剖析进程中SVCHOST的作用和原理

i-winnerUID: 183200

走进SVCHOST

　　SVCHOST进程现在是声名狼藉，本来Windows用它来启动各种服务，可是偏偏病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的(如冲击波变种病毒“W32.Welchia.Worm”)，弄的大家草木皆兵一见有SVCHOST就怀疑自己是否已经中招，其实Windows系统存在多个SVCHOST进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。

　　假设Windows XP系统被“W32.Welchia.Worm”感染了。正常的SVCHOST文件存在于“C:\Windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。“W32.Welchia.Worm”病毒存在于“C:\Windows\system32\wins”目录中，因此使用进程管理器查看SVCHOST进程的执行文件路径就很容易发现系统是否感染了病毒。Windows系统自带的任务管理器不能够查看进程的路径，可以使用第三方进程管理软件，如“Windows优化大师”进程管理器，通过这些工具就可很容易地查看到所有的SVCHOST进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。

　　在基于NT内核的Windows操作系统家族中，不同版本的Windows系统，存在不同数量的“SVCHOST”进程，用户使用“任务管理器”可查看其进程数目。一般来说，Win2000有两个SVCHOST进程，WinXP中则有四个或四个以上的SVCHOST进程(以后看到系统中有多个这种进程，千万别立即判定系统有病毒了哟)，而Win2003 server中则更多。这些SVCHOST进程提供很多系统服务，如：RpcSs服务(Remote Procedure Call)、dmserver服务(Logical Disk Manager)、Dhcp服务(DHCP Client)等。

　　如果要了解每个SVCHOST进程到底提供了多少系统服务，可以在Win2000的命令提示符窗口中输入“Tlist -S”命令来查看，该命令是Win2000 Support Tools提供的。在WinXP则使用“tasklist /svc”命令。

　　深入分析SVCHOST

　　Windows系统进程分为独立进程和共享进程两种，“SVCHOST.EXE”文件存在于“%SystemRoot%\system32\”目录下，它属于共享进程。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由SVCHOST.EXE进程来启动。但SVCHOST进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢？

　　原来这些系统服务是以动态链接库(DLL)形式实现的，它们把可执行程序指向SVCHOST，由SVCHOST调用相应服务的动态链接库来启动服务。那SVCHOST又怎么知道某个系统服务该调用哪个动态链接库呢？这是通过系统服务在注册表中设置的参数来实现。下面就以RpcSs(Remote Procedure Call)服务为例，进行讲解。实例：笔者以Windows XP为例，点击“开始”/“运行”，输入“services.msc”命令，弹出服务对话框，然后打开“Remote Procedure Call”属性对话框，可以看到RpcSs服务的可执行文件的路径为“C:\WINDOWS\system32\svchost -k rpcss”，这说明RpcSs服务是依靠SVCHOST调用“rpcss”参数来实现的，而参数的内容则是存放在系统注册表中的。

　　在运行对话框中输入“regedit.exe”后回车，打开注册表编辑器，找到[HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\RpcSs]项，找到类型为“REG_EXPAND_SZ”的键“magePath”，其键值为“%SystemRoot%\system32\svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令)，另外在“Parameters”子项中有个名为“ServiceDll”的键，其值为“%SystemRoot%\system32\rpcss.dll”，其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样SVCHOST进程通过读取“RpcSs”服务注册表信息，就能启动该服务了。