SVCHOST.EXE چیست ؟

pcockz80 · 10-17-2004, 09:01 PM

معرفی:
SVCHOST.EXE نامی عمومی برای پروسسهائی است که از طریف DLL ها و یا از داخل آنها اجرا می شوند.
اطلاعات بیشتر:
فایل Svchost.exe که در پوشه %SystemRoot%\System32 قرار دارد در هنگام آغاز اجرای ویندوز قسمت services رجیستری رو چک میکنه و لیستی از سرویسهائی که باید اجرا شوند رو ایجاد می کنه.موارد متعددی از Svchost می تونن همزمان با هم اجرا بشن که هر کدوم از اونا شامل گروهی خاص از سرویسها می شود.پس بهمین دلیل سرویسهای جداگانه می تونن همزمان و فارغ از اینکه Svchost کی اجرا شده به هم اجرا بشن و روند بالا آمدن ویندوز تسریع بشه.در ضمن این شیوه گروه بندی سرویسها باعث ایجاد کنترل بهتر و Debug سریعتر می شود.
گروههای Svchost.exe در این کلید رجیستری معرفی می شوند:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\Svchost
هر Value که در زیر این شاخه ایجاد شده باشه بیانگر یک گروه جداگانه Svchost می باشد و هنگامی که شما task Manger رو نگاه می کنید برای خودش گروه جداگانه ای ایجاد می کند.
هر کدام از این value ها دارای ارزش REG_MULTI_SZ هستند و شامل اطلاعات سرویسها و process هائی هستند که که در زیر این شاخه از Svchost اجرا می شن.
هر کدام از گروههای Svchost می تونن شامل یک یا چند سرویس باشند که از کلید زیر در رجیستری Extract می شوند که پارامترهای اونا شامل یک ServiceDLL Value می باشد.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Service
برای درک بهتر Svchost و دیدن سرویسهائی که هم اکنون از Svchost استفاده می کنن این مراحل رو انجام بدین:
از منوی Start ----Run رو اجرا کنید و تایپ کنین cmd
ودر پای prompt بنویسید:Tasklist /SVC و Enter رو فشار بدین.
فرمان Tasklist لیستی از پروسسهای در حال اجرا تهیه می کنه و سوئیچ /SVC هم لیستی از زیر پروسسهای هر گروه رو ایجاد می کنه .برای دریافت اطلاعات بیشتر راجع به هر پروسس فرمان رو بصورت زیر تایپ کنین:
Tasklist /FI "PID eq processID" که بجای PID eq processID باید پروسس مورد نظر خودتون رو بنویسین.مثال زیر مواردی از پروسسهای تحت Svchost رو نشون می ده که همونطور که می بینین خیلی از فعالیتهای حیاتی ویندوزتون رو هم شامل میشه:

Image Name PID Services
================================================== ======================
System Process 0 N/A
System 8 N/A
Smss.exe 132 N/A
Csrss.exe 160 N/A
Winlogon.exe 180 N/A
Services.exe 208 AppMgmt,Browser,Dhcp,Dmserver,Dnscache,
Eventlog,LanmanServer,LanmanWorkstation,
LmHosts,Messenger,PlugPlay,ProtectedStorage,
Seclogon,TrkWks,W32Time,Wmi
Lsass.exe 220 Netlogon,PolicyAgent,SamSs
Svchost.exe 404 RpcSs
Spoolsv.exe 452 Spooler
Cisvc.exe 544 Cisvc
Svchost.exe 556 EventSystem,Netman,NtmsSvc,RasMan,
SENS,TapiSrv
Regsvc.exe 580 RemoteRegistry
Mstask.exe 596 Schedule
Snmp.exe 660 SNMP
Winmgmt.exe 728 WinMgmt
Explorer.exe 812 N/A
Cmd.exe 1300 N/A
Tasklist.exe 1144 N/A

تنظیمات رجیستری برای مثال بالا به صورت زیر می باشد:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
Netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
RApcss :Reg_Multi_SZ: RpcSs

مطلب بالا ترجمه ای بود از :
[url]http://support.microsoft.com/?kbid=314056[/url]
تقدیم به همه بچه های باحال p30world
:twisted:

shahrdartoope · 10-18-2004, 12:48 AM

سلام

گمنام جان دستت درد نکنه خیلی جالب بود

شهردار

mohamad_r · 10-18-2004, 02:10 AM

چرا macafee اين فايل رو به عنوان ويروس تروجان معرفي ميكنه؟

pedramonline · 10-18-2004, 03:08 AM

سلام
دستت درد نكنه
ولي دركش مشكل بود

mojan · 10-18-2004, 10:38 AM

سلام:
ويروس بلاستر با اين نام در مسير windows\system32\wins جاخوش ميكنه كه نشونه غير بارز اون كندي زياد شبكه و دير بالا اومدن سيستم هست البته ري استارت كردن از نشونه هاي تابلوي بلاستر و ساسر هست گيرشم Pach WindowsXP-KB823980-x86-ENU(Block blaster).exe هستد اما يه نكته جالب اينكه ............... :lol:

pcockz80 · 10-18-2004, 11:31 AM

نقل قول:

نوشته شده توسط mohamad_r

چرا macafee اين فايل رو به عنوان ويروس تروجان معرفي ميكنه؟

محمد جان دلیلش اینه که این برنامه تمام پروسسهائی که داخل Dll ها باشند و قرار هم هست که در اجرای ویندوز آنها هم اجرا بشن را اجرا می کنه خوب حالا اگه این Dll شما مربوط به یک ویروس باشه خوب طبعا تمام پروسسهائی که اجرا می کنه بعنوان ویروس شناخته می شن و در ضمن بخاطر ماهیت ذاتی این فایل یکی از فایلهائی است که اول از همه مورد هجوم ویروسها قرار می کیره

نقل قول:

نوشته شده توسط mojan

سلام:
ويروس بلاستر با اين نام در مسير windows\system32\wins جاخوش ميكنه كه نشونه غير بارز اون كندي زياد شبكه و دير بالا اومدن سيستم هست البته ري استارت كردن از نشونه هاي تابلوي بلاستر و ساسر هست گيرشم Pach WindowsXP-KB823980-x86-ENU(Block blaster).exe هستد اما يه نكته جالب اينكه ............... :lol:

درسته دوست عزیز اما این چه ربطی داشت به SVCHOST.EXE!!!؟؟؟؟ :?:
از بقیه دوستان هم بخاطر نظر لطفشون ممنون.
8)

30naa · 10-20-2004, 01:57 PM

ممنون
آیا اگه با فایروال بلاکش کنیم مشکلی پیش میاد؟

pcockz80 · 10-20-2004, 04:32 PM

بستگی به پروسسهائی داره که در اون گروه اجرا میشن مثلا اگه دریه شبکه بذارینش پشت Firewall معمولا بقیه کامپیوتر های شبکه نمی تونن از اینترنت موجود روی این سیستم بصورت اشتراکی استفاده کنن. 8)

30naa · 10-20-2004, 04:47 PM

ممنون من همیشه فکر میکردم ویروس ویا تروجان و ایناست :mrgreen:

~~Amir_P30~~ · 10-21-2004, 09:18 PM

نقل قول:

آیا اگه با فایروال بلاکش کنیم مشکلی پیش میاد؟

من يه بار اين كار رو كردم ديگه وقتي ويندوز ميامد بالا صفحه تسك منيجر رو نداشتم :mrgreen:

10-17-2004, 09:01 PM	#1
pcockz80 مدیر بازنشسته تاريخ عضويت: Jul 2004 محل سكونت: کهکشان راه شیری انجمنهای p30world پست ها: 867	SVCHOST.EXE چیست ؟ معرفی: SVCHOST.EXE نامی عمومی برای پروسسهائی است که از طریف DLL ها و یا از داخل آنها اجرا می شوند. اطلاعات بیشتر: فایل Svchost.exe که در پوشه %SystemRoot%\System32 قرار دارد در هنگام آغاز اجرای ویندوز قسمت services رجیستری رو چک میکنه و لیستی از سرویسهائی که باید اجرا شوند رو ایجاد می کنه.موارد متعددی از Svchost می تونن همزمان با هم اجرا بشن که هر کدوم از اونا شامل گروهی خاص از سرویسها می شود.پس بهمین دلیل سرویسهای جداگانه می تونن همزمان و فارغ از اینکه Svchost کی اجرا شده به هم اجرا بشن و روند بالا آمدن ویندوز تسریع بشه.در ضمن این شیوه گروه بندی سرویسها باعث ایجاد کنترل بهتر و Debug سریعتر می شود. گروههای Svchost.exe در این کلید رجیستری معرفی می شوند: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\Svchost هر Value که در زیر این شاخه ایجاد شده باشه بیانگر یک گروه جداگانه Svchost می باشد و هنگامی که شما task Manger رو نگاه می کنید برای خودش گروه جداگانه ای ایجاد می کند. هر کدام از این value ها دارای ارزش REG_MULTI_SZ هستند و شامل اطلاعات سرویسها و process هائی هستند که که در زیر این شاخه از Svchost اجرا می شن. هر کدام از گروههای Svchost می تونن شامل یک یا چند سرویس باشند که از کلید زیر در رجیستری Extract می شوند که پارامترهای اونا شامل یک ServiceDLL Value می باشد. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Service برای درک بهتر Svchost و دیدن سرویسهائی که هم اکنون از Svchost استفاده می کنن این مراحل رو انجام بدین: از منوی Start ----Run رو اجرا کنید و تایپ کنین cmd ودر پای prompt بنویسید:Tasklist /SVC و Enter رو فشار بدین. فرمان Tasklist لیستی از پروسسهای در حال اجرا تهیه می کنه و سوئیچ /SVC هم لیستی از زیر پروسسهای هر گروه رو ایجاد می کنه .برای دریافت اطلاعات بیشتر راجع به هر پروسس فرمان رو بصورت زیر تایپ کنین: Tasklist /FI "PID eq processID" که بجای PID eq processID باید پروسس مورد نظر خودتون رو بنویسین.مثال زیر مواردی از پروسسهای تحت Svchost رو نشون می ده که همونطور که می بینین خیلی از فعالیتهای حیاتی ویندوزتون رو هم شامل میشه: Image Name PID Services ================================================== ====================== System Process 0 N/A System 8 N/A Smss.exe 132 N/A Csrss.exe 160 N/A Winlogon.exe 180 N/A Services.exe 208 AppMgmt,Browser,Dhcp,Dmserver,Dnscache, Eventlog,LanmanServer,LanmanWorkstation, LmHosts,Messenger,PlugPlay,ProtectedStorage, Seclogon,TrkWks,W32Time,Wmi Lsass.exe 220 Netlogon,PolicyAgent,SamSs Svchost.exe 404 RpcSs Spoolsv.exe 452 Spooler Cisvc.exe 544 Cisvc Svchost.exe 556 EventSystem,Netman,NtmsSvc,RasMan, SENS,TapiSrv Regsvc.exe 580 RemoteRegistry Mstask.exe 596 Schedule Snmp.exe 660 SNMP Winmgmt.exe 728 WinMgmt Explorer.exe 812 N/A Cmd.exe 1300 N/A Tasklist.exe 1144 N/A تنظیمات رجیستری برای مثال بالا به صورت زیر می باشد: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost: Netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc RApcss :Reg_Multi_SZ: RpcSs مطلب بالا ترجمه ای بود از : [url]http://support.microsoft.com/?kbid=314056[/url] تقدیم به همه بچه های باحال p30world :twisted:

اختيارات تاپيک
نمايش نسخه براي چاپ فرستادن اين صفحه
نمايش رسم
نمايش خطي تغيير به حالت پيوندي / دورگه تغيير به حالت رشته اي

تبلیغــــات
P30World Forums Advertisement	<a href='http://www.p30world.com/openx2/www/delivery/ck.php?n=a6477633&cb=INSERT_RANDOM_NUMBER_HERE' target='_blank'><img src='http://www.p30world.com/openx2/www/delivery/avw.php?zoneid=5&cb=INSERT_RANDOM_NUMBER_HERE&n=a6477633' border='0' alt='' /></a>

10-18-2004, 12:48 AM	#2
shahrdartoope اگه نباشه جاش خالی می مونه تاريخ عضويت: Aug 2004 محل سكونت: روسیه پست ها: 269	سلام گمنام جان دستت درد نکنه خیلی جالب بود شهردار

10-18-2004, 02:10 AM	#3
mohamad_r داره خودمونی میشه تاريخ عضويت: Oct 2004 پست ها: 30	چرا macafee اين فايل رو به عنوان ويروس تروجان معرفي ميكنه؟

10-18-2004, 03:08 AM	#4
pedramonline آخر فروم باز تاريخ عضويت: Aug 2004 محل سكونت: آسيا.ايران.اهواز پست ها: 1,041	سلام دستت درد نكنه ولي دركش مشكل بود

10-18-2004, 10:38 AM	#5
mojan در آغاز فعالیت تاريخ عضويت: Sep 2004 پست ها: 11	سلام: ويروس بلاستر با اين نام در مسير windows\system32\wins جاخوش ميكنه كه نشونه غير بارز اون كندي زياد شبكه و دير بالا اومدن سيستم هست البته ري استارت كردن از نشونه هاي تابلوي بلاستر و ساسر هست گيرشم Pach WindowsXP-KB823980-x86-ENU(Block blaster).exe هستد اما يه نكته جالب اينكه ............... :lol:

10-20-2004, 01:57 PM	#7
30naa آخر فروم باز تاريخ عضويت: Sep 2004 پست ها: 2,427	ممنون آیا اگه با فایروال بلاکش کنیم مشکلی پیش میاد؟

10-20-2004, 04:32 PM	#8
pcockz80 مدیر بازنشسته تاريخ عضويت: Jul 2004 محل سكونت: کهکشان راه شیری انجمنهای p30world پست ها: 867	بستگی به پروسسهائی داره که در اون گروه اجرا میشن مثلا اگه دریه شبکه بذارینش پشت Firewall معمولا بقیه کامپیوتر های شبکه نمی تونن از اینترنت موجود روی این سیستم بصورت اشتراکی استفاده کنن. 8)

10-20-2004, 04:47 PM	#9
30naa آخر فروم باز تاريخ عضويت: Sep 2004 پست ها: 2,427	ممنون من همیشه فکر میکردم ویروس ویا تروجان و ایناست :mrgreen:

کاربراني که اين گفتگو را مشاهده ميکنند: 1 (0 کاربران و 1 مهمان)