揭開Svchost.exe面紗

在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加載“木馬”程序的途徑，必須仔細留心它們。一般情況下，它們的等號后面什么都沒有，如果發現后面跟有路徑與文件名不是你熟悉的啟動文件，你的計算機就可能中上“木馬”了。當然你也得看清楚，因為好多“木馬”，如“AOL Trojan木馬”，它把自身偽裝成command.exe文件，如果不注意可能不會發現它不是真正的系統啟動文件。


    在system.ini文件中，在[BOOT]下面有個“shell=文件名”。正確的文件名應該是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟著的那個程序就是“木馬”程序，就是說你已經中“木馬”了。

    在注冊表中的情況最復雜，通過regedit命令打開注冊表編輯器，在點擊至：“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目錄下，查看鍵值中有沒有自己不熟悉的自動啟動文件，擴展名為EXE，這里切記：有的“木馬”程序生成的文件很像系統自身文件，想通過偽裝蒙混過關，如“Acid Battery v1.0木馬”，它將注冊表“HKEY－LOCAL－MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 鍵值改為Explorer=“C:\WINDOWS\expiorer.exe”，“木馬”程序與真正的Explorer之間只有“i”與“l”的差別。當然在注冊表中還有很多地方都可以隱藏“木馬”程序，如：“HKEY－CURRENT－USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY－USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目錄下都有可能，最好的辦法就是在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木馬該病毒也稱為“Code Red II（紅色代碼2）”病毒，與早先在西方英文系統下流行“紅色代碼”病毒有點相反，在國際上被稱為VirtualRoot（虛擬目錄）病毒。該蠕蟲病毒利用Microsoft已知的溢出漏洞，通過80端口來傳播到其它的Web頁服務器上。受感染的機器可由黑客們通過Http Get的請求運行scripts/root.exe來獲得對受感染機器的完全控制權。

    當感染一臺服務器成功了以后，如果受感染的機器是中文的系統后，該程序會休眠2天，別的機器休眠1天。當休眠的時間到了以后，該蠕蟲程序會使得機器重新啟動。該蠕蟲也會檢查機器的月份是否是10月或者年份是否是2002年，如果是，受感染的服務器也會重新啟動。當Windows NT系統啟動時，NT系統會自動搜索C盤根目錄下的文件explorer.exe，受該網絡蠕蟲程序感染的服務器上的文件explorer.exe也就是該網絡蠕蟲程序本身。該文件的大小是8192字節，VirtualRoot網絡蠕蟲程序就是通過該程序來執行的。同時，VirtualRoot網絡蠕蟲程序還將cmd.exe的文件從Windows NT的system目錄拷貝到別的目錄，給黑客的入侵敞開了大門。它還會修改系統的注冊表項目，通過該注冊表項目的修改，該蠕蟲程序可以建立虛擬的目錄C或者D，病毒名由此而來。值得一提的是，該網絡蠕蟲程序除了文件explorer.exe外，其余的操作不是基于文件的，而是直接在內存中來進行感染、傳播的，這就給捕捉帶來了較大難度。

程序的文件名，再在整個注冊表中搜索即可。

    我們先看看微軟是怎樣描述Svchost.exe的。在微軟知識庫314056中對Svchost.exe有如下描述：Svchost.exe 是從動態鏈接庫 (DLL) 中運行的服務的通用主機進程名稱。

    其實Svchost.exe是Windows XP系統的一個核心進程。Svchost.exe不單單只出現在Windows XP中，在使用NT內核的Windows系統中都會有Svchost.exe的存在。一般在Windows 2000中Svchost.exe進程的數目為2個，而在Windows XP中Svchost.exe進程的數目就上升到了4個及4個以上。所以看到系統的進程列表中有幾個Svchost.exe不用那么擔心。

Svchost.exe到底是做什么用的呢？

    首先我們要了解一點那就是Windows系統的中的進程分為：獨立進程和共享進程這兩種。由于Windows系統中的服務越來越多，為了節約有限的系統資源微軟把很多的系統服務做成了共享模式。那Svchost.exe在這中間是擔任怎樣一個角色呢？

    Svchost.exe的工作就是作為這些服務的宿主，即由Svchost.exe來啟動這些服務。Svchost.exe只是負責為這些服務提供啟動的條件，其自身并不能實現任何服務的功能，也不能為用戶提供任何服務。Svchost.exe通過為這些系統服務調用動態鏈接庫（DLL）的方式來啟動系統服務。

那Svchost.exe是病毒這種說法是任何產生的呢？

    因為Svchost.exe可以作為服務的宿主來啟動服務，所以病毒、木馬的編寫者也挖空心思的要利用Svchost.exe的這個特性來迷惑用戶達到入侵、破壞計算機的目的。

如何才能辨別哪些是正常的Svchost.exe進程，而哪些是病毒進程呢？

Svchost.exe的鍵值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost”，如圖1所示。圖1中每個鍵值表示一個獨立的Svchost.exe組。

    微軟還為我們提供了一種察看系統正在運行在Svchost.exe列表中的服務的方法。以Windows XP為例：在“運行”中輸入：cmd，然后在命令行模式中輸入：tasklist /svc。系統列出如圖2所示的服務列表。圖2中紅框包圍起來的區域就是Svchost.exe啟動的服務列表。如果使用的是Windows 2000系統則把前面的“tasklist /svc”命令替換為：“tlist -s”即可。如果你懷疑計算機有可能被病毒感染，Svchost.exe的服務出現異常的話通過搜索Svchost.exe文件就可以發現異常情況。一般只會找到一個在：“C:\Windows\System32”目錄下的Svchost.exe程序。如果你在其他目錄下發現Svchost.exe程序的話，那很可能就是中毒了。

    還有一種確認Svchost.exe是否中毒的方法是在任務管理器中察看進程的執行路徑。但是由于在Windows系統自帶的任務管理器不能察看進程路徑，所以要使用第三方的進程察看工具。

    上面簡單的介紹了Svchost.exe進程的相關情況?？偠灾?，Svchost.exe是一個系統的核心進程，并不是病毒進程。但由于Svchost.exe進程的特殊性，所以病毒也會千方百計的入侵Svchost.exe。通過察看Svchost.exe進程的執行路徑可以確認是否中毒。

注：希望廣大朋友不要進行非法用途，在這里解密木馬捆綁是希望大家了解其原理。 


    如今網絡上病毒肆虐，讓電腦用戶在應付病毒上花費了不少精力。當你使用殺毒軟件查殺病毒時，是否遇到查出了病毒，但是殺不掉的情況，原因何在?該如何處理呢?以下筆者對此略作介紹。

◆系統還原文件

    _restore文件夾是Windows Me/XP系統特有的系統還原文件夾，隱藏在該文件夾中的病毒是不能直接清除的。當然這些病毒也不能直接發揮作用。要清除這些病毒，可以關閉Windows系統的“系統還原”功能，清理系統還原點，或者直接刪除_restore文件夾的內容。

◆疑似電腦病毒

    有時殺毒軟件會出現提示：unknown.com.tsr.virus。該提示中，unknown是“不明的”意思，tsr是內存駐留的意思，本信息一般提示的是純DOS環境下的可執行文件，表明殺毒軟件在該文件中發現了可疑代碼，類似病毒，但是沒有確定是什么病毒。

    如果疑似病毒提示涉及Type-Win32代碼，則表示可疑的32位代碼的意思，是指Windows環境下可疑的可執行代碼。對于疑似病毒，可以直接刪除該文件，或者將這些“疑似”的病毒文件發送給反病毒軟件公司，請求幫助。

◆ex_文件感染病毒

    以.ex_為擴展名稱的文件是軟件安裝程序的部分文件，其中的病毒不能直接清除。只有在軟件完全安裝成功后，方可清除。這有點類似于在COPY文件時發現了病毒的處理方法。

◆在DOS下清除病毒

    對于在引導區發現的病毒，如POLYBOOT/WYX.b病毒，請使用干凈的系統盤啟動系統到DOS，然后在DOS下殺毒即可清除。如果可感染引導區的病毒存在于文件中，可以直接刪除該文件。

◆系統初始文件中引用病毒

殺毒時出現如下提示：

    殺毒后，重啟動電腦時出現很多找不到文件的信息，而且再次殺毒時提示依舊，病毒還是存在。這些頑固病毒的引用應該是在win.ini文件中，請單擊“開始→運行”，鍵入“sysedit”，按下回車鍵，編輯win.ini，刪除對病毒的引用行。

◆病毒最新變種

殺毒軟件查出的是其病毒庫中不存在的新型病毒，請將殺毒軟件的病毒庫升級到最新，然后再查殺。
--------------------

    一款好的防火墻并不能發現所有病毒；一個好的殺毒軟件并不能殲滅所有的帶毒程序！遇到這些情況我們該做何處理呢？很簡單——手工殺毒。而要論到手工殺毒，就不能不提到系統進程的妙用了。

進程、病毒？

    書上說：“進程為應用程序的運行實例，是應用程序的一次動態執行。”看似高深，我們可以簡單地理解為：它是操作系統當前運行的執行程序。在系統當前運行的執行程序里包括：系統管理計算機個體和完成各種操作所必需的程序；用戶開啟、執行的額外程序，當然也包括用戶不知道，而自動運行的非法程序（它們就有可能是病毒程序）。

    危害較大的可執行病毒同樣以“進程”形式出現在系統內部（一些病毒可能并不被進程列表顯示，如“宏病毒”），那么及時查看并準確殺掉非法進程對于“手工殺毒有起著關鍵性的作用。

操作系統如何打開進程列表？

    要通過進程列表查看系統是否染毒，必須打開當前的執行程序進程列表，Microsoft的每種系統都有相應的打開方法，但能夠顯示的能力卻因（系統）不同，有所差異：

1.Windows 98 /Me系統

    打開系統進程的方式很簡單，快捷鍵“Ctrl+Alt+Delete”（如圖1），這個窗口大家應該比較熟悉，使用Windows系統的用戶都知道用這個方法來關閉程序，不過它同樣用于顯示系統進程，只是Windows 98系統較初級，對進程的顯示局限于名稱，且里面所顯示的還有打開的文件及目錄名，查看時易混淆。Windows Me的進程打開方式和Windows 98相同。

    Windows 9x系統打開的進程列表混亂且不完全，顯然不便于查看系統的具體進程狀況，所以建議使用一些工具程序來為Windows 9x系統顯示進程，如“Windows優化大師”，在“優化大師”的“系統安全優化”項內打開“進程管理”，在圖2所示的“Windows 進程管理”窗口內，可以詳細查看當前計算機所運行的所有進程，及具體程序所在的位置，這樣更方便完成后面要介紹的如何利用進程進行查毒、殺毒。

2.Windows 2000/ XP/2003系統

    Windows 2000、Windows XP、Windows 2003打開進程窗口的方式與Windows 9x系統相同，只是三鍵后打開的是“Windows 任務管理器”窗口，需要選擇里面的“進程”項。Windows 2000系統只顯示具體進程的全名，占用的內存量；Windows XP、Windows 2003系統相比Windows 2000會顯示該進程歸屬于那個用戶下，如操作系統所必須的基礎程序，會在后面的“用戶名”內顯示為“SYSTEM”，由用戶另外開啟的程序則用戶名為當前的系統登錄用戶名。

通過進程發現、處理病毒

    在介紹具體的查毒和殺毒前，筆者先回答開篇提出的兩個問題。為什么殺毒軟件并不能全面的查找和殺掉病毒？首先，病毒防火墻是通過對程序進行反匯編，然后與自己的病毒庫進行對比來查找病毒，如果病毒較新，而殺毒軟件又未能及時升級便不能識別病毒。其次，殺毒軟件在發現病毒后，如果是獨立的可執行病毒程序，會選擇直接刪除的處理方式，而病毒如果被當作進程執行了，殺毒軟件就無能為力了，因為它沒有功能和權限先停止掉系統的這些進程，被當作進程執行的程序是不能被刪除的（這也是大家在刪除一個程序時，提示該程序正在被使用不能刪除的原因）。所以在使用殺毒軟件殺毒時，才會有殺毒完成后，又出現病毒提示的原因。

    回到原來話題上！通過進程如何發現和殺掉病毒呢？由前面的知識介紹可知，Windows 9X和Windows 2000系統只能顯示進程的名稱，這對判斷該進程是否是病毒還不夠，如果要準確的斷定病毒，最好使用前面介紹的“Windows優化大師”來查看進程程序的源路徑，如果是“C:\windows\system”下的一些未知的“EXE”那便極有病毒的可能性了。Windows XP和Windows 2003系統，進程后會有“用戶名”的顯示，病毒是不可能獲得“SYSTEM”權限的，所以應注意“用戶名”是當前登錄用戶的進程，一旦發現是病毒，可以立即“殺掉”。這里介紹兩個技巧：

1．發現可疑進程后，利用Windows的查找功能，查找該進程所在的具體路徑，通過路徑可以知道該進程是否合法，譬如由路徑“C:\Program Files\3721\assistse.exe”知道該程序是3721的進程，是合法的。

2．在對進程是否病毒拿不定主意時，可以復制該進程的全名，如：“xxx.exe”到googl.com或baidu.com這樣的全球搜查引擎上進行搜查，如果是病毒會有相關的介紹網頁。

    確定了該進程是病毒，首先應該殺掉該進程，對于Windows 9x系統，選中該進程后，點擊下面的“結束任務”按鈕，Windows 2000、Windows XP、Windows 2003系統則在進程上單擊右鍵在彈出菜單上選擇“結束任務”。“殺掉”進程后找到該進程的路徑刪除掉即可，完成后最好在進行一次殺毒，這樣就萬無一失了。

    一次利用進程殺毒的具體過程是這樣的：“通過進程名及路徑判斷是否病毒——殺掉進程——刪除病毒程序”，為了讓讀者更好的判斷進程，在這里補充一些Windows的進程資料給大家：

以上這些進程都是對計算機運行起至關重要的，千萬不要隨意“殺掉”，否則可能直接影響系統的正常運行。

詳述系統進程中 Svchost.exe 的作用

問：我的系統進程里有四個svchost.exe，聽說有些木馬就是偽裝成系統的進程，不知道這個是不是？

答：svchost.exe 存在 %windir%\system32\wins 下。

    如果懷疑svchost.exe是病毒可以通過以下方法來證實是不是病毒：1.可以去 wins 目錄找找有無多余，2.可以搜搜windows文件夾中 svchost.exe 看看有幾個（應為1個），3.tlist -s察看，4.也可以下載一個可以看帶路徑名的進程的瀏覽工具。

問：svchost.exe是起什么作用的進程?

答：Svchost.exe文件對那些從動態連接庫中運行的服務來說是一個普通的主機進程名。Svhost.exe文件定位在系統的%systemroot%\system32文件夾下。在啟動的時候，Svchost.exe檢查注冊表中的位置來構建需要加載的服務列表。這就會使多個Svchost.exe在同一時間運行。每個Svchost.exe的回話期間都包含一組服務，以至于單獨的服務必須依靠Svchost.exe怎樣和在那里啟動。這樣就更加容易控制和查找錯誤。

    Svchost.exe 組是用下面的注冊表值來識別。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost每個在這個鍵下的值代表一個獨立的Svchost組，并且當你正在看活動的進程時，它顯示作為一個單獨的例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括運行在Svchost組內的服務。每個Svchost組都包含一個或多個從注冊表值中選取的服務名，這個服務的參數值包含了一個ServiceDLL值。HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service

 

如果svchost.exe中毒很有可能是W32.Welchia.Worm病毒下面介紹手動清除該病毒的方法

手動清除W32.Welchia.Worm：

點擊開始菜單->運行->鍵入"regedit"->確定

　　找到"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices"

　　刪除.RpcPatch和RpcTftpd鍵值

　　退出注冊表編輯器

　　刪除系統目錄下wins目錄里面的dllhost.exe和Svchost.exe