90/2/15
7:1 ع
SVCHOST.EXE نامی عمومی برای پروسسهائی است که از طریق DLL ها و یا از داخل آنها اجرا می شوند.
اطلاعات بیشتر:
فایل Svchost.exe که در پوشه %SystemRoot%\System32 قرار دارد در هنگام آغاز اجرای ویندوز قسمت services رجیستری رو چک میکند و لیستی از سرویسهائی که باید اجرا شوند را ایجاد می کند. موارد متعددی از Svchost می توانند همزمان با هم اجرا بشوند که هر کدام شامل گروهی خاص از سرویسها می شود. به همین دلیل سرویسهای جداگانه می توانند همزمان با هم اجرا شوند و روند بالا آمدن ویندوز تسریع شود. در ضمن این شیوه گروه بندی سرویسها باعث ایجاد کنترل بهتر و Debug سریعتر می شود.
گروههای Svchost.exe در این کلید رجیستری معرفی می شوند:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\Svchost
هر Value که در زیر این شاخه ایجاد شده باشد بیانگر یک گروه جداگانه Svchost می باشد و هنگامی که شما task Manger را نگاه می کنید برای خودش گروه جداگانه ای ایجاد می کند.
هر کدام از این value ها دارای ارزش REG_MULTI_SZ هستند و شامل اطلاعات سرویسها و process هایی هستند که در زیر این شاخه از Svchost اجرا می شوند.
هر کدام از گروههای Svchost می توانند شامل یک یا چند سرویس باشند که از کلید زیر در رجیستری Extract می شوند که پارامترهای آنها شامل یک ServiceDLL Value می باشد.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Service
برای درک بهتر Svchost و دیدن سرویسهائی که هم اکنون از Svchost استفاده می کنند این مراحل را انجام بدین:
از منوی Start ----Run را اجرا کنید و تایپ کنید cmd
ودر prompt بنویسید: Tasklist /SVC و Enter رو فشار دهید.
فرمان Tasklist لیستی از پروسسهای در حال اجرا تهیه می کند و سوئیچ /SVC لیستی از زیر پروسسهای هر گروه را ایجاد می کند. برای دریافت اطلاعات بیشتر راجع به هر پروسس فرمان را به صورت زیر تایپ کنید:
Tasklist /FI "PID eq processID" که به جای PID eq processID باید پروسس مورد نظر خودتان را بنویسید.