Зарегистрирован: Fri May 05 2006, 08:21AM Сообщений: 93
Очень внятно ответил на этот вопрос Джон Севилл, MCSE, консультант, автор книги «The Windows NT and Windows 2000 Answer Book» (Addison Wesley). "Svchost – это хост-процесс, который исполняет службы, когда они запускаются из DLL. Во время разработки обычная практика – отделять новые или измененные службы для повышения надежности системы и обеспечения более легкой процедуры поиска и устранения неисправностей. Поэтому в бета-версиях ОС можно столкнуться с несколькими вариантами svchost. Чтобы понять, что "скрывается" за каждой копией файла svchost.exe, используйте утилиту tlist.exe с параметром –s (сама утилита входит в состав Resource Kit Support Tools). По умолчанию Resource Kit Support Tools не устанавливается, его дистрибутив расположен в каталоге \support\tools на компакт-диске с оригинальной ОС. Ниже приводится пример того, что может быть отображено при запуске команды tlist: C:\>tlist -s 0 System Process 4 System 176 smss.exe 208 csrss.exe Title: 172 winlogon.exe Title: NetDDE Agent 256 services.exe Svcs: Eventlog, PlugPlay 268 lsass.exe Svcs: Netlogon, PolicyAgent, ProtectedStorage, SamSs 320 svchost.exe Svcs: RpcSs 420 svchost.exe Svcs: AudioSrv, Browser, CryptSvc, Dhcp, dmserver, EventSystem, FastUserSwitchingCompatibilityServices, helpsvc, HidServ, lanmanserver, lanmanworkstation, Netman, Nla, Schedule, seclogon, SENS, ShellHWDetection, TermService, ThemeService, TrkWks, uploadmgr, W32Time, WmdmPmSp, wuauser 480 svchost.exe Svcs: Dnscache 500 svchost.exe Svcs: LmHosts, Messenger, RemoteRegistry, SSDPSRV, WebClient 544 spoolsv.exe Svcs: Spooler 660 DKService.exe Svcs: Diskeeper 800 svchost.exe Svcs: winmgmt 1092 explorer.exe Title: Program Manager 1244 ctfmon.exe Title: 900 ISATRAY.EXE Title: IsaTray 1344 NAVAPW32.EXE Title: Norton AntiVirus Auto-Protect 1212 FRONTPG.EXE Title: Microsoft FrontPage - D:\asp www.ntfaq.com\NTFAQ\5apr2001.htm 428 NAVAPSVC.EXE Svcs: NAV Auto-Protect 1376 ALERTSVC.EXE Svcs: NAV Alert 1372 PowerDVD.exe Title: PowerDVD 444 OUTLOOK.EXE Title: Tasks - Microsoft Outlook 1268 msmsgs.exe Title: 1436 MDM.EXE Title: OleMainThreadWndName 632 WINWORD.EXE Title: DDE Server Window 1404 IEXPLORE.EXE Title: Q250320 - Description of Svchost.exe - Microsoft Internet Explorer 1348 cmd.exe Title: E:\WINDOWS\System32\cmd.exe - tlist -s 1428 tlist.exe Следует помнить, что большое число служб, драйверов и модулей загружается при запуске системы и является неотъемлемой частью системы. Даже если их можно обнаружить в Task Manager, они, тем не менее, важны для нормального функционирования системы. Svchosts описывается в реестре по адресу HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Svchost.
Зарегистрирован: Fri May 05 2006, 08:21AM Сообщений: 93
Начнём с "наболевшего" - SVCHOST.EXE
Очень часто у пользователей WindowsXP возникает вопрос - что это за программа svchost.exe, наблюдаемая ими в списке запущенных процессов? Первоначально вызывает недоумение - почему она загружена 2-3-4-5-... раз?, нужное подчеркнуть...
При более детальном изучении списка процессов видно, что процесс svchost.exe запущен несколько раз, с разными PID (идентификатор процесса) и разными объёмами оперативной памяти, выделяемыми системой под каждый процесс.
На самом деле - это никакой не вирус и не троян - SVCHOST.EXE (Generic Host Process for Win32 Services) вполне «законна». Это приём извлечения и запуска разнообразных системных сервисов из различных DLL. Каждый раз при запуске определённой службы вызывается svchost.exe с различными параметрами, что и позволяет управлять запуском различных служб унифицированным методом.
Управлять загрузкой сервисов можно через вкладку Панель Управления - Администрирование - Сервисы.
Вот список сервисов (служб), запускаемых с помощью svchost.exe:
Русское название сужбы Английское название сужбы Описание
Оповещатель Alerter Посылает выбранным пользователям и компьютерам административные оповещения
Управление приложениями Application Management Обеспечивает службы установки программного обеспечения, такие, как назначение, публикация и удаление
Система событий COM+ COM+ Event System Поддержка службы уведомления о системных событиях (SENS), обеспечивающей автоматическое распространение событий подписавшимся компонентам COM
Обозреватель компьютеров Computer Browser Обслуживает список компьютеров в сети и выдает его программам по запросу
Сервер Server Обеспечивает поддержку общего доступа к файлам, принтерам и именованным каналам для данного компьютера через сетевое подключение
DHCP-клиент DHCP Client Управляет конфигурацией сети посредством регистрации и обновления IP-адресов и DNS-имен
Клиент отслеживания изменившихся связей Distributed Link Tracking Client Поддерживает связи NTFS-файлов, перемещаемых в пределах компьютера или между компьютерами в домене
DNS-клиент DNS Client Разрешает для данного компьютера DNS-имена в адреса и помещает их в кэш
Диспетчер логических дисков Logical Disk Manager Обнаружение и наблюдение за новыми жесткими дисками и передача информации о томах жестких дисков службе управления диспетчера логических дисков
Служба сообщений Messenger Посылает и получает сообщения, переданные администраторами или службой оповещений
Диспетчер авто-подключений удаленного доступа Remote Access Auto Connection Manager Создает подключение к удаленной сети, когда программа обращается к удаленному DNS- или NetBIOS- имени или адресу
Удаленный вызов процедур(RPC) Remote Procedure Call (RPC) Обеспечивает сопоставление конечных точек и иных служб RPC
Удаленный реестр Remote Registry Service Позволяет удаленным пользователям изменять параметры реестра на этом компьютере
Съемные ЗУ Removable Storage Обеспечивает корректное распознавание и подключение съемных ОЗУ
Маршрутизация и удаленный доступ Routing & Remote Access Предлагает услуги маршрутизации организациям в локальной и глобальной сетях
Уведомление о системных событиях System Event Notification Протоколирует системные события, такие как регистрация в Windows, в сети и изменения в подаче электропитания
Планировщик заданий Task Scheduler Позволяет настраивать расписание автоматического выполнения задач на этом компьютере
Телефония Telephony Обеспечивает поддержку Telephony API (TAPI) для программ, управляющих телефонным оборудованием и голосовыми IP-подключениями на этом компьютере, а также через ЛВС - на серверах, где запущена соответствующая служба
Служба времени Windows Windows Time Управляет синхронизацией даты и времени на всех клиентах и серверах в сети