8 มิถุนายน 2552

svchost.exe คืออะไร

svchost.exe


“svchost.exe” หรือชื่อเต็มๆของมันคือ “Generic Host Process for Win32 Services” ซึ่งเป็นส่วนของ System process อีกตัวหนึ่ง ในระบบปฏิบัติการ Windows เมื่อมันถูกสั่งให้รันหรือทำงานโดย Windows ผู้ใช้งานไม่สามารถทำการหยุด, terminate,end process หรือ re-start ได้ แต่ถ้าเราเผลอไป end proces มันแล้วหล่ะก็ จะทำให้เครื่องของเราทำงานผิดพลาดได้ โดยเฉพาะในเรื่องของ Network แล้วหน้าที่ของมันหล่ะ เอาไว้ทำอะไร



หน้าที่ของ svchost.exe

“svchost.exe” เมื่อมันถูกสั่งรันหรือให้ทำงาน มันจะทำหน้าที่ ก็คือ

จัดการ หรือโหลดพวกไฟล์ 32bit-DLLs(dynamic-link libraries) ที่จำเป็นสำหรับ Windows และ Services อื่นๆ ซึ่งมีอยู่หลาย instance หลายกลุ่ม ตามแต่ command line parameter นั้นๆ อันได้แก่ background process ทั้งหลายที่ถูกรันอยู่หลังบ้าน เมื่อ Windows ทำงานแล้วนั่นเอง ซึ่งได้แก่

* กลุ่มที่ 1 DCOM Server Process Launcher และ Terminal Services
* กลุ่มที่ 2 Remote Procedure Call(RPC)
* กลุ่มที่ 3 Windows Audio, Background Intelligent Transfer Service, Computer Browser, Cryptographic Services, DHCP Client, Logical Disk Manager, Error Reporting Service, COM+ Event System, Server, Workstation, Network Connections, network Location Awareness, Remote Access Connection Manager, Telephony, Themes, Windows Time ฯลฯ
* กลุ่มที่ 4 DNS Client
* กลุ่มที่ 5 TCP/IP NetBIOS Helper, Remote Registry, SSDP Discovery Service และ WebClient

โดย DLLs แต่ละตัวที่ใช้เรียกนั้นจะอยู่ที่ “%windir%\System32″ หรือทั่วๆไป ก็คือ “C:\Windows\System32″ ทั้งนี้ถ้าต้องการดูรายละเอียดของชื่อ process และ DLLs ที่ถูกเรียกโหลดขึ้นมาใช้งาน ดังที่กล่าวไปแล้วนี้ สามารถใช้โปรแกรม Process Explorer เรียกและตรวจสอบดูได้ครับ



ตำแหน่งที่อยู่ของ svchost.exe

โดย ทั่วไปแล้ว เจ้า “svchost.exe” จะอยู่ที่ “%windir%\System32″ หรือทั่วๆไป ก็คือ “C:\Windows\System32″ เช่นเดียวกับไฟล์ DLLs ที่ถูกเรียกโหลดขึ้นมาใช้งานนั่นแหล่ะครับ ถ้าอยู่ในตำแหน่งที่อยู่ที่นอกเหนือจากนี้ ให้สันนิฐานไว้เลยว่ามันคือ ไวรัส, สปายแวร์, โทรจัน หรือเวิร์มนั่นเองครับ ซึ่งสามารถใช้โปรแกรม Security Task Manager (ฟรี) ตรวจสอบได้ หรือจะใช้ช้โปรแกรม Process Explorer เรียกและตรวจสอบก็ได้เช่นเดียวกัน ซึ่งจะทำให้เรารู้ที่มาของไฟล์และ Process ที่รันอยู่ ทำให้เราสามารถกำจัดต้นตอมันได้นั่นเองครับ

ซึ่งไวรัสที่มีชื่อคล้ายๆกับ เจ้า “svchost.exe” ขอยกตัวอย่าง เช่น

* Symantec Security Response - W32.Welchia.Worm
* Symantec Security Response - W32.Assarm@mm
* McAfee - W32/Jeefo

* หรือ ไฟล์เหล่านี้ ที่พยามยามสร้างให้เหมือนเจ้า “svchost.exe” ได้แก่ SCVHOST.exe คือ Gaobot viruses
* Svch0st.exe คือ Backdoor.Graybird viruses
* Svchos1.exe คือ W32.HLLW.Gaobot.DK virus
* Svchost32.exe คือ Backdoor.IRC.Zcrew, W32.HLLW.Deborms.C, W32.Mimail.J@mm, or the W32.Paylap.@mm
* Svhost.exe คือ Backdoor.Socksbot, Bat.Boohoo.Worm, W32.Bolgi.Worm
















...

ไม่มีความคิดเห็น:

แสดงความคิดเห็น