Svchost.exe

svchost.exe в сімействі операційних систем Windows (2000, XP, Vista, Seven, Windows 8, Windows 10) — головний процес (англ. Host process) для служб, що завантажуються з динамічних бібліотек .

Використання єдиного процесу для роботи декількох сервісів дозволяє істотно зменшити витрати оперативної пам'яті і процесорного часу.

Алгоритм роботи

Всі копії svchost.exe запускаються системним процесом services.exe . Виклики svchost.exe для служб вказані в ключі реєстру HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\<Service> (де <Service> – ім'я сервісу) в полі ImagePath; наприклад, служба ComputerBrowser (ім'я служби Browser) викликається як %SystemRoot%\system32\svchost.exe -k netsvcs. При цьому груповання процесів здійснюється на підставі даних гілки реєстру HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost, де кожний ключ відповідає імені групи, а значення ключа - списку (через пробіл) імен служб, пов'язаних з групою.

Вірусна активність

Деякі комп'ютерні віруси і трояни маскуються, використовуючи ім'я svchost.exe і розміщуючи файл в відмінний від system32 каталог, наприклад, Net-Worm.Win32.Welchia.a, Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn. Системний «svchost.exe» запускається тільки за допомогою механізму системних служб, ніколи - з розділу Run реєстру (таким чином, він не повинен бути присутнім на вкладці Автозапуск msconfig). Також можливе створення служби, що використовує справжній Svchost, але виконує шкідливі дії, наприклад, так робить вірус Kido .

Джерела

• Опис svchost в:
  • Windows XP Pro [1] [Архівовано 5 серпня 2014 у Wayback Machine.]
  • Windows 2000 [2] [Архівовано 22 вересня 2014 у Wayback Machine.]
• Опис змін в ядрі Windows XP (у порівнянні з windows 2000) [3]