จากคำถามที่ตั้งเป็นหัวข้อบทความในวันนี้ หลายๆคนคงจะเคยเจอหรือตั้งคำถามขึ้นกับตัวเองมาบ้างแล้ว วันนี้ผมจะมาไขความกระจ่างและอธิบายว่าเจ้า svchost.exe นี้ แท้จริงแล้วมันคืออะไร แล้วทำไมมันจึงกลายเป็นไวรัส, สปายแวร์ไปได้???
svchost.exe คืออะไร
?svchost.exe? หรือชื่อเต็มๆของมันคือ ?Generic Host Process for Win32 Services? ซึ่งเป็นส่วนของ System process อีกตัวหนึ่ง ในระบบปฏิบัติการ Windows เมื่อมันถูกสั่งให้รันหรือทำงานโดย Windows ผู้ใช้งานไม่สามารถทำการหยุด, terminate,end process หรือ re-start ได้ แต่ถ้าเราเผลอไป end proces มันแล้ววหล่ะก็ จะทำให้เครื่องของเราทำงานผิดพลาดได้ โดยเฉพาะในเรื่องของ Network แล้วหน้าที่ของมันหล่ะ เอาไว้ทำอะไร???
หน้าที่ของ svchost.exe
เจ้า ?svchost.exe? เมื่อมันถูกสั่งรันหรือให้ทำงาน มันจะทำหน้าที่ ก็คือ
จัดการหรือโหลดพวกไฟล์ 32bit-DLLs(dynamic-link libraries) ที่จำเป็นสำหรับ Windows และ Services อื่นๆ ซึ่งมีอยู่หลาย instance หลายกลุ่ม ตามแต่ command line parameter นั้นๆ อันได้แก่ background process ทั้งหลายที่ถูกรันอยู่หลังบ้าน เมื่อ Windows ทำงานแล้วนั่นเอง ซึ่งได้แก่
- กลุ่มที่ 1 DCOM Server Process Launcher และ Terminal Services
- กลุ่มที่ 2 Remote Procedure Call(RPC)
- กลุ่มที่ 3 Windows Audio, Background Intelligent Transfer Service, Computer Browser, Cryptographic Services, DHCP Client, Logical Disk Manager, Error Reporting Service, COM+ Event System, Server,? Workstation, Network Connections, network Location Awareness, Remote Access Connection Manager, Telephony, Themes, Windows Time ฯลฯ
- กลุ่มที่ 4 DNS Client
- กลุ่มที่ 5 TCP/IP NetBIOS Helper, Remote Registry, SSDP Discovery Service และ WebClient
โดย DLLs แต่ละตัวที่ใช้เรียกนั้นจะอยู่ที่ ?%windir%\System32? หรือทั่วๆไป ก็คือ ?C:\Windows\System32? ทั้งนี้ถ้าต้องการดูรายละเอียดของชื่อ process และ DLLs ที่ถูกเรียกโหลดขึ้นมาใช้งาน ดังที่กล่าวไปแล้วนี้ สามารถใช้โปรแกรม Process Explorer เรียกและตรวจสอบดูได้ครับ
ตำแหน่งที่อยู่ของ svchost.exe
โดยทั่วไปแล้ว เจ้า ?svchost.exe? จะอยู่ที่ ?%windir%\System32? หรือทั่วๆไป ก็คือ ?C:\Windows\System32? เช่นเดียวกับไฟล์ DLLs ที่ถูกเรียกโหลดขึ้นมาใช้งานนั่นแหล่ะครับ ถ้าอยู่ในตำแหน่งที่อยู่ที่นอกเหนือจากนี้ ให้สันนิฐานไว้เลยว่ามันคือ ไวรัส, สปายแวร์, โทรจัน หรือเวิร์มนั่นเองครับ ซึ่งสามารถใช้โปรแกรม Security Task Manager (ฟรี) ตรวจสอบได้ หรือจะใช้ช้โปรแกรม Process Explorer เรียกและตรวจสอบก็ได้เช่นเดียวกัน ซึ่งจะทำให้เรารู้ที่มาของไฟล์และ Process ที่รันอยู่ ทำให้เราสามารถกำจัดต้นตอมันได้นั่นเองครับ
ซึ่งไวรัสที่มีชื่อคล้ายๆกับ เจ้า ?svchost.exe? ขอยกตัวอย่าง เช่น
- Symantec Security Response - W32.Welchia.Worm
- Symantec Security Response - W32.Assarm@mm
- McAfee - W32/Jeefo
- หรือ ไฟล์เหล่านี้ ที่พยามยามสร้างให้เหมือนเจ้า ?svchost.exe? ได้แก่
- SCVHOST.exe คือ Gaobot viruses
- Svch0st.exe คือ Backdoor.Graybird viruses
- Svchos1.exe คือ W32.HLLW.Gaobot.DK virus
- Svchost32.exe คือ Backdoor.IRC.Zcrew, W32.HLLW.Deborms.C, W32.Mimail.J@mm, or the W32.Paylap.@mm
- Svhost.exe คือ Backdoor.Socksbot, Bat.Boohoo.Worm, W32.Bolgi.Worm
รายละเอียดเพิ่มเติมเกี่ยวกับ svchost.exe
เป็นยังไงกันบ้างครับ พอที่จะทราบรายละเอียดเกี่ยวกับเจ้า ?svchost.exe? มากขึ้นหรือยังครับ วันหน้าจะเขียนบทความเกี่ยวกับ svchost.exe CPU 100% และวิธีการแก้ไขปัญหามาให้ได้อ่านกันนะครับ วันนี้ขอตัวก่อนหล่ะครับ
ที่มา : http://webmonster.sapaan.net
Technorati Tags: svchost, meaning
ส่งเรื่องนี้ให้เพื่อน หรือบุ๊คมาร์ค
(
Loading ...Tags: meaning, svchost, svchost.exe, ความหมาย, คือ, ได้แก่
