Security Lab

Svchost.exe

Svchost.exe

Svchost.exe (Generic Host Process for Win32 Services) – системный процесс операционной системы Microsoft Windows, который обрабатывает 32-битные DLL и другие службы.

Svchost.exe (Generic Host Process for Win32 Services) – системный процесс операционной системы Microsoft Windows, который обрабатывает 32-битные DLL и другие службы.

В процессе загрузки на основании записей в реестре Svchost.exe составляет список служб, которые необходимо запустить. Одновременно могут быть запущены несколько экземпляров процесса Svchost.exe. Каждый сеанс Svchost.exe содержит группировку служб, следовательно, отдельные службы могут выполняться в зависимости от того, как и когда был запущен Svchost.exe. Таким образом, улучшается контроль и упрощается отладка. 


Группы Svchost.exe определяются в следующем разделе реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost

Каждое значение в этом разделе представляет отдельную группу Svchost и отображается при просмотре активных процессов как отдельный экземпляр. Каждое из этих значений имеет тип REG_MULTI_SZ и содержит службы, выполняемые в этой группе Svchost. Каждая группа Svchost может содержать одно или несколько имен служб, извлекаемых из следующего раздела реестра, в котором подраздел Parameters содержит значение ServiceDLL:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Служба

Чтобы просмотреть список служб, работающих в процессе Svchost,  необходимо выполнить команду Tasklist /SVC (не доступна в Windows XP home edition). Программа Tasklist отображает все запущенные программы (несколько больше чем диспечер задач), а ключ  /svc отображает загруженные службы для этих задач. На скриншоте показаны службы, типичные для компьютере под управлением Windows XP  (DcomLaunch, TermService, RpcSs, AudioSrv, CryptSvc, Dhcp, ERSvc, EventSystem, helpsvc, HidServ, lanmanserver, lanmanworkstation, Netman, Nla, RasMan, seclogon, SENS, ShellHWDetection, srservice, TapiSrv, Themes, TrkWks, winmgmt, WZCSVC, Dnscache, LmHosts, SSDPSRV, upnphost, WebClient).



Так как svchost запущен на всех Windows компьютерах, это имя чаще всего используется злонамеренными программами и вирусами, которые скрывают свое присутствие среди легитимных служб. Распознать их достаточно просто, большинство их них расположены вне папки %SystemRoot%\System32 или скрывают себя под похожими именами, типа svch0st.exe или scvhost.exe.