Svchost原理 Svchost本身只是作为服务宿主,并不实现任何服务功能,需要Svchost启动的服务以动态链接库形式实现,在安装这些服务时,把服务的可执行程序指向svchost,...启动这些服务时由svchost调用相应服务的动态链接库来启动服务。...既然这些服务是使用共享进程方式由svchost启动的,为什么系统中会有多个svchost进程呢?...ms把这些服务分为几组,同组服务共享一个svchost进程,不同组服务使用多个svchost进程,组的区别是由服务的可执行程序后边的参数决定的。...在启动一个svchost.exe负责的服务时,服务管理器如果遇到可执行程序内容ImagePath已经存在于服务管理器的映象库中,就不在启动第2个进程svchost,而是直接启动服务。
这个win7的svchost.exe很占内存的,如图: 解决方法: 1 调出任务管理器,找到服务这一栏,点击右下角服务: 2 找到windows update项,右键 - 属性 - 设为禁用:
图1.冒充客户投诉钓鱼邮件示例(恶意链接指向托管在Google Docs上的诱饵文档) 在发送钓鱼邮件时,攻击者使用了Sendgrid(一个电子邮件服务平台,可以帮助发件人跟踪他们的电子邮件统计数据。)...图5.BazarBackdoor加载程序 “无文件”后门 在收件人启动下载的文件后,加载程序首先会休眠一段时间,然后才会连接到命令和控制(C2)服务器以下载后门有效载荷。...图7.XOR加密的有效载荷 最终,有效载荷将以无文件的形式注入“C:\Windows\system32\svchost.exe”进程。...图8.将后门注入svchost.exe 由于Windows任务管理中时刻都运行着大量的svchost.exe进程,因此大多数用户都不太可能会注意到什么时候多出了一个这样的进程,进而也就不会注意到后门的存在...此外,加载程序还被配置为在用户登录Windows时启动,这将允许后门的新版本被下载以及注入svchost.exe进程。 ?
1、点击[此电脑] 2、点击[管理] 3、点击[服务和应用程序] 4、点击[服务] 5、点击[Background Intelligent Transfer Service] 6、点击[自动
Start2.0.exe/Start4.0.exe运行之后会遍历系统服务,如果不存在名为“SDRSVC_93c83”的服务或该服务没有正在运行则启动相应目录下的svchost.exe。...检测SDRSVC_93c83服务运行状态 svchost.exe运作之后会将自身注册为服务并启动运行,相关代码如下图所示: ? svchost.exe注册为系统服务 ?...系统服务运行信息 随后svchost.exe连接hxxp://pr.qikels.com:301/GetIpPort和hxxp://pr.qikels.com:301/GetIpPortzhima获取远程代理服务器...获取远程代理服务器信息 成功获取远程代理服务器信息后,svchost.exe便会接收远程代理服务器下放的目标网址数据包并访问,最后将结果数据包进行回传。相关流量数据包如下图所示: ?...svchost.exe签名信息 经查询发现,杭州至流科技有限公司旗下网站“至流软件”(hxxp://www.zhuzhaiip.com)主要经营流量代理服务。相关信息如下图所示: ?
、系统服务CryptSvc报错、系统服务NlaSvc报错(以上现象,重启机器后全都恢复正常) 整体上,是相近的case 因为dnscache服务太重要了 dnscache对应的svchost在一些情况下耦合了好几个很关键的系统服务...,dnscache出问题,则牵一发动全身 也许触发条件就是特定业务,比如openvpn,至少从注册表来说,openvpn会改动dnscache服务的注册表,而dnscache服务对应的svchost.exe...是关键系统进程,并且在一些情况下会耦合好几个关键系统服务,可能会导致svchost.exe死锁,最终在一定条件下卡死,只能重启机器解决,具体可以参考下我这篇文档 dnscache服务很关键,我们要警惕一些软件比如...(即server2019、2022),在≥3.5G内存的机器上,svchost.exe默认是解耦关键系统服务的,<3.5G的机器上,svchost.exe则默认是耦合模式。...的svchost.exe的。
处理方式:基本上没有合理的处理方式,尽量使用最少的监控服务吧,或者,升级你的硬件配备。 ...6、查看“svchost ”进程。 svchost. exe 是Windows XP系统 的一个核心进程。...svchost.exe 不单单只出现 在Windows XP中,在使用 NT 内核的Windows系统 中都会有svchost.exe的存在。...8、查看网络连接 当安装了WindowsXP的计算机做服务器的时候,收到端口 445 上的连接请求时,它将分配内存和少量地调配 CPU资源来为这些连接提供服务。...如果设置的值不正确,服务器的响应能力可能会受到影响,或者某个用户独占太 多系统 资源。
先看下我本机上的7680端口是哪个进程在监听: 用procexp这个工具看到进程PID是5952: 定位到这个具体的进程,竟然是一个svchost的进程,心情更加郁闷了!...因为svchost进程是Windows上很多系统服务的躯壳进程,Windows的很多系统服务都是通过这个svchost.exe来加载对应的服务dll来运行的。...因为Windows系统服务众多,所以你打开任务管理器可以看到一堆的svchost进程。而很多病毒木马也喜欢利用这一点,藏在svchost里面,这样可以隐蔽自己,不容易被发现。...所以当我看到是svchost的时候,心里更加慌了。 但我看进程的命令行,又不像是个恶意的程序。别着急,既然是服务,那就可以看到具体的服务描述。...切换到services服务tab页下,看到了这个服务的描述信息: 执行内容传递优化服务 这是个神马玩意儿?
276 Dhcp, EventLog, lmhosts, Wcmsvc svchost.exe 320...(4)尝试攻击exchange服务器,来中继攻陷主机(失败) 这里就不放细节了,均以失败告终。...可以通过添加域管理员来上线域内的所有主机 (2)可以通过cs来进行进程注入or进程迁移,来实现本机system权限的获取 (3)此次实战的密码喷洒尤为重要,所以有机器用户的hash一定要进行抓取 (4)SPN服务横向可以通过打邮服来进行获取域控权限...(5)学习了权限维持的方法(开机自启动、winrm的横向和psexec的横向) 恶补了一大波内网知识(比靶场来的实在) 不足之处: (1)此次通过内网渗透,虽然打了邮件服务器,但是没有通过邮件服务器来拿下...(2)没有通过SPN票据横向拿下对应的服务器,比如MSSQL的和CIFS的 (3)此次没有利用白银票据进行横向(得重新学习) 原文首发在:奇安信攻防社区: https://forum.butian.net
✎ 阅读须知 乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。...564 Services 0 9,848 K svchost.exe 640...732 Services 0 12,924 K svchost.exe 772...0 11,216 K svchost.exe 876 Services 0 6,740 K svchost.exe...916 Services 0 15,520 K svchost.exe 292
,找到该服务对应的进程svchost.exe,进而筛选出svchost.exe进程中具体实现日志功能的线程,调用TerminateThread结束线程,破坏日志记录功能 特别的地方: 由于只结束了实现日志功能的线程...,所以Windows Event Log服务没有被破坏,状态仍为正在运行 (1)方法1 定位eventlog服务对应进程svchost.exe的pid 遍历该进程中的所有线程 判断线程是否满足条件 Windows...结束线程 使用TerminateThread 恢复方法 结束进程svchost.exe 重新开启Windows Event Log 服务:net start eventlog 工具:https://github.com.../hlldz/Phant0m (2)方法2 定位eventlog服务对应进程svchost.exe的pid Get-WmiObject -Class win32_service -Filter "name...-d 7008 获取进程svchost.exe中的所有线程 判断线程是否满足条件 获取线程对应的服务,如果为eventlog,则满足条件 使用工具:ScTagQuery:sctagqry.exe -t
1703及其之后版本的windows系统,部分系统服务在内存3.5G以上会自动own模式,内存低于3.5G会默认share模式 在Windows 10 Creators Update(版本 1703)之前的版本...,下图是我拿2012R2看的 打开任务管理器,看到WinHTTP Web Proxy Auto-Discovery Service所在的那个svchost有多个系统服务是share模式,即共用一个PID...下图的服务从上到下分别是 EventSystem netprofm nsi FontCache W32Time WinHttpAutoProxySvc sc.exe queryex EventSystem...queryex WinHttpAutoProxySvc|findstr "SERVICE_NAME or PID" 在Windows 10 Creators Update(版本 1703)及其之后的版本,这几个服务的...svchost的pid各不相同 这个文档从服务进程角度证明了为啥高版本系统 在相同配置下比低版本更吃内存,因为低版本share模式的svchost多,而高版本own模式的多,own模式的好处就是各自独立
276 Dhcp, EventLog, lmhosts, Wcmsvc svchost.exe 320...(4)尝试攻击exchange服务器,来中继攻陷主机(失败) 这里就不放细节了,均以失败告终。...可以通过添加域管理员来上线域内的所有主机 (2)可以通过cs来进行进程注入or进程迁移,来实现本机system权限的获取 (3)此次实战的密码喷洒尤为重要,所以有机器用户的hash一定要进行抓取 (4)SPN服务横向可以通过打邮服来进行获取域控权限...(5)学习了权限维持的方法(开机自启动、winrm的横向和psexec的横向) 恶补了一大波内网知识(比靶场来的实在) 不足之处: (1)此次通过内网渗透,虽然打了邮件服务器,但是没有通过邮件服务器来拿下...(2)没有通过SPN票据横向拿下对应的服务器,比如MSSQL的和CIFS的 (3)此次没有利用白银票据进行横向(得重新学习)
执行命令,将输出发回 C&C 服务器 pc_shutdown 关闭计算机 sysinfo 将设备名称、用户名、操作系统、处理器体系接哦古、屏幕数量、摄像头数量、麦克风数量等信息发送回 C&C 服务器...Pekraut RAT 的安装/卸载 Pekraut 伪装成 svchost.exe 和 Internet Explorer 的更新程序。...安装 将自身复制到%USERPROFILE%\AppData\Roaming\Microsoft\svchost.exe 将 svchost.exe 文件设置为隐藏与系统文件。...执行后文件会被复制到%USERPROFILE%\AppData\Roaming\Microsoft\\svchost.exe处。 ?...连接 C&C 服务器 Pekraut RAT 的 C&C 通信使用 portfowarding 的portmap.io隐藏 C&C 服务器的真实 IP 地址。
现象:进入桌面耗时10分钟左右 【排查过程】 ①分析: 我们知道进入桌面的过程实际就是User Profile Service(ProfSvc)起作用的过程,该服务的description如下: 此服务负责加载和卸载用户配置文件...如果已停止或禁用此服务,用户将无法再成功登录或注销,应用在获取用户数据时可能会出问题,而且为接收配置文件事件通知注册的组件将无法接收这些通知。...对应程序是:C:\Windows\system32\svchost.exe -k netsvcs -p ②思路:等进入桌面后先配置上开机计划任务来调用procmon记录svchost.exe的行为,或者开个新管理员...禁用限制会话到单用户,这样就可以2个会话,vnc登入新的管理员,然后用默认Administrator去远程,以vnc上的管理员运行procmon来监测Administrator ③分析记录的数据发现卡点主要在于svchost.exe
在Process Exploer中,选择PID 11016对应的进程,右键属性,可看到病毒的位置为:C:\WINDOWS\Temp\svchost.exe. ? ?...结束该进程,然后去删除病毒程序,还是无法删除,说明还有其他的服务在控制占用svchost.exe. ?...主机仍有大量外连行为,刚刚删除的计划任务又出现了,说明有相关服务重新创建了该计划任务,但在我们的搜索中却并未发现与Temp目录下svchost.exe相关的服务: ? ?...说明肯定存在还未关闭的服务,上一步在计划任务中发现异常程序wmiex.exe,C:\WINDOWS\system32\drivers\svchost.exe查看是否有与该程序相关的服务,查看服务,果然有...关闭WebServers,Ddriver服务,然后删除计划任务,在ProcessExplorer中关闭异常进程,即可成功删除svchost.exe。 ?
该病毒首先会将%appdata%\Microsoft\PstFev\core.dat中的文件内容进行解密,之后将解密后的原始PE文件注入到其启动的svchost.exe进程中,被注入后的svchost.exe...之后解密%windir%\system32\PstLanuage.dat释放、执行随机名服务动态库。随机名服务主要逻辑是将Mint病毒注入到svchost.exe进程中执行,继续执行病毒逻辑。...更新PstLanuage.dat相关代码逻辑 通过解密PstLanuage.dat获取到随机名服务动态库,注册随机名服务相关代码,如下图所示: ? 注册随机名服务 解密释放随机名服务动态库文件。...将解密注入svchost.exe 随机名服务 随机名动态库主要逻辑为在内存中加载一个被加密的动态库镜像,之后执行镜像的导出函数“run”。相关代码,如下图所示: ?...自我更新 病毒会创建开机自启的服务项,用于开机启动。相关代码,如下图所示: ? 创建服务 三、 附录 病毒hash ?
276 Dhcp, EventLog, lmhosts, Wcmsvc svchost.exe 320...(4)尝试攻击exchange服务器,来中继攻陷主机(失败)这里就不放细节了,均以失败告终。...可以通过添加域管理员来上线域内的所有主机(2)可以通过cs来进行进程注入or进程迁移,来实现本机system权限的获取(3)此次实战的密码喷洒尤为重要,所以有机器用户的hash一定要进行抓取(4)SPN服务横向可以通过打邮服来进行获取域控权限...(5)学习了权限维持的方法(开机自启动、winrm的横向和psexec的横向)恶补了一大波内网知识(比靶场来的实在)不足之处:(1)此次通过内网渗透,虽然打了邮件服务器,但是没有通过邮件服务器来拿下DC...(2)没有通过SPN票据横向拿下对应的服务器,比如MSSQL的和CIFS的(3)此次没有利用白银票据进行横向(得重新学习)
该漏洞影响使用RPC的DCOM接口,这个接口用来处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。...通过Svchost.exe来完成,文件对那些从动态连接库(DLL)中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的Windows\system32文件夹下。...在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。 用卡巴的网络防火墙有开启,并有监视端口的话,需要得到允许。...由于svchost.exe处于Windows\system32\才是标准的,如果svchost.exe在其他目录下,并强行连接网络,而卡巴网络防火墙又强行限制,就可能造成 遇到问题需要关闭。...全盘搜索svchost.exe,以如果不是在这个目录的,全部直接删除。(注:除系统恢复文件包driver.cab内的除外)。
域 ZombieBoy使用了多个运行HFS (http文件服务器)的服务器来获取有效载荷(payload)。...Svchost.exe 10. Add 11. Eeie saswuk wso ?...l 使用System/CurrentControlSet/Services/ANqikicmsuucs将“ANqiki cmsuucs”注册为服务。 l 启动服务后,运行svchost.exe。...l 使用来自CreateToolhelp32Snapshot的快照来搜索正在运行的svchost.exe进程。 l 如果未找到,则会启动它并返回搜索svchost.exe。...l 如果找到一个,将维持svchost.exe的运行。 l 如果找到多个,会调用一个函数来创建一个vbs脚本,以删除额外的svchost.exe。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
对象存储
云直播
