svchost|dllhost系统进程与系统安全——“其实我们很无辜”

记得很早前个别木马横行的时候，就不断听到有人抱怨，“我的机器中了木马！svhost dllhost！”很清晰地记得在江民论坛上见有人说它是病毒，说它是木马，说出现多个就代表机器中标，有人还建议删之。。。

一、svhost.exe

　　在基于NT内核的Windows操作系统家族中，Svchost.exe是一个非常重要的进程。很多病毒、木马驻留系统与这个进程密切相关，因此深入了解该进程是非常有必要的。本文主要介绍Svchost进程的功能，以及与该进程相关的知识。

　

　Svchost进程概述

　微软对“Svchost进程”的定义是：Svchost.exe是从动态链接库（DLL）中运行的服务的通用主机进程名称。Svchost.exe文件位于“%SystemRoot%/System32”文件夹中。当系统启动时，Svchost将检查注册表中的服务部分，以构建需要加载的服务列表。Svchost的多个实例可以同时运行。每个Svchost会话可以包含一组服务，以便根据Svchost的启动方式和位置的不同运行不同的服务，这样可以更好地进行控制且更加便于调试。

　

　Svchost组是由注册表[HKEY_LOCAL_MACHINE/ Software/Microsoft/Windows NT/CurrentVersion/Svchost]项来识别的。在这个注册表项下的每个值都代表单独的Svchost组，并在我们查看活动进程时作为单独的实例显示。这里的键值均为REG_MULTI_SZ类型的值，并且包含该Svchost组里运行的服务名称（如图1）。

　

　

　实际上，Svchost只是作为服务的宿主，本身并不实现什么功能。如果需要使用Svchost来启动某个DLL形式实现的服务，该DLL的载体Loader指向Svchost，在启动服务的时候由Svchost调用该服务的DLL来实现启动的目的。使用Svchost启动某个服务的DLL文件是由注册表中的参数来决定的，在需要启动服务的注册表项下都有一个“Parameters”子项，其中的“ServiceDll”键值表明该服务由哪个DLL文件负责，并且这个DLL文件必须导出一个ServiceMain（）函数，为处理服务任务提供支持。

　

　提示：不同版本的Windows系统，存在不同数量的Svchost进程。一般来说，Windows 2000有两个Svchost进程，而Windows XP则有四个或四个以上的Svchost进程。

　

　Svchost进程实例讲解

　要想查看在Svchost中运行服务的列表，可以在Windows XP命令提示符窗口中输入“Tasklist /svc”命令后，回车执行（如果使用的是Windows 2000，可用Support Tools提供的Tlist工具查看，命令为“Tlist -s”）。Tasklist命令显示活动进程的列表，/svc命令开关指定显示每个进程中活动服务的列表。从图中可以看到，Svchost进程启动很多系统服务，如：RpcSs（Remote Procedure Call）、Dhcp（DHCP Client）、Netman（Network Connections）服务等等（如图2）。

　

　

　这里我们以RpcSs服务为例，来具体了解一下Svchost进程与服务的关系。运行Regedit，打开注册表编辑器，依次展开[HKEY_LOCAL_MACHINE/SYSTEM

　CurrentControlSet/Services/RpcSs ]分支，在“Parameters”子项中有个名为“ServiceDll”的键，其值为“%SystemRoot%/system32/rpcss.dll”。这表示系统启动RpcSs服务时，调用“%SystemRoot%/system32”目录下的Rpcss.dll动态链接库文件。

　

　接下来，从控制面板中依次双击“管理工具→服务”，打开服务控制台。在右侧窗格中双击“Remote Procedure Call（RPC）”服务项，打开其属性对话框，可以看到RpcSs服务的可执行文件的路径为“C:/Windows/system32/svchost -k rpcss”，这说明RpcSs服务是依靠Svchost启动的，“-k rpcss”表示此服务包含在Svchost的Rpcss服务组中。

　

　Svchost进程木马浅析

　从前面的介绍我们已经知道，在注册表[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current- Version/Svchost]分支中，存放着Svchost启动的组和组内的各项服务，很多木马和病毒正是利用这一点来实现自动加载的。它们通常的方法有：

　

　• 添加一个新的组，在组里添加服务名；

　

　• 在现有的组里添加服务名或者利用现有组一个未安装的服务；

　

　• 修改现有组里的服务，将它的ServiceDll指向自己的DLL文件。

　

　例如PortLess BackDoor就是一款典型的利用Svchost进程加载的后门工具。那么对于像PortLess BackDoor这样的木马、病毒，该如何检测并清除呢？以Windows XP为例，首先我们可以利用“进程间谍”这样的进程工具查看Svchost进程中的模块信息（如图3），并与之前的模块信息比较，可以发现Svchost进程中有一个可疑的DLL文件“SvchostDLL.dll”。同时，在“管理工具→服务”列表中会看到一项新的服务“Intranet Services”（显示名称），此服务名称为：Iprip，由Svchost启动，“-k netsvcs”表示此服务包含在Netsvcs服务组中。

　

　提示：在Windows 2000中，系统的Iprip服务侦听由使用Routing Information协议版本1（RIPv1）的路由器发送的路由更新信息，在服务列表中显示的名称为“RIP Listener”。

　

　运行Regedit，打开注册表编辑器，展开[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet

　Services/IPRIP]分支，查看其“Parameters”子项，其中“ServiceDll”键值指向调用的DLL文件路径和全称，这正是后门的DLL文件。知道了这些，就可以动手清除了：在服务列表用右键单击“Intranet Services”服务，从菜单中选择“停止”，然后在上述注册表分支中删除“Iprip”项。重新启动计算机，再按照“ServiceDll”键值提示的位置删除后门程序主文件即可。最后需要提醒读者的是，对注册表进行修改前，应做好备份工作，以便出现错误时能够及时还原。

二、dllhost.exe

进程文件: dllhost or dllhost.exe

 

进程名称: DCOM DLL Host进程

 

描　　述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。

 

介　　绍：com代理，系统附加的dll组件越多，则dllhost占用的cpu资源和内存资源就越多，而8月的“冲击波杀手”大概让大家对它比较熟悉吧。

 

解决Web服务器出现的dllhost.exe错误

 

我的Web服务器出了问题。一个弹出话框显示“dllhost.exe出现错误”。当我查看应用事件日志时发现有很多Active Server Pages Event 5这样的错误。它们在错误信息中显示为“line 0内存溢出”。这种错误以前每隔几天就发生一次，但现在是每隔几小时就发生一次。重启后也只能维持一阵子。你对此有什么看法吗？

 

我还没碰到过这种问题，但我在微软的参考信息中看到Exchange Outlook Web Access使用过程中描述过这样的错误。（http://support.microsoft.com/?kbid=224327）

 

该链接建议你安装最新的Exchange升级版。如果你在使用Exchange，不妨尝试一下。如果没有，我就要给你一些建议，它们同那些存在ASP 3.0方面问题的人的建议一样：

 

确保你有所有最新升级版和服务包。

 

在每个Web应用中允许进程隔离。

 

将应用程序升级到ASP.NET。

 

将Web 服务器升级到Windows Server 2003。

 

了解真相 dllhost.exe是病毒吗？

 

dllhost.exe 解释

 

dllhost.exe是什么？

 

dllhost.exe是运行COM+的组件，即COM代理，运行Windows中的Web和FTP服务器必须有这个东西。

 

什么时候会出现dllhost.exe？

 

运行COM+组件程序的时候就会出现。例如江民KV2004

 

冲击波杀手又是怎么一回事？

 

冲击波杀手借用了dllhost.exe作为进程名，但是由于Windows不允许同一个目录下有同名文件的存在，因此，冲击波杀手把病毒体：dllhost.exe放到了C:/Windows/System32/Wins目录里面（Windows 2000是C:/WINNT/System32/Wins，全部假设系统安装在C盘），但是真正的dllhost.exe应该放 在C:/Windows/System32（Windows 2000是C:/WINNT/System32）

 

换句话说就是：冲击波（Worm.WelChia）为了迷惑用户，避免病毒的执行体被进程管理器终止，采用了dllhost.e xe这个和Windows组件一样的名字，但是并不是说进程里面出现dllhost.exe就等于感染了worm.welchi a

 

再看看这里的FAQ吧

 

第一个误区————进程出现Dllhost.exe就等于中了病毒

Dllhost.exe是系统文件，但是进程里面出现Dllhost.exe进程不等于中了病毒

 

第二个误区————一见Dllhost.exe进程就杀死

其实这样做是不好的。很多程序都需要Dllhost.exe，例如KV2004实时监控运行的时候或IIS在解析一些ASP文件 的时候，进程中都会出现Dllhost.exe

 

之所以大家恐惧Dllhost.exe进程，恐怕是由于冲击波（杀手）的问题。

其实冲击波（杀手）只不过采取了一个偷梁换柱的方法。因为任务管理器里面无法看出进程中exe文件的路径，所以让大家在分析问题 的时候出现一些偏差。

 

感染冲击波（杀手）的典型特征不是进程中出现Dllhost.exe，而是RPC服务出现问题（冲击波）和System32/w ins目录里面出现svchost.exe和dllhost.exe文件（冲击波杀手）。注意路径！！

 

那么，Dllhost.exe是什么呢？Dllhost.exe是 COM+ 的主进程。正常下应该位于system32目录里面和system32/dllcache目录里面。而system32/win s目录里面是不会有dllhost.exe文件的。