|
03.09.2005, 02:10
haklısın karıştırmışım sanırım windowsun aynı isimde kullandığı bir sistem dosyası var. bir araştırma yaptım belki işine yarayabilir..
Windows XP'deki Svchost.exe'nin Açıklaması
SUMMARY
Bu makalede Svchost.exe ve işlevleri açıklanmaktadır. Svchost.exe, dinamik bağlantı kitaplıklarından (DLL'ler) çalışan hizmetlere ilişkin genel bir ana bilgisayar işlemi adıdır.
MORE INFORMATION
Svchost.exe dosyası %SystemRoot%\System32 klasöründe bulunur. Başlangıçta, Svchost.exe yüklemesi gereken hizmetlerin listesini oluşturmak için kayıt defterinin hizmetler bölümünü denetler. Svchost.exe'nin birden çok örneği aynı anda çalışabilir. Her Svchost.exe oturumu bir hizmet grubu içerebilir, böylece Svchost.exe'nin nasıl ve nerede başlatıldığına bağlı olarak farklı hizmetler çalışabilir. Bu durum, daha iyi denetim ve daha kolay hata ayıklama olanağı sağlar.
Svchost.exe grupları aşağıdaki kayıt defteri anahtarında tanımlanır:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\Svchost
Bu anahtar altındaki her değer farklı bir Svchost grubunu temsil eder ve etkin işlemleri görüntülediğinizde farklı bir örnek olarak görüntülenir. Her değer bir REG_MULTI_SZ değeridir ve Svchost grubu altında çalışan hizmetleri içerir. Her Svchost grubu, Parametreler anahtarı bir ServiceDLL değeri içeren aşağıdaki kayıt defteri anahtarından ayıklanmış bir veya daha fazla hizmet adı içerebilir:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Hizmet
Svchost'ta çalışan hizmetlerin listesini görüntülemek için: 1. Windows görev çubuğunda Başlat'ı tıklatın ve sonra Çalıştır'ı tıklatın.
2. Aç kutusuna, CMD yazın ve ENTER tuşuna basın.
3. Tasklist /SVC yazın ve ENTER tuşuna basın.
Tasklist etkin işlemlerin listesini görüntüler. /SVC anahtarı her işlemdeki etkin hizmetlerin listesini görüntüler. Bir işlem hakkında daha fazla bilgi almak için, aşağıdaki komutu yazın ve ENTER tuşuna basın:
Tasklist /FI "PID eq işlemkimliği" (tırnak işaretleriyle birlikte)
Aşağıdaki Tasklist çıktısı örneği, çalışan iki Svchost.exe örneğini göstermektedir. Görüntü Adı PID Hizmetler
================================================== ======================
Sistem İşlemi 0 Yok
Sistem 8 Yok
Smss.exe 132 Yok
Csrss.exe 160 Yok
Winlogon.exe 180 Yok
Services.exe 208 AppMgmt,Browser,Dhcp,Dmserver,Dnscache,
Eventlog,LanmanServer,LanmanWorkstation,
LmHosts,Messenger,PlugPlay,ProtectedStorage,
Seclogon,TrkWks,W32Time,Wmi
Lsass.exe 220 Netlogon,PolicyAgent,SamSs
Svchost.exe 404 RpcSs
Spoolsv.exe 452 Spooler
Cisvc.exe 544 Cisvc
Svchost.exe 556 EventSystem,Netman,NtmsSvc,RasMan,
SENS,TapiSrv
Regsvc.exe 580 RemoteRegistry
Mstask.exe 596 Schedule
Snmp.exe 660 SNMP
Winmgmt.exe 728 WinMgmt
Explorer.exe 812 Yok
Cmd.exe 1300 Yok
Tasklist.exe 1144 Yok
Bu örneğe ilişkin iki grubun kayıt defteri ayarı aşağıdaki gibidir:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
Netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
RApcss :Reg_Multi_SZ: RpcSs
microsoft un sitesinden alıntıdır...
|
