走进SVCHOST
SVCHOST进程现在是声名狼藉,本来Windows用它来启动各种服务,可是偏偏病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到
感染、入侵、破坏的目的(如冲击波变种病毒“W32.Welchia.Worm”),弄的大家草木皆兵一见有SVCHOST就怀疑自己是否已经中招,其实
Windows系统存在多个SVCHOST进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。
假设
Windows
XP系统被“W32.Welchia.Worm”感染了。正常的SVCHOST文件存在于“C:\Windows\system32”目录下,如果发现该
文件出现在其他目录下就要小心了。“W32.Welchia.Worm”病毒存在于“C:\Windows\system32\wins”目录中,因此使
用进程管理器查看SVCHOST进程的执行文件路径就很容易发现系统是否感染了病毒。Windows系统自带的任务管理器不能够查看进程的路径,可以使用
第三方进程管理软件,如“Windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的SVCHOST进程的执行文件路径,一旦发现其执行
路径为不平常的位置就应该马上进行检测和处理。
在基于NT内核的Windows操作系统家族中,不同版本的Windows系
统,存在不同数量的“SVCHOST”进程,用户使用“任务管理器”可查看其进程数目。一般来说,Win2000有两个SVCHOST进程,WinXP中
则有四个或四个以上的SVCHOST进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而Win2003
server中则更多。这些SVCHOST进程提供很多系统服务,如:RpcSs服务(Remote Procedure
Call)、dmserver服务(Logical Disk Manager)、Dhcp服务(DHCP Client)等。
如果要了解每个SVCHOST进程到底提供了多少系统服务,可以在Win2000的命令提示符窗口中输入“Tlist -S”命令来查看,该命令是Win2000 Support Tools提供的。在WinXP则使用“tasklist /svc”命令。
深入分析SVCHOST
Windows
系统进程分为独立进程和共享进程两种,“SVCHOST.EXE”文件存在于“%SystemRoot%\system32\”目录下,它属于共享进程。
随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由SVCHOST.EXE进程来启动。但SVCHOST进程只作
为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢?
Svchost组是由注册表[HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows
NT\CurrentVersion\Svchost]项来识别的。在这个注册表项下的每个值都代表单独的Svchost组,并在我们查看活动进程时作为
单独的实例显示。这里的键值均为REG_MULTI_SZ类型的值,并且包含该Svchost组里运行的服务名称(如图1)。
![]()
0 && image.height>0){if(image.width>=510){this.width=510;this.height=image.height*510/image.width;}}" src="http://www.pconline.com.cn/pcedu/soft/st/winxp/0409/pic/040907svchost01.gif" src_cetemp="http://www.pconline.com.cn/pcedu/soft/st/winxp/0409/pic/040907svchost01.gif">
图1 注册表中的Svchost
实际上,Svchost只是作为服务的宿主,本身并不实现什么功能。如果需要使用Svchost来启动某个DLL形式实现的服务,该
DLL的载体Loader指向Svchost,在启动服务的时候由Svchost调用该服务的DLL来实现启动的目的。使用Svchost启动某个服务的
DLL文件是由注册表中的参数来决定的,在需要启动服务的注册表项下都有一个“Parameters”子项,其中的“ServiceDll”键值表明该服
务由哪个DLL文件负责,并且这个DLL文件必须导出一个ServiceMain()函数,为处理服务任务提供支持。
那
SVCHOST又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以RpcSs(Remote
Procedure Call)服务为例,进行讲解。实例:笔者以Windows
XP为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“Remote Procedure
Call”属性对话框,可以看到RpcSs服务的可执行文件的路径为“C:\WINDOWS\system32\svchost -k
rpcss”,这说明RpcSs服务是依靠SVCHOST调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。
在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Services\RpcSs]项,找到类型为“REG_EXPAND_SZ”的键
“magePath”,其键值为“%SystemRoot%\system32\svchost -k
rpcss”(这就是在服务窗口中看到的服务启动命令),另外在“Parameters”子项中有个名为“ServiceDll”的键,其值为“%
SystemRoot%\system32\rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样
SVCHOST进程通过读取“RpcSs”服务注册表信息,就能启动该服务了。
Svchost进程木马浅析
从前面的介绍我们
已经知道,在注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current-
Version\Svchost]分支中,存放着Svchost启动的组和组内的各项服务,很多木马和病毒正是利用这一点来实现自动加载的。它们通常的方
法有:
· 添加一个新的组,在组里添加服务名;
· 在现有的组里添加服务名或者利用现有组一个未安装的服务;
· 修改现有组里的服务,将它的ServiceDll指向自己的DLL文件。
例如PortLess BackDoor就是一款典型的利用Svchost进程加载的后门工具。那么对于像PortLess
BackDoor这样的木马、病毒,该如何检测并清除呢?以Windows
XP为例,首先我们可以利用“进程间谍”这样的进程工具查看Svchost进程中的模块信息(如图3),并与之前的模块信息比较,可以发现Svchost
进程中有一个可疑的DLL文件“SvchostDLL.dll”。同时,在“管理工具→服务”列表中会看到一项新的服务“Intranet
Services”(显示名称),此服务名称为:Iprip,由Svchost启动,“-k netsvcs”表示此服务包含在Netsvcs服务组中。
![]()
0 && image.height>0){if(image.width>=510){this.width=510;this.height=image.height*510/image.width;}}" src="http://www.pconline.com.cn/pcedu/soft/st/winxp/0409/pic/040907svchost03.gif" src_cetemp="http://www.pconline.com.cn/pcedu/soft/st/winxp/0409/pic/040907svchost03.gif">
图3 Svchost进程中的模块信息
提示:在Windows 2000中,系统的Iprip服务侦听由使用Routing Information协议版本1(RIPv1)的路由器发送的路由更新信息,在服务列表中显示的名称为“RIP Listener”。
运行Regedit,打开注册表编辑器,展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\IPRIP]分支,查看其“Parameters”子项,其中“ServiceDll”键值指向调用的DLL文件路径和全称,这正是
后门的DLL文件。知道了这些,就可以动手清除了:在服务列表用右键单击“Intranet
Services”服务,从菜单中选择“停止”,然后在上述注册表分支中删除“Iprip”项。重新启动计算机,再按照“ServiceDll”键值提示
的位置删除后门程序主文件即可。最后需要提醒读者的是,对注册表进行修改前,应做好备份工作,以便出现错误时能够及时还原。
