前言:
进程文件: svchost or svchost.exe 【不区分大小写】
进程名称: Generic Service Host Process for Win32 Services
进程类别:系统进程
位置:C:\windows\system32\svchost.exe
##CONTINUE##
中文参考:svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对你系统的正常运行是非常重要,而且是不能被结束的。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向 scvhost,由cvhost调用相应服务的动态链接库来启动服务。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程。VISTA系统和WIN7系统svchost服务进程会更多。所以看到多个svchost服务存在并不代表就一定存在病毒木马。
因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的。新增svchost服务、替换svchost服务是当前病毒木马最常用的手法。所以看到svchost少也并不代表就一定正常。
windows系统存在多个svchost进程,在受感染的机器中到底哪个是病毒进程呢?下面的分析帮您来解决这个问题。
使用工具:Sreng , TinyRAT ,冰刃
下载地址:http://www.kztechs.com/sreng/download.html
病毒文件:
这里使用了TinyRAT 远程控制来替换掉BITS服务。替换动态链接库DLL文件为SysAdsnwt.dll ,文件路径C:\windows\system32\SysAdsnwt.dll
BITS服务名称: BITS
BITS服务显示名称:Background Intelligent Transfer Service
BITS服务描述:在后台传输客户端和服务器之间的数据。如果禁用了 BITS,一些功能如 Windows Update,就无法正常运行。
服务替换操作: 运行TinyRAT ,进行服务替换操作。如下图所示,BITS启动类型已从手动被修改成了自动,并且由停止服务变成了运行。进程列表svchost.exe进程也由5个增加到了6个。你能分别出那个是异常的么?
服务分析过程:
打开冰刃,点击【进程】,记录每一个svchost.exe对应的进程PID号备用。这里分别是844,924,980,1036,1112,1256 以作备用。
点击【服务】,记录每一个进程ID对应的服务名和服务模块路径。
搜索引擎的利用:
通过上面记录的服务名和服务模块路径,在搜索引擎上找相关的信息,如果可以找到相关的正确信息,那PID所对应的svchost.exe服务就是正常的。如果未找到相关信息,或是病毒木马相关信息,记录下服务名和服务模块路径做清理时备用。
拿BITS服务和模块路径C:\windows\system32\SysAdsnwt.dll来说,打开百度,搜索:BITS SysAdsnwt.dll 得到如下信息,可以确定是病毒利用了。还可以搜索到BITS非系统必要服务进程。
服务清理过程:
打开sreng 点【启动项目】-点【服务】-点【win32应用服务程序】
根据上面记录的C:\windows\system32\SysAdsnwt.dll对应的服务是异常的。从【服务动态链接库】列表中寻找到对应的记录,找到后选中记录,选中右下角的【删除服务】,点【设置】按钮
在弹出的确认窗口点击【否】按钮确认进行删除,然后重启机子。手工删除C:\windows\system32\SysAdsnwt.dll即可。
后记:由于手工操作需要对系统文件了解有一定的要求,因此该文所涉及内容,对系统文件一无了解的朋友慎用。粗略的介绍了win32服务应用程序的识别、清理过程.
没有评论:
发表评论