关于Windows的SVCHOST.exe进程
2010-11-26 10:51
375 查看
winxp正常情况下有几个svchost.exe运行?
Windows 2000有两个Svchost进程,而Windows XP则有四个或四个以上的Svchost进程。
在注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current- Version\Svchost]分支中,存放着Svchost启动的组和组内的各项服务,很多木马和病毒正是利用这一点来实现自动加载的。它们通常的方法有:
· 添加一个新的组,在组里添加服务名;
· 在现有的组里添加服务名或者利用现有组一个未安装的服务;
· 修改现有组里的服务,将它的ServiceDll指向自己的DLL文件。
Rundll/Rundll32是Windows自带的动态链接库工具,可以用来在命令行下执行动态链接库中的某个函数,其中Rundll是16位而Rundll32是32位的(分别调用16位和32位的DLL文件),Rundll32的使用方法如下:Rundll32 DllFileName FuncName
例如我们编写了一个MyDll.dll,这个动态链接库中定义了一个MyFunc的函数,那么,我们通过Rundll32.exe MyDll.dll MyFunc就可以执行MyFunc函数的功能。
这个和木马的进程隐藏有什么关系么?当然有了,假设我们在MyFunc函数中实现了木马的功能,那么我们不就可以通过Rundll32来运行这个木马了么?在系统管理员看来,进程列表中增加的是Rundll32.exe而并不是木马文件,这样也算是木马的一种简易欺骗和自我保护方法
Windows 2000有两个Svchost进程,而Windows XP则有四个或四个以上的Svchost进程。
在注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current- Version\Svchost]分支中,存放着Svchost启动的组和组内的各项服务,很多木马和病毒正是利用这一点来实现自动加载的。它们通常的方法有:
· 添加一个新的组,在组里添加服务名;
· 在现有的组里添加服务名或者利用现有组一个未安装的服务;
· 修改现有组里的服务,将它的ServiceDll指向自己的DLL文件。
Rundll/Rundll32是Windows自带的动态链接库工具,可以用来在命令行下执行动态链接库中的某个函数,其中Rundll是16位而Rundll32是32位的(分别调用16位和32位的DLL文件),Rundll32的使用方法如下:Rundll32 DllFileName FuncName
例如我们编写了一个MyDll.dll,这个动态链接库中定义了一个MyFunc的函数,那么,我们通过Rundll32.exe MyDll.dll MyFunc就可以执行MyFunc函数的功能。
这个和木马的进程隐藏有什么关系么?当然有了,假设我们在MyFunc函数中实现了木马的功能,那么我们不就可以通过Rundll32来运行这个木马了么?在系统管理员看来,进程列表中增加的是Rundll32.exe而并不是木马文件,这样也算是木马的一种简易欺骗和自我保护方法
相关文章推荐
- 关于使用WindowsUpdate 或 Windows 自动升级时碰到的 svchost.exe 进程 CPU 资源占用过高的问题的相关信息
- 注明此贴为转贴:windows 的两大进程Svchost.exe和Explorer.exe
- 关于windows上的lsass.exe进程
- windows开机后svchost.exe进程占用很大内存,卡机
- Windows中两个重要进程Exploer.exe和Svchost.exe的用途
- 关于svchost.exe进程占用100%CPU使用率
- Windows 系统的进程中, svchost.exe是做什么的?
- 关于windows的svchost进程的问题(年代有点久远)
- Windows系统的Svchost.exe和Explorer.exe进程
- 在对结构体分配的内存进行free时出现,关于 Windows 已在 **.exe 中触发一个断点。其原因可能是堆被损坏.
- 关于windows环境下cordova命令行无法启动adb.exe的解决办法
- 揭开SVCHOST.exe进程之谜
- 关于C#开发 windows服务进程
- 关于windows中进程地址空间问题
- SVCHOST.exe进程之谜
- 缺少svchost.exe,Windows还能正常工作吗?
- 解决开机 svchost.exe 进程占用居高不下的问题
- 遍历Windows系统中所有进程的名字(*.exe)
- 有关svchost.exe进程
- 揭开SVCHOST.exe进程之谜