Hva Er Running Inside Svchost?

November 9

Windows Vista, Windows XP og Windows 2000-operativsystemer har et program som heter Task Manager som gir detaljert informasjon om prosesser som kjører på en datamaskin. Når du klikker på "Prosesser" -kategorien i Oppgavebehandling, en av prosessene som du ser heter svchost.exe.

Generic Host Process

Svchost.exe-prosessen er hva Microsoft kaller "generisk vertsprosessnavnet" for Windows-tjenester - programmer som utfører spesifikke funksjoner uten brukermedvirkning - som er lastet inn i minnet som DLL-filer, eller dynamisk koblet biblioteker. DLL-filer er programkoder knyttet til et program når den er lastet eller løpe, snarere enn når den er kompilert, slik at kodene kan deles mellom programmer. Hver forekomst, eller forekomst, av svchost.exe er en prosess å administrere en eller flere Windows-tjenester. Ifølge Microsoft, gruppere tjenester sammen på denne måten gjør dem lettere å kontrollere og å feilsøke hvis det oppstår problemer.

Ser tjenester og prosesser

Du kan vise listen over Windows-tjenester kjører inne svchost ved å skrive kommandoen "tasklist / SVC" (uten anførselstegn) i Windows ledetekst. Utgangen fra denne kommandoen inneholder tall prosessen identifikator (PID) for hver prosess, slik at du kan få mer informasjon om en individuell prosess ved å skrive inn følgende i Windows ledetekst:

Tasklist / FI "PID eq processID"

Her er "processID" er PID tatt fra listen.

Windows Registry

Den svchost.exe programmet ligger i Windows System 32-katalogen, vanligvis ligger på C: \ Windows \ System. Hver gang du starter Windows, leser av svchost.exe Windows-registret - databasen der Windows lagrer konfigurasjonsinformasjon - og utarbeider en liste over tjenester som må lastes inn i minnet. I registeret, blir gruppene av tjenester som forvaltes av svchost.exe identifisert av en registernøkkel - for eksempel
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ Currentversion \ Svchost - som inneholder en egen verdi for hver gruppe av tjenester.

sikkerhetsrisiko

Legg merke til at selv om de fleste Windows-tjenester som forvaltes av svchost.exe er helt legitimt, er det mulig for en datamaskin å bli infisert med et virus, ormer eller trojanske som bruker svchost.exe å laste seg automatisk inn i minnet hver gang Windows starter. For eksempel, den såkalte Conficker-ormen, som ble offentliggjort på internett i 2008, installerer en DLL med et tilfeldig navn i Windows System 32-katalogen og utnytter svchost.exe å skape sikkerhetsproblemer på den infiserte datamaskinen.