【WIN】svchost与共享进程服务

这篇具有很好参考价值的文章主要介绍了【WIN】svchost与共享进程服务。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

查看注册表中的系统服务文件夹,我们可以发现某些服务的ImagePath显示的是svchost.exe的路径,如下图所示:

【WIN】svchost与共享进程服务

svchost.exe 是微软Windows操作系统中的系统文件,微软官方对它的解释是:

svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。许多服务通过注入到该程序中启动,所以会有多个该文件的进程。

从系统服务的视角来看,svchost.exe 是共享进程服务的宿主进程。Windows系统服务分为独立进程和共享进程两种,随着系统内置服务的增加,Windows就把很多系统服务变成共享进程的方式,由svchost.exe统一启动。

Svchost本身只是作为服务宿主,并不实现任何的服务功能。 需要Svchost启动的服务以动态链接库(DLL)形式实现。在安装这些服务时,把服务的可执行程序指向svchost,启动这些服务时由svchost加载相应服务的DLL文件。

从攻击者的角度来说,攻击者可能会将自己的恶意代码包含在一个黑色dll文件中,然后通过svchost.exe加载自己的dll文件,达到自己的目的。这种攻击方法最大的优势在于,恶意代码没有自己的独立进程,更难被用户或者其他系统主题察觉。从这角度来说,svchost是一个藏污纳垢的好地方。

显然,对于这种服务,我们需要分析的对象应该是服务启动时加载的dll文件,而不是ImagePath中的svchost.exe。服务加载的dll文件路径可在服务的子键 Parameters\\ServiceDll 中查看,如下图所示:

【WIN】svchost与共享进程服务

通过以上分析可知,如果我们查询的服务是通过svchost加载的,我们需要增加一条分支语句,转而分析服务运行时加载的dll文件。查询dll文件的具体方法就是前往子键 Parameters\\ServiceDll ,查看dll文件所在路经,伪代码如下:文章来源地址https://www.toymoban.com/news/detail-479069.html

if(wcsstr(keyData, L".exe") != NULL&&statusData<=2){  //后缀为exe的服务文件,并且是自启动文件
    //新的分支语句
	if(wcsstr(keyData, L"svchost"){ //这是一个共享进程服务,服务的真正信息存储在它加载的dll文件中
					
        //转而查看子键Parameters\\ServiceDll
        RegOpenKeyEx(HKEY_LOCAL_MACHINE,ultraPath+"Parameters",0,KEY_READ,&hkeyInner); //前往子键Parameters
        RegQueryValueEx(hkeyInner,_T("ServiceDll"),NULL,&dwType,(BYTE*)&keyData,&dwSize);//查看ServiceDll中描述的dll文件路径
		
        //查询服务加载的dll文件的路径、修改时间、数字签名等信息
		}
}

到了这里,关于【WIN】svchost与共享进程服务的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 通过注册表查看安装了哪些版本的.net Framework

    win键加r调出运行窗口,录入regedit回车打开注册表编辑器 其中HKLM为HKEY_LOCAL_MACHINE: 1.0 HKLMSoftwareMicrosoft.NETFrameworkPolicyv1.03705 Install REG_SZ 等于1 1.1 HKLMSoftwareMicrosoftNET Framework SetupNDPv1.1.4322 Install REG_DWORD 等于1 2.0 HKLMSoftwareMicrosoftNET Framework SetupNDPv2.0.50727 Install REG_DWORD 等

    2024年02月05日
    浏览(42)
  • 注册表查看历史WIFI信息_首次连接时间等信息

    首先搜一下注册表,并打开 随后打开这个地址 计算机HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionNetworkListProfiles 左边这一堆都是曾经连接过的WIFI信息,点一个进去看看,右侧有首次连接时间和最后一次连接的时间等信息。 这是小端存储,把他改为大端,再将其变为十

    2024年02月04日
    浏览(44)
  • Win11注册表编辑器误删了如何恢复?

    ​ 注册表编辑器是一个用来更改系统注册表设置的高级工具,与资源管理器的界面很类似。近期有用户将注册表编辑器误删了,那么应该如何恢复呢,下面小编就给大家分享一下详细的恢复方法。遇到同样问题的用户注意了。 更多重装系统教程尽在 小白系统重装官网 1、首

    2024年02月06日
    浏览(79)
  • win10系统电脑修改注册表设置自动锁屏时间

    描述:win10系统笔记本电脑修改注册表设置自动锁屏时间的方法 步骤:     win键+r,输入regedit进入注册表界面       注册表界面按照路径 直接复制粘贴到下面的输入框中HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem          空白处右键新建 DWORD(32位)值,命

    2024年02月11日
    浏览(37)
  • win10自带看图工具不见,修改注册表就出来了

    win10自带看图工具不见了 1.按Win+R打开运行,输入regedit打开注册表编辑器; win10自带看图工具不见了 最近有很多朋友遇到win10自带看图工具找不到了,怎么办?有的朋友发现win10自带的看图软件没了,有的人会去网上下载看图工具,其实我们并不需要,系统自带的看图工具我们

    2024年02月11日
    浏览(49)
  • 解决win10特殊符号乱码问题 显示方块、口。恢复系统字体注册表

    图片记录 系统:WIN10 LTSC U盘写入winpe 备份好的系统的字体 C:/Windows/Fonts(我是虚拟机中安装了windows系统,备份的) 进入winpe,删除原Fonts文件夹,复制刚备份的字体文件 1.备份好的系统的字体 C:/Windows/Fonts 2.打开该文件夹安装所有Segoe 的相关字体 删除此注册表,然后再导入备

    2024年02月11日
    浏览(80)
  • win10 IE自动跳转到EDGE的解决办法(注册表)

    最近微软强制打开IE自动跳转到EDGE,网上看了很多都说把“Internet选项——高级——启用第三方浏览器扩展”这个选项关闭后重启电脑,但每次重启完这个选项就自动勾上,无法解决。 后来发现注册表里面有个EDGE键值默认是1,改为0就可以生效,而且不用重启。 详情如下:

    2024年02月12日
    浏览(44)
  • 使用脚本,直接修改注册表的值---设置win10背景色(保护色)

    目录 ■修改注册表(手动) ■修改注册表(脚本化) ・修改 ・恢复 ■其他(注册表图片) === 前言,媳妇上班,不会修改win10系统背景色(她想弄成保护色),提供个脚本,一键修改。 └window ⇒207 232 204 └Window ⇒caeace ・修改 新建一个xxx.reg文件,把下面内容复制进去 ・恢

    2024年02月12日
    浏览(47)
  • 【运维】Windows 通过注册表禁用服务

    【运维】Windows 通过注册表禁用服务 以这个服务为例子 Windows Push Notifications User Service 双击查看服务名称 WpnUserService_671f3   打开注册表 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices{服务名称} HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWpnUserService_671f3 选中  将右侧的 Start 改为4  十六

    2024年02月12日
    浏览(35)
  • win10电脑开机绕过密码自动登录,微软官方提供修改注册表跳过登录设置方法

    有时候电脑异常重启,默认开机后由于必须登录导致很多开机启动项无法自动运行失去远程控制。 而且之前使用 netplwiz 用户账户设置自动登录的方法已经不能用了。 最新电脑自动登录设置方法: 计算机HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon 修改下面三个值

    2024年02月11日
    浏览(41)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包