注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

chunwaihome 的博客

 
 
 

日志

 
 

服務窗口和註冊表的關係  

2009-10-07 11:13:08|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

如果某天有MM服務窗口和註冊表的關係 - Y偉 - chunwaihome 的博客問你為什麼某軟件在進入系統時被自動載入了,他想刪除它但又找不到它的真實名稱,這時你會如何教他呢?

相信大家第一件會做的事是查攪開始-->啟動項目中有沒有所屬的名稱,可是有沒有發現,那到底怎麼辦呢?

當然這該不可以在MM面丟臉的服務窗口和註冊表的關係 - Y偉 - chunwaihome 的博客啦,唯有假冒去厠所找朋友求救吧!

而朋友亦不失所望,眾裏尋它,找到了答案,而朋友是誰,那是我囉服務窗口和註冊表的關係 - Y偉 - chunwaihome 的博客

 

我告訴他原來該安裝的軟件在"服務"欄中處於啟動的狀態,你可以在開始-->執行鍵入service.msc打開服務對話框窗口。

而其實你在裏面所顯示的名稱、描述和執行命令等一切都關係到註冊表[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]的部分。

例如Print Spooler在註冊表所顯示的項目 如圖一,另外有些項目還會在parameters的子項serviceDLL中顯示所調用DLL的鍵,其值為該服務調用的DLL的所在位置。一個服務可以調用一個DLL檔案,但有時候一個服務會調用多個DLL檔例如svchost。現在很多網上流行的木馬或病毒會偽裝系統DLL檔讓svchost來調用它,從而進入內存中運行、感染和控制電腦。那到底你電腦中的svchost有沒有被感染?

這時我看朋友的臉孔好像很不耐煩服務窗口和註冊表的關係 - Y偉 - chunwaihome 的博客,我心想不是想趕去MM那裏領功吧! 這時我固意為難他服務窗口和註冊表的關係 - Y偉 - chunwaihome 的博客

,告訴他學習不能只學表面的,要舉一反三才對呀,這時我叫他看註一


這是print spooler在註冊表中所顯示的欄目,而這些服務有甚麼作用,可看表二

 圖一

服務窗口和註冊表的關係 - Y偉 - chunwaihome 的博客

 

表二

 註冊表名稱  服務窗口名稱
 Description  描述
 DisplayName  名稱
   
   
   
   
   
   
   
表三列出註冊表和服務窗口的相對應的名稱和功能,而服務項目到底有否被啟動,是不會反應在註冊表中的,我嘗試用Active Registry Monitor來作啟動前後的比較,沒有發現在註冊表中作出任何改動。

那到底系統在什麼地方作出了修改,這個我也不知道。

表三

 服務

 用途

 telnet 啟用一個遠端使用者來登入到這台電腦和執行應用程式,以及支援各種 TCP/IP Telnet 用戶端,包含以 UNIX 為基本和以 Windows 為基本的電腦。
Secondary Logon 啟用在其他認證下的起始程序。如果這個服務被停止,這類的登入存取將無法使用。
Security Center  監視系統安全性設定值和組態。
 Smart Card  管理這個電腦所讀取智慧卡的存取。如果這個服務被停止,這個電腦將無法讀取智慧卡。
 Terminal Services  允許多位使用者互動連接到同一部電腦、桌面的顯示器及到遠端電腦的應用程式。遠端桌面的加強 (包含系統管理員的  RD)、快速切換使用者、遠端協助和終端機伺服器。
 Themes  提供使用者經驗主題管理。
 Windows Audio  管理用於 Windows 為主程式的音訊裝置。如果這個服務被停止,音訊裝置和效果將無法正常
 Windows Installer 新增、修改以及移除以 Windows Installer (*.msi) 封裝提供的應用程式。如果這個服務被停用,任何明確依存於它的服務將無法啟動。
Windows Firewall/Internet Connetction Sharing(ICS) 為您的家用網路或小型辦公室網路提供網路位址轉譯、定址及名稱解析服務和/或防止干擾的服務。
 Windows Image Acquisition(WIA)  為掃描器和數位相機提供影像擷取服務。
 Print Spooler  將檔案載入記憶體中以待稍後列印。
 Remote Access Connection Manager  建立網絡連線
Universal Plug and Play Device Host  提供主機通用隨插即用裝置的支援。
 Remote Registry  啟用遠端使用者修改這個電腦上的登錄設定。如果這個服務被停止,登錄只能由這個電腦上的使用者修改。
 Messenger  在用戶端及伺服器之間傳輸網路傳送及 [Alerter] 服務訊息。這個服務與 Windows Messenger 無關。如果停止這個服務,Alerter 訊息將不會被傳輸。
 Fast User Switching Compatibility  在多使用者環境下提供應用程式管理。
   
   
   

註一

正常情況下,windows中可以有多個svchost.exe進程同時運行,例如Windows2000至少有2個Svchost進程,WindowsXP中有4個以上,Windows2003中則有更多,所以當你看到多個svchost進程時,未必就是病毒!
如果你想瞭解每個SVCHOST進程當前到底提供了哪些系統服務,可以在命令提示符下輸入命令來查看。例如在WindowsXP中,打開「命令提示符」,鍵入tasklist/svc命令查看;在Windows2000中,則輸入「Tlist-S」命令來查看。

那到底svchost調用了那些dll檔案,你需要借助其他軟件例如system explorer來觀看,系統自帶的工作管理員是沒有這個功能的。而svchost正常調用的dll大多位置%windir%\system32目錄裏,如果某天你發現svchost調用的dll檔案位於其他位置,這時你很有機中木馬或病毒了。

  评论这张
 
阅读(477)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017