识别病毒木马隐匿之术--svchost.exe分析

    一、svchost.exe
    由于系统服务是以动态链接库(DLL)形式实现的，它们把可执行程序指向scvhost，由cvhost调用相应服务的动态链接库来启动服务。病毒常以此进程文件伪装的有svch0st.exe、schvost.exe、scvhost.exe等，一个字符大小写的变化，即可以生存多种形态。

    系统调用查看：这里可以依次打开“控制面板”→“管理工具”→服务，双击其中“ClipBook”服务，在其属性面板中可以发现对应的可执行文件路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”服务，可以发现其可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k LocalService”，而“Server”服务的可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k netsvcs”。（图一）

    当svchost.exe的可执行文件路径位于C:\WINDOWS\system32目录外，那么就可以判定是病毒伪装。

    系统进程线数：Windows2000系统中一般存在2个svchost.exe进程，一个是RPCSS(RemoteProcedureCall)服务进程，另外一个则是由很多服务共享的一个svchost.exe；WindowsXP中，则一般有4到五个svchost.exe服务进程。如果svchost.exe进程的数量多于5个，此时用户就要小心了，很可能是病毒假冒的。