Не секрет, что многие вирусные и троянские программы прячутся, маскируя свои действия в системе под действия нормальных системных процессов.
Для того чтобы различать “мух от котлет”, необходимо знать, для какой цели запускается в системе тот или иной системный процесс и самое главное – обоснованно ли он загружается в память и производит какие-либо действия.
Начнём с “наболевшего” – SVCHOST.EXE
Очень часто у пользователей WindowsXP возникает вопрос – что это за программа svchost.exe, наблюдаемая ими в списке запущенных процессов? Первоначально вызывает недоумение – почему она загружена 2-3-4-5-… раз?, нужное подчеркнуть…
При более детальном изучении списка процессов видно, что процесс svchost.exe запущен несколько раз, с разными PID (идентификатор процесса) и разными объёмами оперативной памяти, выделяемыми системой под каждый процесс.
На самом деле – это никакой не вирус и не троян – SVCHOST.EXE (Generic Host Process for Win32 Services) вполне «законна». Это приём извлечения и запуска разнообразных системных сервисов из различных DLL. Каждый раз при запуске определённой службы вызывается svchost.exe с различными параметрами, что и позволяет управлять запуском различных служб унифицированным методом.
Управлять загрузкой сервисов можно через вкладку Панель Управления – Администрирование – Сервисы.
Вот список сервисов (служб), запускаемых с помощью svchost.exe:
| Русское название сужбы | Английское название сужбы | Описание |
| Оповещатель | Alerter | Посылает выбранным пользователям и компьютерам административные оповещения |
| Управление приложениями | Application Management | Обеспечивает службы установки программного обеспечения, такие, как назначение, публикация и удаление |
| Система событий COM+ | COM+ Event System | Поддержка службы уведомления о системных событиях (SENS), обеспечивающей автоматическое распространение событий подписавшимся компонентам COM |
| Обозреватель компьютеров | Computer Browser | Обслуживает список компьютеров в сети и выдает его программам по запросу |
| Сервер | Server | Обеспечивает поддержку общего доступа к файлам, принтерам и именованным каналам для данного компьютера через сетевое подключение |
| DHCP-клиент | DHCP Client | Управляет конфигурацией сети посредством регистрации и обновления IP-адресов и DNS-имен |
| Клиент отслеживания изменившихся связей | Distributed Link Tracking Client | Поддерживает связи NTFS-файлов, перемещаемых в пределах компьютера или между компьютерами в домене |
| DNS-клиент | DNS Client | Разрешает для данного компьютера DNS-имена в адреса и помещает их в кэш |
| Диспетчер логических дисков | Logical Disk Manager | Обнаружение и наблюдение за новыми жесткими дисками и передача информации о томах жестких дисков службе управления диспетчера логических дисков |
| Служба сообщений | Messenger | Посылает и получает сообщения, переданные администраторами или службой оповещений |
| Диспетчер авто-подключений удаленного доступа | Remote Access Auto Connection Manager | Создает подключение к удаленной сети, когда программа обращается к удаленному DNS- или NetBIOS- имени или адресу |
| Удаленный вызов процедур (RPC) | Remote Procedure Call (RPC) | Обеспечивает сопоставление конечных точек и иных служб RPC |
| Диспетчер подключений удаленного доступа | Remote Access Connection Manager | Создает сетевое подключение |
| Удаленный реестр | Remote Registry Service | Позволяет удаленным пользователям изменять параметры реестра на этом компьютере |
| Удаленный реестр | Remote Registry Service | Позволяет удаленным пользователям изменять параметры реестра на этом компьютере |
| Съемные ЗУ | Removable Storage | Обеспечивает корректное распознавание и подключение съемных ОЗУ |
| Маршрутизация и удаленный доступ | Routing & Remote Access | Предлагает услуги маршрутизации организациям в локальной и глобальной сетях |
| Уведомление о системных событиях | System Event Notification | Протоколирует системные события, такие как регистрация в Windows, в сети и изменения в подаче электропитания |
| Планировщик заданий | Task Scheduler | Позволяет настраивать расписание автоматического выполнения задач на этом компьютере |
| Телефония | Telephony | Обеспечивает поддержку Telephony API (TAPI) для программ, управляющих телефонным оборудованием и голосовыми IP-подключениями на этом компьютере, а также через ЛВС – на серверах, где запущена соответствующая служба |
| Служба времени Windows | Windows Time | Управляет синхронизацией даты и времени на всех клиентах и серверах в сети |
