Title: O Processo svchost.exe
Post by: Ðark$pawn on 29 de April , 2006, 06:28:07 PM
Post by: Ðark$pawn on 29 de April , 2006, 06:28:07 PM
O Processo svchost.exe
O svchost.exe é um serviço capaz de hospedar outros serviços. Basicamente ele roda vários processos (um 'grupo'), porém só um nome aparecerá listado. Ele pode, por outro lado, carregar vários grupos, o que resultará em vários svchost.exe na lista de processos, o que é um caso extremamente comum.
Nos serviços (services.msc) se você encontrar algum serviço que se inicia através do arquivo svchost.exe, você pode verificar o 'Nome do serviço' (que é diferente do 'Nome para exibição'). Para verificar o verdadeiro arquivo carregado pelo svchost, você precisa ir até a seguinte chave no registro (//http://linhadefensiva.uol.com.br/docs/regedit/).
[HKLM\SYSTEM\CurrentControlSet\Services\{nome_do_serviço}\Parameters]
"ServiceDll"
Onde {nome_do_serviço} é o nome que você viu no Services.msc.
Nessa screenshot (//http://linhadefensiva.uol.com.br/imagens/docs/svchost/1.png) vemos a verificação do arquivo carregado pelo svchost.exe quando o serviço do Windows "Chama de Procedimento Remoto" for iniciado. Note que este serviço é crucial para o Windows e você não deve tentar removê-lo. Trojans podem utilizar o svchost.exe da mesma forma (e alguns dos piores fazem isso), porém é necessário esta verificação manual na chave para sabermos qual o verdadeiro culpado, já que o svchost.exe é um arquivo de sistema e não pode ser apagado. Se você encontrar um serviço ruim, utilize a opção "Delete NT Service" do HijackThis (//http://linhadefensiva.uol.com.br/docs/hijackthis/) e coloque o "Nome do Serviço" para apagá-lo.
Outras formas para obter o nome do serviço
No Windows XP é possível descobrir todos os serviços que o svchost.exe roda através do comando tasklist /svc.
Nessa outra screenshot (//http://linhadefensiva.uol.com.br/imagens/docs/svchost/2.png) podemos ver o tasklist em execução. Ao lado do svchost.exe vemos todos os serviços que ele está rodando. Para saber quais os arquivos que se referem a cada um dos serviços é necessário utilizar o método via registro descrito acima.
Outras cópias do arquivo
Note que existem cópias falsas do svchost.exe. A verdadeira que será usada pelo Windows fica na pasta System32.
Mas você pode ter outras cópias legítimas do svchost.exe no sistema. Quando você instala um Service Pack, por exemplo, o Windows faz backup do svchost.exe. Dessa forma, você teria um svchost.exe nas seguintes pastas:
C:\WINDOWS\system32\svchost.exe
Cópia do svchost.exe real utilizada pelo sistema
C:\WINDOWS\$NtServicePackUninstall$\svchost.exe
Backup do Service Pack
C:\WINDOWS\ServicePackFiles\i386\svchost.exe
Cópia temporária da instalação do Service Pack
C:\WINNT\system32\dllcache\svchost.exe
Cópia de segurança do svchost caso algo acontença com o verdadeiro
Todos estes svchost.exe são legítimos. Os falsos são geralmente encontrados na pasta Windows ou na pasta System (e não System32). Na dúvida, utilize seu antivírus para scanear o arquivo e veja as propriedades do arquivo ou procure ajuda, mas não apague o arquivo sem ter certeza de que ele é malicioso.
Fonte: http://linhadefensiva.uol.com.br/docs/svchost/ (http://linhadefensiva.uol.com.br/docs/svchost/)
Por Altieres Rohr em 31/03/2005
By: DarkSpawn
O svchost.exe é um serviço capaz de hospedar outros serviços. Basicamente ele roda vários processos (um 'grupo'), porém só um nome aparecerá listado. Ele pode, por outro lado, carregar vários grupos, o que resultará em vários svchost.exe na lista de processos, o que é um caso extremamente comum.
Nos serviços (services.msc) se você encontrar algum serviço que se inicia através do arquivo svchost.exe, você pode verificar o 'Nome do serviço' (que é diferente do 'Nome para exibição'). Para verificar o verdadeiro arquivo carregado pelo svchost, você precisa ir até a seguinte chave no registro (//http://linhadefensiva.uol.com.br/docs/regedit/).
[HKLM\SYSTEM\CurrentControlSet\Services\{nome_do_serviço}\Parameters]
"ServiceDll"
Onde {nome_do_serviço} é o nome que você viu no Services.msc.
Nessa screenshot (//http://linhadefensiva.uol.com.br/imagens/docs/svchost/1.png) vemos a verificação do arquivo carregado pelo svchost.exe quando o serviço do Windows "Chama de Procedimento Remoto" for iniciado. Note que este serviço é crucial para o Windows e você não deve tentar removê-lo. Trojans podem utilizar o svchost.exe da mesma forma (e alguns dos piores fazem isso), porém é necessário esta verificação manual na chave para sabermos qual o verdadeiro culpado, já que o svchost.exe é um arquivo de sistema e não pode ser apagado. Se você encontrar um serviço ruim, utilize a opção "Delete NT Service" do HijackThis (//http://linhadefensiva.uol.com.br/docs/hijackthis/) e coloque o "Nome do Serviço" para apagá-lo.
Outras formas para obter o nome do serviço
No Windows XP é possível descobrir todos os serviços que o svchost.exe roda através do comando tasklist /svc.
Nessa outra screenshot (//http://linhadefensiva.uol.com.br/imagens/docs/svchost/2.png) podemos ver o tasklist em execução. Ao lado do svchost.exe vemos todos os serviços que ele está rodando. Para saber quais os arquivos que se referem a cada um dos serviços é necessário utilizar o método via registro descrito acima.
Outras cópias do arquivo
Note que existem cópias falsas do svchost.exe. A verdadeira que será usada pelo Windows fica na pasta System32.
Mas você pode ter outras cópias legítimas do svchost.exe no sistema. Quando você instala um Service Pack, por exemplo, o Windows faz backup do svchost.exe. Dessa forma, você teria um svchost.exe nas seguintes pastas:
C:\WINDOWS\system32\svchost.exe
Cópia do svchost.exe real utilizada pelo sistema
C:\WINDOWS\$NtServicePackUninstall$\svchost.exe
Backup do Service Pack
C:\WINDOWS\ServicePackFiles\i386\svchost.exe
Cópia temporária da instalação do Service Pack
C:\WINNT\system32\dllcache\svchost.exe
Cópia de segurança do svchost caso algo acontença com o verdadeiro
Todos estes svchost.exe são legítimos. Os falsos são geralmente encontrados na pasta Windows ou na pasta System (e não System32). Na dúvida, utilize seu antivírus para scanear o arquivo e veja as propriedades do arquivo ou procure ajuda, mas não apague o arquivo sem ter certeza de que ele é malicioso.
Fonte: http://linhadefensiva.uol.com.br/docs/svchost/ (http://linhadefensiva.uol.com.br/docs/svchost/)
Por Altieres Rohr em 31/03/2005
By: DarkSpawn
Title: Re: O Processo svchost.exe
Post by: whit3_sh4rk on 30 de April , 2006, 09:22:21 PM
Post by: whit3_sh4rk on 30 de April , 2006, 09:22:21 PM
Legal héin cara
O linha defensiva é um site bem interessante mesmo, tem um material bom lá..
Muitos criadores de RATs e outras "pragas" virtuais se aproveitam mto do svchost, pelo fato de rodar um grupo dele, tipw, ae é só criar um arquivo svchost e rodá-lo que já confunde mtos.. Mas o que realmente engana é rodá-lo como arquivo de sistema, aí sim fica complicado saber qual é qual..
[]s
O linha defensiva é um site bem interessante mesmo, tem um material bom lá..
Muitos criadores de RATs e outras "pragas" virtuais se aproveitam mto do svchost, pelo fato de rodar um grupo dele, tipw, ae é só criar um arquivo svchost e rodá-lo que já confunde mtos.. Mas o que realmente engana é rodá-lo como arquivo de sistema, aí sim fica complicado saber qual é qual..
[]s
Title: Re: O Processo svchost.exe
Post by: anakim on 30 de April , 2006, 10:01:21 PM
Post by: anakim on 30 de April , 2006, 10:01:21 PM
bom post, realmente muitos desconhecem disso e acabam nao conseguindo identificar o que esta havendo, com esse post vc esta esclarecendo duvidas de muitos usuarios, parabens!!!, flws.
Title: Re: O Processo svchost.exe
Post by: Shady on 30 de April , 2006, 10:15:27 PM
Post by: Shady on 30 de April , 2006, 10:15:27 PM
Muito bom. Ponto!
Title: Re: O Processo svchost.exe
Post by: rodweb on 02 de May , 2006, 05:26:04 PM
Post by: rodweb on 02 de May , 2006, 05:26:04 PM
muito bom post, isso vai ajuda mta gente
Title: Re: O Processo svchost.exe
Post by: Emilly Rose on 24 de May , 2006, 08:41:13 PM
Post by: Emilly Rose on 24 de May , 2006, 08:41:13 PM
Um tempo atrás eu estava procurando saber sobre este processo, cujo 'come' muita memória..
Bom material;
//Emily
Bom material;
//Emily
Title: Re: O Processo svchost.exe
Post by: Symersky on 24 de May , 2006, 08:41:34 PM
Post by: Symersky on 24 de May , 2006, 08:41:34 PM
Show o post 