|
نامی عمومی برای پروسسهائی است که از طریف DLL ها و یا از داخل آنها اجرا می شوند.
اطلاعات بیشتر:
فایل Svchost.exe که در پوشه %SystemRoot%\System32 قرار دارد در هنگام آغاز اجرای ویندوز قسمت services رجیستری رو چک میکنه و لیستی از سرویسهائی که باید اجرا شوند رو ایجاد می کنه.موارد متعددی از Svchost می تونن همزمان با هم اجرا بشن که هر کدوم از اونا شامل گروهی خاص از سرویسها می شود.پس بهمین دلیل سرویسهای جداگانه می تونن همزمان و فارغ از اینکه Svchost کی اجرا شده به هم اجرا بشن و روند بالا آمدن ویندوز تسریع بشه.در ضمن این شیوه گروه بندی سرویسها باعث ایجاد کنترل بهتر و Debug سریعتر می شود.
گروههای Svchost.exe در این کلید رجیستری معرفی می شوند:
کد:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost
هر Value که در زیر این شاخه ایجاد شده باشه بیانگر یک گروه جداگانه Svchost می باشد و هنگامی که شما task Manger رو نگاه می کنید برای خودش گروه جداگانه ای ایجاد می کند.
هر کدام از این value ها دارای ارزش REG_MULTI_SZ هستند و شامل اطلاعات سرویسها و process هائی هستند که که در زیر این شاخه از Svchost اجرا می شن.
هر کدام از گروههای Svchost می تونن شامل یک یا چند سرویس باشند که از کلید زیر در رجیستری Extract می شوند که پارامترهای اونا شامل یک ServiceDLL Value می باشد.
کد:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Service
برای درک بهتر Svchost و دیدن سرویسهائی که هم اکنون از Svchost استفاده می کنن این مراحل رو انجام بدین:
از منوی Start ----Run رو اجرا کنید و تایپ کنین cmd
ودر پای prompt بنویسید:Tasklist /SVC و Enter رو فشار بدین.
فرمان Tasklist لیستی از پروسسهای در حال اجرا تهیه می کنه و سوئیچ /SVC هم لیستی از زیر پروسسهای هر گروه رو ایجاد می کنه .برای دریافت اطلاعات بیشتر راجع به هر پروسس فرمان رو بصورت زیر تایپ کنین:
Tasklist /FI "PID eq processID" که بجای PID eq processID باید پروسس مورد نظر خودتون رو بنویسین.مثال زیر مواردی از پروسسهای تحت Svchost رو نشون می ده که همونطور که می بینین خیلی از فعالیتهای حیاتی ویندوزتون رو هم شامل میشه:
Image Name PID Services
System Process 0 N/A
System 8 N/A
Smss.exe 132 N/A
Csrss.exe 160 N/A
Winlogon.exe 180 N/A
Services.exe 208 AppMgmt,Browser,Dhcp,Dmserver,Dnscache,
Eventlog,LanmanServer,LanmanWorkstation,
LmHosts,Messenger,PlugPlay,ProtectedStorage,
Seclogon,TrkWks,W32Time,Wmi
Lsass.exe 220 Netlogon,PolicyAgent,SamSs
Svchost.exe 404 RpcSs
Spoolsv.exe 452 Spooler
Cisvc.exe 544 Cisvc
Svchost.exe 556 EventSystem,Netman,NtmsSvc,RasMan,
SENS,TapiSrv
Regsvc.exe 580 RemoteRegistry
Mstask.exe 596 Schedule
Snmp.exe 660 SNMP
Winmgmt.exe 728 WinMgmt
Explorer.exe 812 N/A
Cmd.exe 1300 N/A
Tasklist.exe 1144 N/A
تنظیمات رجیستری برای مثال بالا به صورت زیر می باشد:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
Netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
RApcss :Reg_Multi_SZ: RpcSs
منبع
|
