Xác định Service nào đang chạy dưới một SVCHOST.EXE process

Có khá nhiều câu hỏi liên quan đến svchost.exe. Ví dụ như tại sao svchost.exe lại chiếm 100% CPU? Có thể kill svchost.exe đi được không? Tất cả các câu hỏi này đều liên quan đến hiểu biết về svchost.exe. Khi có được những thông tin về svchost.exe trong bài viết dưới đây, bạn dễ dàng xử lý được các tình huống trên.Service là những chương trình Windows mà bắt đầu khi nạp Windows và tiếp tục chạy ở mức nền (background) của hệ điều hành và không có sự tương tác từ phía người dùng. Với những người quen...
Nội dung trích xuất từ tài liệu:
Xác định Service nào đang chạy dưới một SVCHOST.EXE process Xác định Service nào đang chạy dưới một SVCHOST.EXE process Có khá nhiều câu hỏi liên quan đến svchost.exe. Ví dụ như tại sao svchost.exe lại chiếm 100% CPU? Có thể kill svchost.exe đi được không? Tất cả các câu hỏi này đều liên quan đến hiểu biết về svchost.exe. Khi có được những thông tin về svchost.exe trong bài viết dưới đây, bạn dễ dàng xử lý được các tình huống trên. Service là những chương trình Windows mà bắt đầu khi nạp Windowsvà tiếp tục chạy ở mức nền (background) của hệ điều hành và không có sự tương tác từ phía ngườidùng. Với những người quen *nix, service trên Windows tương tự như daemon trên *.nix.Phần lớn các service trên Windows là dạng exe, tuy nhiên cũng có một vài service dạng dll. Windowskhông có cách thực hiện file dll trực tiếp, mà thông qua một chương trình đóng vai trò launch các dll này.Cụ thể, Windows sử dụng SVCHOST.EXE để launch các service dll, nó còn được gọi là Generic HostProcess for Win32 Services. Mỗi SVCHOST process có thể quản lý một hoặc nhiều Service DLL khácnhau.Dưới đây là 02 phương pháp để xem một svchost.exe process kiểm soát máy tính của bạn1. Xác định service nào chạy dưới svchost.exe process bằng Process ExplorerProcess Explorer là một chương trình quản lý process, cho phép thấy được những process đang chạytrên Windows và đưa ra thông tin cho mỗi process. Một tính năng của Process Explorer là cho phép đưara các service và svchost.exe điều khiển.Process Explorer là một công cụ miễn phí nằm trong gói công cụ của hãng Sysinternal. Hiện gói cáccông cụ này được MS mua lại. Tham khảo về Process Explorer và download theo link dưới:http://www.microsoft.com/technet/sysinternals/Utilities/ProcessExplorer.mspxSau khi download Process Explorer, chạy, giao diện như Hình 1 Giao diện Process ExplorerTrên Hình 1, cuộn danh sách các process để tìm các svchost.exe process. Để xem những service nàođang chạy trong svchost.exe nào, nhắp đúp vào svchost.exe đó. Trong ví dụ ở hình 1, svchost.exe cóPID = 656 có 2 service là rapimgr.exe và Dot1XCfg.exe (Chú ý rằng các svchost.exe sẽ được phân biệtbằng PID).Để chi tiết về một svchost.exe, nhắp đúp vào svchost.exe đó, sẽ xuất hiện hộp thoại svchost.exeProperties như Hình 2. svchost.exe properties - tab ServicesTrên svchost.exe Properties, chọn tab Services. Sẽ xuất hiện danh sách các service chạy bên dướisvchost.exe. Có thể kiểm tra chi tiết về các file này. Như vậy với phương pháp trên sẽ xác định đượcservice nào đang chạy trong svchost.exe nào.2. Xác định service chạy dưới svchost.exe process bằng lệnh tasklistTrên Windows XP Pro và Windows 2003 có công cụ là tasklist.exe. Công cụ này cho phép liệt kê nhữngprocess, service đang chạy trên Windows.Để chạy tasklist.exe, chạy cửa sổ Terminal, sau đó gõ lệnh. Ví dụ thực hiện lệnh sau: tasklist /svc /fi imagename eq svchost.exe (1) TaskListTrên Hình 3 là việc thực hiện câu lệnh (1). Nhận thấy rằng svchost.exe có PID = 656, đang chạy 02Service là DcomLaunch và TermService.3. Thông tin nâng cao về svchost.exeBây giờ chúng ta đã biết một svchost.exe process có thể nạp và quản lý nhiều service. Tuy nhiên nhữngservice nào lại được ghép thành một nhóm để cùng chạy dưới một svchost.exe? Những nhóm này đượcđịnh nghĩa bởi việc thiết lập trong Windows Registry key sau:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSVCHOST HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSVCHOSTTrên Hình 4 là Registry, mục svchost. ở cột bên phải, chú ý rằng với mỗi nhóm có giá trị REG_MULTI_SZlà danh sách các tên Service. DcomLaunchBảng dưới đây sẽ mô tả chi tiết các Group Name và các Service trong từng Group đó. Services in the groupMỗi Service Name trong Group tương ứng với một mục trong Windows Registry:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServic esDưới mỗi mục của từng service trong Windows Registry trên có subkey là Parameters có chứa mộtServiceDLL có giá trị trỏ đến file dll tương ứng của service đó (xem hình 7). HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServic esKhi Windows nạp, nó start các service mà đã enable. Một số service được start bằng cách sử dụng lệnhsvchost.exe. Khi Windows launch các service kiểu này, sẽ kiểm tra xem có svchost.exe nào đang quản lýservice trong nhóm không, nếu không có, Windows sẽ chạy một svchost.exe mới. Tham khảo một lệnhsau: C:WINDOWSsystem32svchost.exe -k Dc ...