Pesquisar por Conteúdo

Carregando...

6 de junho de 2010

SvcHost.exe (Processo de Host para serviços do Windows)

Olá, nesse artigo vou falar sobre o processo SvcHost.exe do Windows. Muitos dos meus alunos me perguntam sobre o que é esse processo,para que serve e alguns chegam a achar que ele é um virus. Então para desmistificar e esclarecer todas as dúvidas, resolvi escrever um artigo sobre o assunto.

TaskManager

Mais antes de entrar em mais detalhes a gente precisa esclarecer alguns conceitos:

1º. O que é um programa? Um arquivo executável(entidade estática), o qual possue uma sequência de instruções escrito em uma linguagem de programação destinado a executar uma tarefa.

2º. O que é um processo? De forma simples, um processo é uma instância de um programa que está em execução(entidade ativa),ele contém todo o código do programa e está desempenhando a tarefa a qual o programa foi escrito.

3º. O que é um Serviço? São processos que usualmente não interagem com o usuário através de monitor,teclado mouse e geralmente são iniciados pelo sistema operacional na inicialização do sistema.

Após os conceitos básicos acima, tomemos como exemplo dois serviços do Windows: Spooler e Server.

O spooler é responsável pelo serviço de impressão no Windows.

spooler

Pela figura acima podemos obter algumas informações sobre o serviço, como por exemplo:tipo de inicialização,status,nome de exibição,nome do serviço e principalmente o caminho do executável responsável pelo serviço, nesse caso: C:\Windows\System32\spoolsv.exe.

Agora vamos tomar como exemplo o serviço Server, o qual é responsável pelo serviço de compartilhamento de arquivos e impressoras na rede.

server

Agora, com relação a esse serviço podemos fazer algumas observações:

1º. O nome real do serviço é: LanmanServer e não Server.

2º. O serviço não possue um executável(.exe) próprio para implementar suas funcionalidades.

3º. O executável que está sendo carregado é o SvcHost.exe

Então como podemos obter mais informações sobre esse serviço? resposta: no registro do Windows, teremos que recorrer ao registro para obter mais informações. Então vá até a chave: HKLM/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters

 Registro

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Como podemos notar na imagem acima, o serviço é implementado por uma DLL(srvsvc.dll), e não por um EXE. E como sabemos DLLs são bibliotecas de vínculo dinâmico, que são “ligadas” em tempo de execução,sendo assim, é necessário que um processo carrege essa DLL. É agora que o SvcHost.exe entra em cena, o Windows possue um executável que fornece um processo genérico para que serviços que são implementados sobre DLL usem ele para carregarem suas DLLs. Esse é o caso do LanmanServer que possue suas funcionalidades implementadas na DLL srvsvc.dll e utiliza o SvcHost.exe para carregá-la.

Na figura abaixo verificamos a chave de registro do SvcHost,nela notamos os vários grupos de serviços que ele possue, a quantidade de grupos pode variar dependendo dos serviços instalados no sistema:

SvcHostGroup

SvcHost

Existem vantagens e desvantagens com relação a se ter grupos de processos: a vantagem é a questão do desempenho que é melhorada,pois temos vários serviços compartilhando o mesmo processo e os seus recursos. E a desvantagem é que se um serviço do grupo "travar" corre-se o risco de todos os serviços do grupo ficarem com suas funcionalidades comprometidas.

Alguns vírus utilizam dessa característica para colocarem em ação seus códigos maliciosos, ou seja, eles são implementados sobre a forma de uma DLL, se registram no Windows como um serviço de inicialização automática,criam uma entrada no registro do SvcHost e são carregados por ele na inicialização do sistema.

Bem, chegamos ao fim de mais um artigo,espero ter esclarecido as dúvidas com relação a esse processo de extrema importância para o Windows.

Um abraço e até o próximo,

Marcelo de Sousa Cunha

10 comentários:

  1. Respostas
    1. Os processos SvcHost não são virus!. Embora são alvos frequentes de infecção.

      Excluir
  2. quando eu estou assistindo vídeos no YouTube aparece um ícone na área de notificação com formato triangular com um !
    A partir daí o google Chrome trava por um segundo e muda a resolução de tela e de corres mas volta ao normal depois de uns segundos. Já houve vezes em que isso aconteceu tantas e tantas vezes que apareceu um BlueScreen e o pc reiniciou dando depois que voltava o Windows uma mensagem que o sistema operacional identificou um erro grave e pedia pra enviar as informações pra Microsoft mas nada funciona até hj pra resolver esse problema e tem haver com esse processo. o que devo fazer?

    ResponderExcluir
  3. Você já fez alguns testes? tipo assistir ao vídeos no YouTube pelo IE ou Firefox? com isso você isolaria o problema. Outra coisa, quando o computador reiniciar, ele vai gravar um log, mais precisamente no log do Sistema. Este log terá informações sobre o erro, como por exemplo o processo gerou o erro.

    ResponderExcluir
  4. como eu removo trojan.win32/agent??

    ResponderExcluir
    Respostas
    1. Terá que usar um bom antivirus:

      Dos antivirus gratuitos o Microsoft Security Essentials,Comodo e Avg são os melhores.
      Dos pagos são o Eset NOD32,Mcafee,Kaspersky, Panda e Norton.

      Excluir
  5. ola!
    quando eu conecto meu moden 3G e tenho acesso a rede, um processo de host para o Windows trava todo meu pc, ele chega a usar 100% da cpu, qual sera o problema, sera que ele pode estar infectado?

    ResponderExcluir
  6. O AVAST É UM BOM ANTIVIRUS ?

    ResponderExcluir
  7. Baixa O Antivirús Avira (2013) é O Melhor Antivirús Que Existe...

    ResponderExcluir
  8. alto uso de gravaçao de disco por: processo de host para tarefas windows

    ResponderExcluir

Copyright © Comunidade Windows. Todos os direitos reservados.