SVCHOST.EXE这个可疑程序怎么办?
发布网友
发布时间:2022-04-21 22:15
共2个回答
热心网友
时间:2023-05-28 21:12
接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是
Svchost.exe的病毒进程,由于这个假冒的病毒进程并没有加载系统服
务,它和真正的Svchost.exe进程是不同的,只需在命令行窗口中运行
一下“Tasklist /svc”,如果看到哪个Svchost.exe进程后面提示的服
务信息是“暂缺”,而不是一个具体的服务名,那么它就是病毒进程了
,记下这个病毒进程对应的PID数值(进程标识符),即可在任务管理器
的进程列表中找到它,结束进程后,在C盘搜索Svchost.exe文件,也可
以用第三方进程工具直接查看该进程的路径,正常的Svchost.exe文件
是位于%systemroot%\System32目录中的,而假冒的Svchost.exe病毒或
木马文件则会在其他目录,例如“w32.welchina.worm”病毒假冒的
Svchost.exe就隐藏在Windows\System32\Wins目录中,将其删除,并彻
底清除病毒的其他数据即可。 2:一些高级病毒则采用类似系统服务启
动的方式,通过真正的Svchost.exe进程加载病毒程序,而Svchost.exe
是通过注册表数据来决定要装载的服务列表的,所以病毒通常会在注册
表中采用以下方法进行加载: 添加一个新的服务组,在组里添加病毒
服务名在现有的服务组里直接添加病毒服务名 修改现有服务组里的现
有服务属性,修改其“ServiceDll”键值指向病毒程序判断方法:病毒
程序要通过真正的Svchost.exe进程加载,就必须要修改相关的注册表
数据,可以打开
[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\
CurrentVersion\Svchost],观察有没有增加新的服务组,同时要留意
服务组中的服务列表,观察有没有可疑的服务名称,通常来说,病毒不
会在只有一个服务名称的组中添加,往往会选择LocalService和
netsvcs这两个加载服务较多的组,以干扰分析,还有通过修改服务属
性指向病毒程序的,通过注册表判断起来都比较困难,这时可以利用前
面介绍的服务管理专家,分别打开LocalService和netsvcs分支,逐个
检查右边服务列表中的服务属性,尤其要注意服务描述信息全部为英文
的,很可能是第三方安装的服务,同时要结合它的文件描述、版本、公
司等相关信息,进行综合判断。例如这个名为PortLess BackDoor的木
马程序,在服务列表中可以看到它的服务描述为“Intranet Services
”,而它的文件版本、公司、描述信息更全部为空,如果是微软的系统
服务程序是绝对不可能出现这种现象的。从启动信息
“C:\WINDOWS\System32\svchost.exe -k netsvcs”中可以看出这是一
款典型的利用Svchost.exe进程加载运行的木马,知道了其原理,清除
方法也很简单了:先用服务管理专家停止该服务的运行,然后运行
regedit.exe打开“注册表编辑器”,删除
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\IPRIP]主键,重新启动计算机,再删除%systemroot%
\System32目录中的木马源程序“svchostdll.dll”,通过按时间排序
,又发现了时间完全相同的木马安装程序“PortlessInst.exe”,一并
删除即可。 svchost.exe是nt核心系统的非常重要的进程,对于2000、
xp来说,不可或缺。很多病毒、木马也会调用它。所以,深入了解这个
程序,是玩电脑的必修课之一。 大家对windows操作系统一定不陌
生,但你是否注意到系统中“svchost.exe”这个文件呢?细心的朋友
会发现windows中存在多个 “svchost”进程(通过“ctrl+alt+del”
键打开任务管理器,这里的“进程”标签中就可看到了),为什么会这
样呢?下面就来揭开它神秘的面纱。发现 在基于nt内核的windows
操作系统家族中,不同版本的windows系统,存在不同数量的“svchost
”进程,用户使用“任务管理器”可查看其进程数目。一般来说,
win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进
程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟
),而win2003 server中则更多。这些svchost进程提供很多系统服务
,如:rpcss服务(remote procere call)、dmserver服务
(logical disk manager)、dhcp服务(dhcp client)等。 如果
要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命
令提示符窗口中输入“tlist -s”命令来查看,该命令是win2000
support tools提供的。在winxp则使用“tasklist /svc”命令。
svchost中可以包含多个服务深入 windows系统进程分为独立进程和
共享进程两种,“svchost.exe”文件存在于“%systemroot% system32
”目录下,它属于共享进程。随着windows系统服务不断增多,为了节
省系统资源,微软把很多服务做成共享方式,交由 svchost.exe进程来
启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即
它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供
任何服务。那这些服务是如何实现的呢? 原来这些系统服务是以动
态链接库(dll)形式实现的,它们把可执行程序指向 svchost,由
svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道
某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中
设置的参数来实现。下面就以rpcss(remote procere call)服务为
例,进行讲解。 从启动参数中可见服务是靠svchost来启动的。实
例 以windows xp为例,点击“开始”/“运行”,输入
“services.msc”命令,弹出服务对话框,然后打开“remote
procere call”属性对话框,可以看到rpcss服务的可执行文件的路
径为“c:\windows\system32\svchost -k rpcss”,这说明rpcss服务
是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在
系统注册表中的。 在运行对话框中输入“regedit.exe”后回车,
打开注册表编辑器,找到[hkey_local_machine
systemcurrentcontrolsetservicesrpcss]项,找到类型为
“reg_expand_sz”的键“magepath”,其键值为“%systemroot%
system32svchost -k rpcss”(这就是在服务窗口中看到的服务启动命
令),另外在“parameters”子项中有个名为“servicedll”的键,其
值为“% systemroot%system32rpcss.dll”,其中“rpcss.dll”就是
rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取
“rpcss”服务注册表信息,就能启动该服务了。解惑 因为svchost
进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它
的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒
“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正
常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明
。 假设windows xp系统被“w32.welchia.worm”感染了。正常的
svchost文件存在于“c:\windows\system32”目录下,如果发现该文件
出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于
“c:\windows\system32wins”目录中,因此使用进程管理器查看
svchost进程的执行文件路径就很容易发现系统是否感染了病毒。
windows系统自带的任务管理器不能够查看进程的路径,可以使用第三
方进程管理软件,如“windows优化大师”进程管理器,通过这些工具
就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其
执行路径为不平常的位置就应该马上进行检测和处理。 由于篇幅的
关系,不能对svchost全部功能进行详细介绍,这是一个windows中的一
个特殊进程,有兴趣的可参考有关技术资料进一步去了解它。大家都要
知道Svchost.exe,是系统必不可少的一个进程,很多服务都会多多少少
用到它, 但是我想大家也知道,由于它本身特殊性,高明的"黑客们"
肯定是不会放过的,前段时间的Svchost.exe木马风波,大家应该是记忆
犹新吧,而且现在还是有很多机器里都藏有此木马,因为它伪装和系统进
程Svchost.exe一样,所以很多人分不清,那个是进程,那个是木马....
好的,还是让我们详尽了解一下Svchost.exe进程吧 1.多个服务
共享一个 Svchost.exe进程利与弊 windows 系统服务分为独立进
程和共享进程两种,在windows NT时只有服务器管理器SCM
(Services.exe)有多个共享服务,随着系统内置服务的增加,在
windows 2000中ms又把很多服务做成共享方式,由svchost.exe启动。
windows 2000一般有2个svchost进程,一个是RPCSS(Remote
Procere Call)服务进程,另外一个则是由很多服务共享的一个
svchost.exe。而在windows XP中,则一般有4个以上的svchost.exe服
务进程,windows 2003 server中则更多,可以看出把更多的系统内置
服务以共享进程方式由svchost启动是ms的一个趋势。这样做在一定程
度上减少了系统资源的消耗,不过也带来一定的不稳定因素,因为任何
一个共享进程的服务因为错误退出进程就会导致整个进程中的所有服务
都退出。另外就是有一点安全隐患,首先要介绍一下svchost.exe的实
现机制。 2. Svchost原理 Svchost本身只是作为服务宿主
,并不实现任何服务功能,需要Svchost启动的服务以动态链接库形式
实现,在安装这些服务时,把服务的可执行程序指向svchost,启动这
些服务时由svchost调用相应服务的动态链接库来启动服务。
那么svchost如何知道某一服务是由哪个动态链接库负责呢?这不是由
服务的可执行程序路径中的参数部分提供的,而是服务在注册表中的参
数设置的,注册表中服务下边有一个Parameters子键其中的ServiceDll
表明该服务由哪个动态链接库负责。并且所有这些服务动态链接库都必
须要导出一个ServiceMain()函数,用来处理服务任务。 例如
rpcss(Remote Procere Call)在注册表中的位置是
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs,它的参
数子键Parameters里有这样一项:
"ServiceDll"=REG_EXPAND_SZ:"%SystemRoot%system32 pcss.dll"
当启动rpcss服务时,svchost就会调用rpcss.dll,并且执行其
ServiceMain()函数执行具体服务。 既然这些服务是使用共享
进程方式由svchost启动的,为什么系统中会有多个svchost进程呢?ms
把这些服务分为几组,同组服务共享一个svchost进程,不同组服务使
用多个svchost进程,组的区别是由服务的可执行程序后边的参数决定
的。 例如rpcss在注册表中
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs 有这样
一项: "ImagePath"=REG_EXPAND_SZ:"%SystemRoot%
system32svchost -k rpcss" 因此rpcss就属于rpcss组,这在服务
管理控制台也可以看到。 svchost的所有组和组内的所有服务
都在注册表的如下位置:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionSvchost,例如windows 2000共有4组rpcss、netsvcs
、wugroup、BITSgroup,其中最多的就是
netsvcs=REG_MULTI_SZ:EventSystem.Ias.Iprip.Irmon.Netman.
Nwsapagent.Rasauto.Rasman.Remoteaccess.SENS.
Sharedaccess.Tapisrv.Ntmssvc.wzcsvc..
在启动一个svchost.exe负责的服务时,服务管理器如果遇到可执行程
序内容ImagePath已经存在于服务管理器的映象库中,就不在启动第2个
进程svchost,而是直接启动服务。这样就实现了多个服务共享一个
svchost进程。 3. Svchost代码 现在我们基本清楚svchost
的原理了,但是要自己写一个DLL形式的服务,由svchost来启动,仅有
上边的信息还有些问题不是很清楚。比如我们在导出的ServiceMain()
函数中接收的参数是ANSI还是Unicode?我们是否需要调用
RegisterServiceCtrlHandler和StartServiceCtrlDispatcher来注册服
务控制及调度函数? 这些问题要通过查看svchost代码获得。
下边的代码是windows 2000+ service pack 4 的svchost反汇编片段,
可以看出svchost程序还是很简单的。 主函数首先调用
ProcCommandLine()对命令行进行分析,获得要启动的服务组,然后调
用SvcHostOptions()查询该服务组的选项和服务组的所有服务,并使用
一个数据结构 svcTable 来保存这些服务及其服务的DLL,然后调用
PrepareSvcTable() 函数创建 SERVICE_TABLE_ENTRY 结构,把所有处
理函数SERVICE_MAIN_FUNCTION 指向自己的一个函数FuncServiceMain
(),最后调用API StartServiceCtrlDispatcher() 注册这些服务的调
度函数。 ; =============================== Main
Funcion =======================================
.text:010010B8 public start .text:010010B8 start proc near
.text:010010B8 push esi .text:010010B9 push edi
.text:010010BA push offset sub_1001EBA ;
lpTopLevelExceptionFilter .text:010010BF xor edi, edi
.text:010010C1 call ds:SetUnhandledExceptionFilter
.text:010010C7 push 1 ; uMode .text:010010C9 call
ds:SetErrorMode .text:010010CF call ds:GetProcessHeap
.text:010010D5 push eax .text:010010D6 call sub_1001142
.text:010010DB mov eax, offset dword_1003018
.text:010010E0 push offset unk_1003000 ; lpCriticalSection
.text:010010E5 mov dword_100301C, eax .text:010010EA
mov dword_1003018, eax .text:010010EF call
ds:InitializeCriticalSection .text:010010F5 call
ds:GetCommandLineW .text:010010FB push eax ; lpString
.text:010010FC call ProcCommandLine .text:01001101 mov
esi, eax .text:01001103 test esi, esi .text:01001105
jz short lab_doservice .text:01001107 push esi
.text:01001108 call SvcHostOptions .text:0100110D call
PrepareSvcTable .text:01001112 mov edi, eax ;
SERVICE_TABLE_ENTRY returned .text:01001114 test edi, edi
.text:01001116 jz short loc_1001128 .text:01001118 mov
eax, [esi+10h] .text:0100111B test eax, eax
.text:0100111D jz short loc_1001128 .text:0100111F push
dword ptr [esi+14h] ; dwCapabilities .text:01001122 push
eax ; int .text:01001123 call InitializeSecurity
.text:01001128 .text:01001128 loc_1001128: ; CODE XREF:
start+5Ej .text:01001128 ; start+65j .text:01001128
push esi ; lpMem .text:01001129 call HeapFreeMem
.text:0100112E .text:0100112E lab_doservice: ; CODE
XREF: start+4Dj .text:0100112E test edi, edi
.text:01001130 jz ExitProgram .text:01001136 push edi ;
lpServiceStartTable .text:01001137 call
ds:StartServiceCtrlDispatcherW .text:0100113D jmp
ExitProgram .text:0100113D start endp ;
=============================== Main Funcion end
=========================================== 由于
svchost为该组的所有服务都注册了svchost中的一个处理函数,因此每
次启动任何一个服务时,服务管理器SCM都会调用FuncServiceMain()
这个函数。这个函数使用 svcTable 查询要启动的服务使用的DLL,调
用DLL导出的ServiceMain()函数来启动服务,然后返回。 ;
============================== FuncServiceMain()
===========================================
.text:01001504 FuncServiceMain proc near ; DATA XREF:
PrepareSvcTable+44o .text:01001504 .text:01001504
arg_0 = dword ptr 8 .text:01001504 arg_4 = dword ptr 0Ch
.text:01001504 .text:01001504 push ecx
.text:01001505 mov eax, [esp+arg_4] .text:01001509 push
ebx .text:0100150A push ebp .text:0100150B push esi
.text:0100150C mov ebx, offset unk_1003000
.text:01001511 push edi .text:01001512 mov edi, [eax]
.text:01001514 push ebx .text:01001515 xor ebp, ebp
.text:01001517 call ds:EnterCriticalSection .text:0100151D
xor esi, esi .text:0100151F cmp dwGroupSize, esi
.text:01001525 jbe short loc_1001566 .text:01001527 and
[esp+10h], esi .text:0100152B .text:0100152B
loc_100152B: ; CODE XREF: FuncServiceMain+4Aj
.text:0100152B mov eax, svcTable .text:01001530 mov ecx,
[esp+10h] .text:01001534 push dword ptr [eax+ecx]
.text:01001537 push edi .text:01001538 call ds:lstrcmpiW
.text:0100153E test eax, eax .text:01001540 jz short
StartThis .text:01001542 add dword ptr [esp+10h], 0Ch
.text:01001547 inc esi .text:01001548 cmp esi, dwGroupSize
.text:0100154E jb short loc_100152B .text:01001550 jmp
short loc_1001566 .text:01001552 ;
=================================================
.text:01001552 .text:01001552 StartThis: ; CODE XREF:
FuncServiceMain+3Cj .text:01001552 mov ecx, svcTable
.text:01001558 lea eax, [esi+esi*2] .text:0100155B lea
eax, [ecx+eax*4] .text:0100155E push eax
.text:0100155F call GetDLLServiceMain .text:01001564 mov
ebp, eax ; dll ServiceMain Function address .text:01001566
.text:01001566 loc_1001566: ; CODE XREF:
FuncServiceMain+21j .text:01001566 ; FuncServiceMain+4Cj
.text:01001566 push ebx .text:01001567 call
ds:LeaveCriticalSection .text:0100156D test ebp, ebp
.text:0100156F jz short loc_100157B .text:01001571 push
[esp+10h+arg_4] .text:01001575 push [esp+14h+arg_0]
.text:01001579 call ebp .text:0100157B
.text:0100157B loc_100157B: ; CODE XREF: FuncServiceMain+6Bj
.text:0100157B pop edi .text:0100157C pop esi
.text:0100157D pop ebp .text:0100157E pop ebx
.text:0100157F pop ecx .text:01001580 retn 8
.text:01001580 FuncServiceMain endp ; sp = -8 ;
============================== FuncServiceMain() end
======================================== 由于svchost已
经调用了StartServiceCtrlDispatcher来服务调度函数,因此我们在实
现DLL实现时就不用了,这主要是因为一个进程只能调用一次
StartServiceCtrlDispatcher API。但是需要用
RegisterServiceCtrlHandler 来注册响应控制请求的函数。最后我们
的DLL接收的都是unicode字符串。 由于这种服务启动后由
svchost加载,不增加新的进程,只是svchost的一个DLL,而且一般进
行审计时都不会去HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionSvchost 检查服务组是否变化,就算去检查,也不一
定能发现异常,因此如果添加一个这样的DLL后门,伪装的好,是比较
隐蔽的。 4. 安装服务与设置 要通过svchost调用来启动的
服务,就一定要在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionSvchost下有该服务名,这可以通过如下方式来实现
: 1) 添加一个新的服务组,在组里添加服务名 2) 在现有组
里添加服务名 3) 直接使用现有服务组里的一个服务名,但本机没
有安装的服务 4) 修改现有服务组里的现有服务,把它的
ServiceDll指向自己 其中前两种可以被正常服务使用,如使用
第1种方式,启动其服务要创建新的svchost进程;第2种方式如果该组
服务已经运行,安装后不能立刻启动服务,因为svchost启动后已经把
该组信息保存在内存里,并调用API StartServiceCtrlDispatcher()
为该组所有服务注册了调度处理函数,新增加的服务不能再注册调度处
理函数,需要重起计算机或者该组的svchost进程。而后两种可能被后
门使用,尤其是最后一种,没有添加服务,只是改了注册表里一项设置
,从服务管理控制台又看不出来,如果作为后门还是很隐蔽的。比如
EventSystem服务,缺省是指向es.dll,如果把ServiceDll改为
EventSystem.dll就很难发现。 因此服务的安装除了调用
CreateService()创建服务之外,还需要设置服务的ServiceDll,如果
使用前2种还要设置svchost的注册表选项,在卸载时也最好删除增加的
部分。 注: ImagePath 和ServiceDll 是ExpandString不是普
通字符串。因此如果使用.reg文件安装时要注意。 5. DLL服务
实现 DLL程序的编写比较简单,只要实现一个ServiceMain()函数和
一个服务控制程序,在ServiceMain()函数里用
RegisterServiceCtrlHandler()注册服务控制程序,并设置服务的运行
状态就可以了。 另外,因为此种服务的安装除了正常的
CreateService()之外,还要进行其他设置,因此最好实现安装和卸载
函数。 为了方便安装,实现的代码提供了InstallService()
函数进行安装,这个函数可以接收服务名作为参数(如果不提供参数,
就使用缺省的iprip),如果要安装的服务不在svchost的netsvcs组里
安装就会失败;如果要安装的服务已经存在,安装也会失败;安装成功
后程序会配置服务的ServiceDll为当前Dll。提供的UninstallService
()函数,可以删除任何函数而没有进行任何检查。 为了方便使
用rundll32.exe进行安装,还提供了RundllInstallA()和
RundllUninstallA()分别调用InstallService()及UninstallService()
。因为rundll32.exe使用的函数原型是: void CALLBACK
FunctionName( HWND hwnd, // handle to owner window
HINSTANCE hinst, // instance handle for the DLL LPTSTR
lpCmdLine, // string the DLL will parse int nCmdShow //
show state ); 对应的命令行是rundll32
DllName,FunctionName [Arguments] DLL服务本身只是创建一
个进程,该程序命令行就是启动服务时提供的第一个参数,如果未指定
就使用缺省的svchostdll.exe。启动服务时如果提供第二个参数,创建
的进程就是和桌面交互的。干掉Svchost.exe进程! 1.错误的解决
方法描述 当我们按下Alt+Ctrl+Del打开任务管理器,发现进程中
出现多个Svchost.exe,则表明系统中毒,我们首先将所有的Svchost结
束掉,然后使用相关的杀毒工具查杀病毒。 注: 2003年的
夏天,“冲击波”病毒横行的时候有一种说法就是Svchost.exe都是病毒
,一看到就要删除。这种说法让电脑用户人心惶惶,因为每个使用
Windows XP系统的用户在按照文章中介绍的检查有无Svchost.exe的方
法都可以找到几个Svchost.exe进程。 有关Svchost.exe详见:
http://forum.ikaka.com/topic.asp?board=3&artid=6087605
2.方案由来及后果 在很多人的印象中,每个应用程序一般
只对应一个进程,如QQ对应QQ.EXE进程、记事本对应notepad.exe进程
等。所以当看到系统有多个同样名字的进程时,总是会将其联想为病毒
或者木马程序在作怪。如果不加思索,野蛮的将其中的某些
Svchost.exe进程结束掉,会让系统的运行变得不稳定。 3.正
确的解决办法 Windows 进程分为独立进程和共享进程两种,
Svchost.exe属于后者。Windows XP为了节约系统资源,将很多个系统
服务做为共享方式由Svchost.exe来启动。Svchost本身只是作为服务宿
主,并不能实现任何服务功能, svchost通过调用相应服务的动态链接
库(DLL)来启动该服务,而Windows将这些服务分为几个组,同组的服
务共享一个Svchost进程,不同的组所指向的Svchost不同。通常情况下
,Windows XP有4个由Svchost启动的服务组,也就是说Windows XP系统
一般有4个Svchost.exe进程。当然某些应用程序或服务也有可能会调用
Svchost,所以当你看到系统中有多余4个的 Svchost.exe进程,也不要
盲目判断系统中了病毒。实际上Svchost.exe进程的个数跟是否中毒无
直接关系。 小提示: ★ 笔者做了下面一个非常有趣的测
试:打开任务管理器,切换到“进程”选项卡,首先手动结束掉由上到
下的第三个Svchost.exe进程,结束完后系统
热心网友
时间:2023-05-28 21:12
