Identifier les services associés au processus SVCHOST
Le par Raymond K.
- 1 - Page 1
- 2 - Page 2
Beaucoup de services identifiés comme étant critiques sont lancés par SVCHOST, voici un petit moyen de voir les associations entre ces services et les différentes instances du processus SVCHOST.
Systèmes d'exploitation supportés :
C'est un nom de processus hôte générique pour les services exécutésà partir de DLL. Vous n'avez pas compris ' :-) En français, ça donnececi :
Explication simple
C'est un processus Windows, au même titre que les autres processusvisibles dans le gestionnaire de tâches tels que "explorer.exe","services.exe" ou "winlogon.exe" mais avec la particularité d'êtregénérique, en effet, il fonctionne en tant qu'hôte pour tous les servicesexécutés à partir de DLL. Son nom est d'ailleurs assez parlant : svchost que l'on pourrait couper en deux, svc pour services et host pourhôte.
Explication détaillée
Le fichier svchost.exe se trouve dans le répertoire %SystemRoot%\System32. A chaque démarrage de Windows, le processus svchost.exe analyse la section "services"de la base de registre afin d'y construire une liste des services àcharger. Plusieurs instances de svchost.exe peuvent être démarrées etainsi cohabiter ensemble, chacune des ces instances peut contenir unservice unique ou un groupe de services.
Si vous êtes currieux, vous pouvez consulter ces groupes de services via la base de registre dans la branche :
HKEY_LOCAL_MACHINE
\Software\Microsoft\WindowsNT\CurrentVersion\Svchost
; "Image")
Chaques valeurs de la clé Svchost représente un groupe de services etpar conséquent une instance de svchost.exe, ces groupes apparaissentsous la forme d'instances distincteslorsque vous affichez les processus actifs, voirla capture d'écran ci-dessous :
; "Image")
Comme vous le constatez, ces instances ne donnent pas le détail précissur les services en cours d'éxecution, c'est plutôt frustrant.Heureusement qu'il y a un moyen simple de lister l'ensemble desservices éxecutés sous le processus svchost.exe, nous allons voir ça un peu plus loin.
Pour identifier les DLL utilisées par ces services, puisque ce sont desservices éxecutés à partir de DLL dont il s'agit, il suffit d'aller dans la branche :
HKEY_LOCAL_MACHINE
\System\CurrentControlSet\Services\[nom du service en question]\Parameters
; "Image")
Dans l'exemple ci-dessus, pour le service "Nla" vous verrez la DLL utilisée dans la valeur ServiceDll, en l'occurence ici il s'agit de la DLL mswsock.dll.
Voilà en gros ce qu'il y a à savoir sur svchost.exe. Bon, assez de blabla, passons à la suite...
../..
Complément d'information
-
Voici comme identifier les services installés par d'autres logiciels que le sytème d'exploitation.
Merci
http://www.sysinternals.com/ntw2k/f...cexp.shtml
C'est l'aventure
1- Je viens de tester l'astuce sur un portable livré avec XP.SP2 familial et la commande me renvoit un msg d'erreur "tasklist n'est pas reconnu en tant que commande interne etc..."
=>voir capture écran : http://img95.imageshack.us/img95/76...omeow3.png
(on peut voir aussi que la version n'est pas la même que sur votre capture... XP HOME' le "cd\" est une "vieille" habitude de l'époque DOS 6.2
2- Sysinternals.com - a été racheté par microsoft (ceci dit M. Russinovitch, l'auteur, est une pointure CHEZ microsoft ;-) et la bonne URL pour aller voir les outils (excellentissimes pour certains ; je pense à "rootkill revealer" par ex.) : http://www.microsoft.com/technet/sy...fault.mspx
voili-voiloum