国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

　　　　

前言：

　　進(jìn)程文件： svchost or svchost.exe 【不區(qū)分大小寫】

　　進(jìn)程名稱： Generic Service Host Process for Win32 Services

　　進(jìn)程類別：系統(tǒng)進(jìn)程

　　位置：C:\windows\system32\svchost.exe

　　中文參考：svchost.exe是一個屬于微軟Windows操作系統(tǒng)的系統(tǒng)程序，微軟官方對它的解釋是：Svchost.exe 是從動態(tài)鏈接庫 (DLL) 中運行的服務(wù)的通用主機(jī)進(jìn)程名稱。這個程序?qū)δ阆到y(tǒng)的正常運行是非常重要,而且是不能被結(jié)束的。隨著Windows系統(tǒng)服務(wù)不斷增多，為了節(jié)省系統(tǒng)資源，微軟把很多服務(wù)做成共享方式，交由svchost.exe進(jìn)程來啟動。而系統(tǒng)服務(wù)是以動態(tài)鏈接庫(DLL)形式實現(xiàn)的，它們把可執(zhí)行程序指向scvhost，由cvhost調(diào)用相應(yīng)服務(wù)的動態(tài)鏈接庫來啟動服務(wù)。一般來說，win2000有兩個svchost進(jìn)程，winxp中則有四個或四個以上的svchost進(jìn)程。VISTA系統(tǒng)和WIN7系統(tǒng)svchost服務(wù)進(jìn)程會更多。所以看到多個svchost服務(wù)存在并不代表就一定存在病毒木馬。

　　因為svchost進(jìn)程啟動各種服務(wù)，所以病毒、木馬也想盡辦法來利用它，企圖利用它的特性來迷惑用戶，達(dá)到感染、入侵、破壞的目的。新增svchost服務(wù)、替換svchost服務(wù)是當(dāng)前病毒木馬最常用的手法。所以看到svchost少也并不代表就一定正常。

　　windows系統(tǒng)存在多個svchost進(jìn)程，在受感染的機(jī)器中到底哪個是病毒進(jìn)程呢？下面的分析幫您來解決這個問題。
------------------------- 傳說中的萬能分割線 -------------------------
使用工具：Sreng , TinyRAT ,冰刃

下載地址：http://www.kztechs.com/sreng/download.html

病毒文件：

這里使用了TinyRAT 遠(yuǎn)程控制來替換掉BITS服務(wù)。替換動態(tài)鏈接庫DLL文件為SysAdsnwt.dll ,文件路徑C:\windows\system32\SysAdsnwt.dll

BITS服務(wù)名稱： BITS

BITS服務(wù)顯示名稱：Background Intelligent Transfer Service

BITS服務(wù)描述：在后臺傳輸客戶端和服務(wù)器之間的數(shù)據(jù)。如果禁用了 BITS，一些功能如 Windows Update，就無法正常運行。

　　　　

------------------------- 傳說中的萬能分割線 -------------------------
服務(wù)替換操作： 運行TinyRAT ，進(jìn)行服務(wù)替換操作。如下圖所示，BITS啟動類型已從手動被修改成了自動，并且由停止服務(wù)變成了運行。進(jìn)程列表svchost.exe進(jìn)程也由5個增加到了6個。你能分別出那個是異常的么？

　　　　

　　　　

------------------------- 傳說中的萬能分割線 -------------------------
服務(wù)分析過程：

打開冰刃，點擊【進(jìn)程】，記錄每一個svchost.exe對應(yīng)的進(jìn)程PID號備用。這里分別是844，924，980，1036，1112，1256 以作備用。


點擊【服務(wù)】，記錄每一個進(jìn)程ID對應(yīng)的服務(wù)名和服務(wù)模塊路徑。





------------------------- 傳說中的萬能分割線 -------------------------
搜索引擎的利用：

通過上面記錄的服務(wù)名和服務(wù)模塊路徑，在搜索引擎上找相關(guān)的信息，如果可以找到相關(guān)的正確信息，那PID所對應(yīng)的svchost.exe服務(wù)就是正常的。如果未找到相關(guān)信息，或是病毒木馬相關(guān)信息，記錄下服務(wù)名和服務(wù)模塊路徑做清理時備用。

拿BITS服務(wù)和模塊路徑C:\windows\system32\SysAdsnwt.dll來說，打開百度，搜索：BITS SysAdsnwt.dll 得到如下信息，可以確定是病毒利用了。還可以搜索到BITS非系統(tǒng)必要服務(wù)進(jìn)程。



------------------------- 傳說中的萬能分割線 -------------------------

服務(wù)清理過程：

打開sreng 點【啟動項目】－點【服務(wù)】－點【win32應(yīng)用服務(wù)程序】





根據(jù)上面記錄的C:\windows\system32\SysAdsnwt.dll對應(yīng)的服務(wù)是異常的。從【服務(wù)動態(tài)鏈接庫】列表中尋找到對應(yīng)的記錄，找到后選中記錄，選中右下角的【刪除服務(wù)】，點【設(shè)置】按鈕



在彈出的確認(rèn)窗口點擊【否】按鈕確認(rèn)進(jìn)行刪除，然后重啟機(jī)子。手工刪除C:\windows\system32\SysAdsnwt.dll即可。




------------------------- 傳說中的萬能分割線 -------------------------

后記：由于手工操作需要對系統(tǒng)文件了解有一定的要求，因此該文所涉及內(nèi)容，對系統(tǒng)文件一無了解的朋友慎用。粗略的介紹了win32服務(wù)應(yīng)用程序的識別、清理過程，由于書寫匆忙，不免存在不當(dāng)?shù)牡胤剑缒l(fā)現(xiàn)還請批評指正。