svchost.exe คืออะไร แล้วมันเป็นไวรัส,สปายแวร์เหรอ???
จากคำถามที่ตั้งเป็นหัวข้อบทความในวันนี้ หลายๆคนคงจะเคยเจอหรือตั้งคำถามขึ้นกับตัวเองมาบ้างแล้ว วันนี้ผมจะมาไขความกระจ่างและอธิบายว่าเจ้า svchost.exe นี้ แท้จริงแล้วมันคืออะไร แล้วทำไมมันจึงกลายเป็นไวรัส, สปายแวร์ไปได้???
svchost.exe คืออะไร
“svchost.exe” หรือชื่อเต็มๆของมันคือ “Generic Host Process for Win32 Services” ซึ่งเป็นส่วนของ System process อีกตัวหนึ่ง ในระบบปฏิบัติการ Windows เมื่อมันถูกสั่งให้รันหรือทำงานโดย Windows ผู้ใช้งานไม่สามารถทำการหยุด, terminate,end process หรือ re-start ได้ แต่ถ้าเราเผลอไป end proces มันแล้ววหล่ะก็ จะทำให้เครื่องของเราทำงานผิดพลาดได้ โดยเฉพาะในเรื่องของ Network แล้วหน้าที่ของมันหล่ะ เอาไว้ทำอะไร???
หน้าที่ของ svchost.exe
เจ้า “svchost.exe” เมื่อมันถูกสั่งรันหรือให้ทำงาน มันจะทำหน้าที่ ก็คือ
จัดการหรือโหลดพวกไฟล์ 32bit-DLLs(dynamic-link libraries) ที่จำเป็นสำหรับ Windows และ Services อื่นๆ ซึ่งมีอยู่หลาย instance หลายกลุ่ม ตามแต่ command line parameter นั้นๆ อันได้แก่ background process ทั้งหลายที่ถูกรันอยู่หลังบ้าน เมื่อ Windows ทำงานแล้วนั่นเอง ซึ่งได้แก่
- กลุ่มที่ 1 DCOM Server Process Launcher และ Terminal Services
- กลุ่มที่ 2 Remote Procedure Call(RPC)
- กลุ่มที่ 3 Windows Audio, Background Intelligent Transfer Service, Computer Browser, Cryptographic Services, DHCP Client, Logical Disk Manager, Error Reporting Service, COM+ Event System, Server, Workstation, Network Connections, network Location Awareness, Remote Access Connection Manager, Telephony, Themes, Windows Time ฯลฯ
- กลุ่มที่ 4 DNS Client
- กลุ่มที่ 5 TCP/IP NetBIOS Helper, Remote Registry, SSDP Discovery Service และ WebClient
โดย DLLs แต่ละตัวที่ใช้เรียกนั้นจะอยู่ที่ “%windir%\System32″ หรือทั่วๆไป ก็คือ “C:\Windows\System32″ ทั้งนี้ถ้าต้องการดูรายละเอียดของชื่อ process และ DLLs ที่ถูกเรียกโหลดขึ้นมาใช้งาน ดังที่กล่าวไปแล้วนี้ สามารถใช้โปรแกรม Process Explorer เรียกและตรวจสอบดูได้ครับ
ตำแหน่งที่อยู่ของ svchost.exe
โดยทั่วไปแล้ว เจ้า “svchost.exe” จะอยู่ที่ “%windir%\System32″ หรือทั่วๆไป ก็คือ “C:\Windows\System32″ เช่นเดียวกับไฟล์ DLLs ที่ถูกเรียกโหลดขึ้นมาใช้งานนั่นแหล่ะครับ ถ้าอยู่ในตำแหน่งที่อยู่ที่นอกเหนือจากนี้ ให้สันนิฐานไว้เลยว่ามันคือ ไวรัส, สปายแวร์, โทรจัน หรือเวิร์มนั่นเองครับ ซึ่งสามารถใช้โปรแกรม Security Task Manager (ฟรี) ตรวจสอบได้ หรือจะใช้ช้โปรแกรม Process Explorer เรียกและตรวจสอบก็ได้เช่นเดียวกัน ซึ่งจะทำให้เรารู้ที่มาของไฟล์และ Process ที่รันอยู่ ทำให้เราสามารถกำจัดต้นตอมันได้นั่นเองครับ
ซึ่งไวรัสที่มีชื่อคล้ายๆกับ เจ้า “svchost.exe” ขอยกตัวอย่าง เช่น
- Symantec Security Response – W32.Welchia.Worm
- Symantec Security Response – W32.Assarm@mm
- McAfee – W32/Jeefo
- หรือ ไฟล์เหล่านี้ ที่พยามยามสร้างให้เหมือนเจ้า “svchost.exe” ได้แก่
- SCVHOST.exe คือ Gaobot viruses
- Svch0st.exe คือ Backdoor.Graybird viruses
- Svchos1.exe คือ W32.HLLW.Gaobot.DK virus
- Svchost32.exe คือ Backdoor.IRC.Zcrew, W32.HLLW.Deborms.C, W32.Mimail.J@mm, or the W32.Paylap.@mm
- Svhost.exe คือ Backdoor.Socksbot, Bat.Boohoo.Worm, W32.Bolgi.Worm
รายละเอียดเพิ่มเติมเกี่ยวกับ svchost.exe
เป็นยังไงกันบ้างครับ พอที่จะทราบรายละเอียดเกี่ยวกับเจ้า “svchost.exe” มากขึ้นหรือยังครับ วันหน้าจะเขียนบทความเกี่ยวกับ svchost.exe CPU 100% และวิธีการแก้ไขปัญหามาให้ได้อ่านกันนะครับ วันนี้ขอตัวก่อนหล่ะครับ :)
Popularity: 4% [?]
Similar Posts
- explorer.exe Windows process คืออะไรกันแน่ !!!
- Sysinternals Process Explorer สุดยอดเครื่องมือ ยูทิลิตี้จัดการ Windows Process
- Patch Update จาก Microsoft ตัวแก้และป้องกันปัญหา Generic Host Process for Win32 Services has encountered a problem
- Windows XP Tips : ซ่อนเครื่องคอมพิวเตอร์ของคุณให้หายไปจากเครือข่าย Network
- วิธีกำจัดไวรัส ลบไวรัสWorm.Lsas.Blaster.Keyloger
(2 votes, average: 5.00 out of 5)
Loading ...
Print This Post
This entry was posted on Saturday, July 12th, 2008 at 7:54 pm and is filed under windows xp tips & tricks. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.
เก็บเข้า Bookmark!
admin August 7th, 2008 at 11:39 pm
Thank you :) adminอ้างถึง(Quote)