svchost.exe в семействе операционных систем Microsoft Windows (2000, XP, Vista, Seven) — главный процесс (англ. Host process) для служб, загружаемых из динамических библиотек.

Использование единого процесса для работы нескольких сервисов позволяет существенно уменьшить затраты оперативной памяти и процессорного времени.

Алгоритм работы

Все копии svchost.exe запускаются системным процессом services.exe. Вызовы svchost.exe для сервисов указаны в ключе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\<Service> (где <Service> имя сервиса) в поле ImagePath; например, сервис ComputerBrowser (имя сервиса Browser) вызывается как %SystemRoot%\system32\svchost.exe -k netsvcs. При этом группировка процессов осуществляется на основании данных ветви реестра HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost, где каждый ключ соответствует имени группы, а значение ключа — списку (через пробел) имён сервисов относящихся к группе.

Вирусная активность

Некоторые компьютерные вирусы и трояны маскируются под имя svchost.exe, помещая исполняемый файл в отличный от system32 каталог, например, Net-Worm.Win32.Welchia.a, Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn ^[1]. Верным признаком наличия такого вируса является запущенный от имени пользователя «svchost.exe». Системный «svchost.exe» никогда не запускается от имени пользователя, а только от SYSTEM, LOCAL SERVICE или NETWORK SERVICE. Также системный «svchost.exe» запускается только посредством механизма системных сервисов, никогда — из раздела Run реестра (таким образом, он не должен присутствовать на вкладке Автозагрузка msconfig). Также возможно создание службы, использующей настоящий Svchost, но выполняющей вредные действия, например, так делает вирус Kido.

Примечания