前言: 進(jìn)程文件: svchost or svchost.exe 【不區(qū)分大小寫】
進(jìn)程名稱: Generic Service Host Process for Win32 Services
進(jìn)程類別:系統(tǒng)進(jìn)程
位置:C:\windows\system32\svchost.exe
中文參考:svchost.exe是一個屬于微軟Windows操作系統(tǒng)的系統(tǒng)程序,微軟官方對它的解釋是:Svchost.exe 是從動態(tài)鏈接庫 (DLL) 中運行的服務(wù)的通用主機(jī)進(jìn)程名稱。這個程序?qū)δ阆到y(tǒng)的正常運行是非常重要,而且是不能被結(jié)束的。隨著Windows系統(tǒng)服務(wù)不斷增多,為了節(jié)省系統(tǒng)資源,微軟把很多服務(wù)做成共享方式,交由svchost.exe進(jìn)程來啟動。而系統(tǒng)服務(wù)是以動態(tài)鏈接庫(DLL)形式實現(xiàn)的,它們把可執(zhí)行程序指向scvhost,由cvhost調(diào)用相應(yīng)服務(wù)的動態(tài)鏈接庫來啟動服務(wù)。一般來說,win2000有兩個svchost進(jìn)程,winxp中則有四個或四個以上的svchost進(jìn)程。VISTA系統(tǒng)和WIN7系統(tǒng)svchost服務(wù)進(jìn)程會更多。所以看到多個svchost服務(wù)存在并不代表就一定存在病毒木馬。
因為svchost進(jìn)程啟動各種服務(wù),所以病毒、木馬也想盡辦法來利用它,企圖利用它的特性來迷惑用戶,達(dá)到感染、入侵、破壞的目的。新增svchost服務(wù)、替換svchost服務(wù)是當(dāng)前病毒木馬最常用的手法。所以看到svchost少也并不代表就一定正常。
windows系統(tǒng)存在多個svchost進(jìn)程,在受感染的機(jī)器中到底哪個是病毒進(jìn)程呢?下面的分析幫您來解決這個問題。
------------------------- 傳說中的萬能分割線 -------------------------
使用工具:Sreng , TinyRAT ,冰刃
下載地址:http://www.kztechs.com/sreng/download.html病毒文件:這里使用了TinyRAT 遠(yuǎn)程控制來替換掉BITS服務(wù)。替換動態(tài)鏈接庫DLL文件為
SysAdsnwt.dll ,文件路徑C:\windows\system32\SysAdsnwt.dll
BITS服務(wù)名稱: BITS
BITS服務(wù)顯示名稱:Background Intelligent Transfer Service
BITS服務(wù)描述:在后臺傳輸客戶端和服務(wù)器之間的數(shù)據(jù)。如果禁用了 BITS,一些功能如 Windows Update,就無法正常運行。
------------------------- 傳說中的萬能分割線 -------------------------
服務(wù)替換操作: 運行TinyRAT ,進(jìn)行服務(wù)替換操作。如下圖所示,BITS啟動類型已從手動被修改成了自動,并且由停止服務(wù)變成了運行。進(jìn)程列表svchost.exe進(jìn)程也由5個增加到了6個。你能分別出那個是異常的么?
------------------------- 傳說中的萬能分割線 -------------------------
服務(wù)分析過程:打開冰刃,點擊【進(jìn)程】,記錄每一個svchost.exe對應(yīng)的進(jìn)程PID號備用。這里分別是844,924,980,1036,1112,1256 以作備用。
點擊【服務(wù)】,記錄每一個進(jìn)程ID對應(yīng)的服務(wù)名和服務(wù)模塊路徑。
------------------------- 傳說中的萬能分割線 -------------------------
搜索引擎的利用:通過上面記錄的服務(wù)名和服務(wù)模塊路徑,在搜索引擎上找相關(guān)的信息,如果可以找到相關(guān)的正確信息,那PID所對應(yīng)的svchost.exe服務(wù)就是正常的。如果未找到相關(guān)信息,或是病毒木馬相關(guān)信息,記錄下服務(wù)名和服務(wù)模塊路徑做清理時備用。
拿BITS服務(wù)和模塊路徑C:\windows\system32\SysAdsnwt.dll來說,打開百度,搜索:BITS SysAdsnwt.dll 得到如下信息,可以確定是病毒利用了。還可以搜索到BITS非系統(tǒng)必要服務(wù)進(jìn)程。
------------------------- 傳說中的萬能分割線 -------------------------
服務(wù)清理過程:打開sreng 點【啟動項目】-點【服務(wù)】-點【win32應(yīng)用服務(wù)程序】
根據(jù)上面記錄的C:\windows\system32\SysAdsnwt.dll對應(yīng)的服務(wù)是異常的。從【服務(wù)動態(tài)鏈接庫】列表中尋找到對應(yīng)的記錄,找到后選中記錄,選中右下角的【刪除服務(wù)】,點【設(shè)置】按鈕
在彈出的確認(rèn)窗口點擊【否】按鈕確認(rèn)進(jìn)行刪除,然后重啟機(jī)子。手工刪除C:\windows\system32\SysAdsnwt.dll即可。
------------------------- 傳說中的萬能分割線 -------------------------
后記:由于手工操作需要對系統(tǒng)文件了解有一定的要求,因此該文所涉及內(nèi)容,對系統(tǒng)文件一無了解的朋友慎用。粗略的介紹了win32服務(wù)應(yīng)用程序的識別、清理過程,由于書寫匆忙,不免存在不當(dāng)?shù)牡胤剑缒l(fā)現(xiàn)還請批評指正。