病毒殺除��！

偽裝svchost進(jìn)程病毒     利用假冒Svchost.exe名稱(chēng)的病毒程序這種方式運行的病毒并沒(méi)有直接利用真正的Svchost.exe進(jìn)程，而是啟動(dòng)了另外一個(gè)名稱(chēng)同樣是Svchost.exe的病毒進(jìn)程，由于這個(gè)假冒的病毒進(jìn)程并沒(méi)有加載系統服務(wù)，它和真正的Svchost.exe進(jìn)程是不同的，只需在命令行窗口中運行一下“Tasklist /svc”，如果看到哪個(gè)Svchost.exe進(jìn)程后面提示的服務(wù)信息是“暫缺”，而不是一個(gè)具體的服務(wù)名，那么它就是病毒進(jìn)程了，記下這個(gè)病毒進(jìn)程對應的PID數值(進(jìn)程標識符)，即可在任務(wù)管理器的進(jìn)程列表中找到它，結束進(jìn)程后，在C盤(pán)搜索Svchost.exe文件，也可以用第三方進(jìn)程工具直接查看該進(jìn)程的路徑，正常的Svchost.exe文件是位于%systemroot%\System32目錄中的，而假冒的Svchost.exe病毒或木馬文件則會(huì )在其他目錄，例如“w32.welchina.worm”病毒假冒的Svchost.exe就隱藏在Windows\System32\Wins目錄中，將其刪除，并徹底清除病毒的其他數據即可。
一些高級病毒則采用類(lèi)似系統服務(wù)啟動(dòng)的方式，通過(guò)真正的Svchost.exe進(jìn)程加載病毒程序，而Svchost.exe是通過(guò)注冊表數據來(lái)決定要裝載的服務(wù)列表的，所以病毒通常會(huì )在注冊表中采用以下方法進(jìn)行加載：添加一個(gè)新的服務(wù)組，在組里添加病毒服務(wù)名在現有的服務(wù)組里直接添加病毒服務(wù)名修改現有服務(wù)組里的現有服務(wù)屬性，修改其“ServiceDll”鍵值指向病毒程序判斷方法:病毒程序要通過(guò)真正的Svchost.exe進(jìn)程加載，就必須要修改相關(guān)的注冊表數據，可以打開(kāi)[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\
CurrentVersion\Svchost]，觀(guān)察有沒(méi)有增加新的服務(wù)組，同時(shí)要留意服務(wù)組中的服務(wù)列表，觀(guān)察有沒(méi)有可疑的服務(wù)名稱(chēng)，通常來(lái)說(shuō)，病毒不會(huì )在只有一個(gè)服務(wù)名稱(chēng)的組中添加，往往會(huì )選擇LocalService和netsvcs這兩個(gè)加載服務(wù)較多的組，以干擾分析，還有通過(guò)修改服務(wù)屬性指向病毒程序的，通過(guò)注冊表判斷起來(lái)都比較困難，這時(shí)可以利用前面介紹的服務(wù)管理專(zhuān)家，分別打開(kāi)LocalService和netsvcs分支，逐個(gè)檢查右邊服務(wù)列表中的服務(wù)屬性，尤其要注意服務(wù)描述信息全部為英文的，很可能是第三方安裝的服務(wù)，同時(shí)要結合它的文件描述、版本、公司等相關(guān)信息，進(jìn)行綜合判斷。例如這個(gè)名為PortLess BackDoor的木馬程序，在服務(wù)列表中可以看到它的服務(wù)描述為“Intranet Services”，而它的文件版本、公司、描述信息更全部為空，如果是微軟的系統服務(wù)程序是絕對不可能出現這種現象的。從啟動(dòng)信息“C:\WINDOWS\System32\svchost.exe -k netsvcs”中可以看出這是一款典型的利用Svchost.exe進(jìn)程加載運行的木馬，知道了其原理，清除方法也很簡(jiǎn)單了：先用服務(wù)管理專(zhuān)家停止該服務(wù)的運行，然后運行regedit.exe打開(kāi)“注冊表編輯器”，刪除[HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\IPRIP]主鍵，重新啟動(dòng)計算機，再刪除%systemroot%\System32目錄中的木馬源程序“svchostdll.dll”，通過(guò)按時(shí)間排序，又發(fā)現了時(shí)間完全相同的木馬安裝程序“PortlessInst.exe”，一并刪除即可。 svchost.exe是nt核心系統的非常重要的進(jìn)程，對于2000、xp來(lái)說(shuō)，不可或缺。很多病毒、木馬也會(huì )調用它。所以，深入了解這個(gè)程序，是玩電腦的必修課之一�！　〈蠹覍�windows操作系統一定不陌生，但你是否注意到系統中“svchost.exe”這個(gè)文件呢？細心的朋友會(huì )發(fā)現windows中存在多個(gè) “svchost”進(jìn)程（通過(guò)“ctrl+alt+del”鍵打開(kāi)任務(wù)管理器，這里的“進(jìn)程”標簽中就可看到了），為什么會(huì )這樣呢？下面就來(lái)揭開(kāi)它神秘的面紗。發(fā)現　　在基于nt內核的windows操作系統家族中，不同版本的windows系統，存在不同數量的“svchost”進(jìn)程，用戶(hù)使用“任務(wù)管理器”可查看其進(jìn)程數目。一般來(lái)說(shuō)，win2000有兩個(gè)svchost進(jìn)程，winxp中則有四個(gè)或四個(gè)以上的svchost進(jìn)程（以后看到系統中有多個(gè)這種進(jìn)程，千萬(wàn)別立即判定系統有病毒了喲），而win2003 server中則更多。這些svchost進(jìn)程提供很多系統服務(wù)，如：rpcss服務(wù)（remote procedure call）、dmserver服務(wù)（logical disk manager）、dhcp服務(wù)（dhcp client）等�！　∪绻�要了解每個(gè)svchost進(jìn)程到底提供了多少系統服務(wù)，可以在win2000的命令提示符窗口中輸入“tlist -s”命令來(lái)查看，該命令是win2000 support tools提供的。在winxp則使用“tasklist /svc”命令。 svchost中可以包含多個(gè)服務(wù)深入　　windows系統進(jìn)程分為獨立進(jìn)程和共享進(jìn)程兩種，“svchost.exe”文件存在于“%systemroot% system 32”目錄下，它屬于共享進(jìn)程。隨著(zhù)windows系統服務(wù)不斷增多，為了節省系統資源，微軟把很多服務(wù)做成共享方式，交由 svchost.exe進(jìn)程來(lái)啟動(dòng)。但svchost進(jìn)程只作為服務(wù)宿主，并不能實(shí)現任何服務(wù)功能，即它只能提供條件讓其他服務(wù)在這里被啟動(dòng)，而它自己卻不能給用戶(hù)提供任何服務(wù)。那這些服務(wù)是如何實(shí)現的呢？　　原來(lái)這些系統服務(wù)是以動(dòng)態(tài)鏈接庫（dll）形式實(shí)現的，它們把可執行程序指向 svchost，由svchost調用相應服務(wù)的動(dòng)態(tài)鏈接庫來(lái)啟動(dòng)服務(wù)。那svchost又怎么知道某個(gè)系統服務(wù)該調用哪個(gè)動(dòng)態(tài)鏈接庫呢？這是通過(guò)系統服務(wù)在注冊表中設置的參數來(lái)實(shí)現。下面就以rpcss（remote procedure call）服務(wù)為例，進(jìn)行講解�！　�從啟動(dòng)參數中可見(jiàn)服務(wù)是靠svchost來(lái)啟動(dòng)的。實(shí)例　　以windows xp為例，點(diǎn)擊“開(kāi)始”/“運行”，輸入“services.msc”命令，彈出服務(wù)對話(huà)框，然后打開(kāi)“remote procedure call”屬性對話(huà)框，可以看到rpcss服務(wù)的可執行文件的路徑為“c:\windows\system32\svchost -k rpcss”，這說(shuō)明rpcss服務(wù)是依靠svchost調用“rpcss”參數來(lái)實(shí)現的，而參數的內容則是存放在系統注冊表中的�！　≡谶\行對話(huà)框中輸入“regedit.exe”后回車(chē)，打開(kāi)注冊表編輯器，找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]項，找到類(lèi)型為“reg_expand_sz”的鍵“magepath”，其鍵值為“%systemroot%system32svchost -k rpcss”（這就是在服務(wù)窗口中看到的服務(wù)啟動(dòng)命令），另外在“parameters”子項中有個(gè)名為“servicedll”的鍵，其值為“% systemroot%system32rpcss.dll”，其中“rpcss.dll”就是rpcss服務(wù)要使用的動(dòng)態(tài)鏈接庫文件。這樣 svchost進(jìn)程通過(guò)讀取“rpcss”服務(wù)注冊表信息，就能啟動(dòng)該服務(wù)了。解惑　　因為svchost進(jìn)程啟動(dòng)各種服務(wù)，所以病毒、木馬也想盡辦法來(lái)利用它，企圖利用它的特性來(lái)迷惑用戶(hù)，達到感染、入侵、破壞的目的（如沖擊波變種病毒“w32.welchia.worm”）。但windows系統存在多個(gè)svchost進(jìn)程是很正常的，在受感染的機器中到底哪個(gè)是病毒進(jìn)程呢？這里僅舉一例來(lái)說(shuō)明�！　〖僭Owindows xp系統被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目錄下，如果發(fā)現該文件出現在其他目錄下就要小心了�！皐32.welchia.worm”病毒存在于“c:\windows\system32wins”目錄中，因此使用進(jìn)程管理器查看svchost進(jìn)程的執行文件路徑就很容易發(fā)現系統是否感染了病毒。windows系統自帶的任務(wù)管理器不能夠查看進(jìn)程的路徑，可以使用第三方進(jìn)程管理軟件，如“windows優(yōu)化大師”進(jìn)程管理器，通過(guò)這些工具就可很容易地查看到所有的svchost進(jìn)程的執行文件路徑，一旦發(fā)現其執行路徑為不平常的位置就應該馬上進(jìn)行檢測和處理�！　∮捎谄�幅的關(guān)系，不能對svchost全部功能進(jìn)行詳細介紹，這是一個(gè)windows中的一個(gè)特殊進(jìn)程，有興趣的可參考有關(guān)技術(shù)資料進(jìn)一步去了解它。大家都要知道Svchost.exe,是系統必不可少的一個(gè)進(jìn)程,很多服務(wù)都會(huì )多多少少用到它, 　　但是我想大家也知道,由于它本身特殊性,高明的"黑客們"肯定是不會(huì )放過(guò)的,前段時(shí)間的Svchost.exe木馬風(fēng)波,大家應該是記憶猶新吧,而且現在還是有很多機器里都藏有此木馬,因為它偽裝和系統進(jìn)程Svchost.exe一樣,所以很多人分不清,那個(gè)是進(jìn)程,那個(gè)是木馬.... 　　好的,還是讓我們詳盡了解一下Svchost.exe進(jìn)程吧　　1.多個(gè)服務(wù)共享一個(gè) Svchost.exe進(jìn)程利與弊 　　windows 系統服務(wù)分為獨立進(jìn)程和共享進(jìn)程兩種，在windows NT時(shí)只有服務(wù)器管理器SCM（Services.exe）有多個(gè)共享服務(wù)，隨著(zhù)系統內置服務(wù)的增加，在windows 2000中ms又把很多服務(wù)做成共享方式，由svchost.exe啟動(dòng)。windows 2000一般有2個(gè)svchost進(jìn)程，一個(gè)是RPCSS（Remote Procedure Call）服務(wù)進(jìn)程，另外一個(gè)則是由很多服務(wù)共享的一個(gè)svchost.exe。而在windows XP中，則一般有4個(gè)以上的svchost.exe服務(wù)進(jìn)程，windows 2003 server中則更多，可以看出把更多的系統內置服務(wù)以共享進(jìn)程方式由svchost啟動(dòng)是ms的一個(gè)趨勢。這樣做在一定程度上減少了系統資源的消耗，不過(guò)也帶來(lái)一定的不穩定因素，因為任何一個(gè)共享進(jìn)程的服務(wù)因為錯誤退出進(jìn)程就會(huì )導致整個(gè)進(jìn)程中的所有服務(wù)都退出。另外就是有一點(diǎn)安全隱患，首先要介紹一下svchost.exe的實(shí)現機制�！　　　�2. Svchost原理　　Svchost本身只是作為服務(wù)宿主，并不實(shí)現任何服務(wù)功能，需要Svchost啟動(dòng)的服務(wù)以動(dòng)態(tài)鏈接庫形式實(shí)現，在安裝這些服務(wù)時(shí)，把服務(wù)的可執行程序指向svchost，啟動(dòng)這些服務(wù)時(shí)由svchost調用相應服務(wù)的動(dòng)態(tài)鏈接庫來(lái)啟動(dòng)服務(wù)。

學(xué)習了！樓主太有耐心了，佩服！

謝謝提供，下載了。

謝謝提供，下載了。

謝謝提供，下載了。

謝謝提供，下載了。

謝謝提供，下載了。

謝謝提供，下載了。

謝謝提供，下載了。

謝謝提供，下載了。

謝謝提供，下載了。

謝謝提供，下載了。

謝謝提供，下載了。

謝謝提供，下載了。

謝謝提供，下載了。

謝謝提供，下載了。

謝謝提供，下載了。

謝謝提供，下載了。

謝謝提供，下載了。

謝謝提供，下載了。