetServicesRpcSs ]分支,在“Parameters”子项中有个名为“ServiceDll”的键,其值为“%SystemRoot%system32 pcss.dll”。这表示系统启动RpcSs服务时,调用“%SystemRoot%system32”目录下的Rpcss.dll动态链接库文件。

  接下来,从控制面板中依次双击“管理工具→服务”,打开服务控制台。在右侧窗格中双击“Remote Procedure Call(RPC)”服务项,打开其属性对话框,可以看到RpcSs服务的可执行文件的路径为“C:Windowssystem32svchost -k rpcss”,这说明RpcSs服务是依靠svchost启动的,“-k rpcss”表示此服务包含在svchost的Rpcss服务组中。

  svchost进程木马浅析

  从前面的介绍我们已经知道,在注册表[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent- Versionsvchost]分支中,存放着svchost启动的组和组内的各项服务,很多木马和病毒正是利用这一点来实现自动加载的。它们通常的方法有:

  • 添加一个新的组,在组里添加服务名;

  • 在现有的组里添加服务名或者利用现有组一个未安装的服务;

  • 修改现有组里的服务,将它的ServiceDll指向自己的DLL文件。

  例如PortLess BackDoor就是一款典型的利用svchost进程加载的后门工具。那么对于像PortLess BackDoor这样的木马、病毒,该如何检测并清除呢?以Windows XP为例,首先我们可以利用“进程间谍”这样的进程工具查看svchost进程中的模块信息(如图3),并与之前的模块信息比较,可以发现svchost进程中有一个可疑的DLL文件“svchostDLL.dll”。同时,在“管理工具→服务”列表中会看到一项新的服务“Intranet Services”(显示名称),此服务名称为:Iprip,由svchost启动,“-k netsvcs”表示此服务包含在Netsvcs服务组中。

  提示:在Windows 2000中,系统的Iprip服务侦听由使用Routing Information协议版本1(RIPv1)的路由器发送的路由更新信息,在服务列表中显示的名称为“RIP Listener”。

  运行Regedit,打开注册表编辑器,展开[HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

  ServicesIPRIP]分支,查看其“Parameters”子项,其中“ServiceDll”键值指向调用的DLL文件路径和全称,这正是后门的DLL文件。知道了这些,就可以动手清除了:在服务列表用右键单击“Intranet Services”服务,从菜单中选择“停止”,然后在上述注册表分支中删除“Iprip”项。重新启动计算机,再按照“ServiceDll”键值提示的位置删除后门程序主文件即可。最后需要提醒读者的是,对注册表进行修改前,应做好备份工作,以便出现错误时能够及时还原。


百度大联盟认证黄金会员Copyright© 1997- CNET Networks 版权所有。 ZDNet 是CNET Networks公司注册服务商标。
中华人民共和国电信与信息服务业务经营许可证编号:京ICP证010391号 京ICP备09041801号-159
京公网安备:1101082134