Punto informatico Network

Canali
20090210121354_1250791259_20090210121336_50632579_filemgmt_236.png

Svchost.exe: un processo misterioso e... polivalente

05/03/2009
- A cura di
Tecniche Avanzate - Cos'è e a cosa serve svchost.exe? Perché è presente così tante volte nel Task Manager? Come posso scoprire che funzioni sta svolgendo ogni istanza di questo file? Scopriamolo in questo articolo.

Download

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

Valutazione

  •  
Voto complessivo 5 calcolato su 265 voti
Il dibattito è aperto: partecipa anche tu! AvvisoQuesto contenuto ha ricevuto un numero significativo di commenti. Una volta conclusa la lettura, assicurati di condividere con tutti anche le tue impressioni! La funzionalità è accessibile subito in coda, ai piedi dell'ultima pagina.

Prima di entrare nel vivo di questo articolo, cerchiamo di capire cos'è, a cosa serve e perché è nato il famigerato svchost.exe.

Pensiamo innanzitutto alle esigenze di un elaboratore di testi (quali il semplice notepad) ed un qualsiasi altro programma, come ad esempio un foglio di calcolo.

Sebbene i due programmi svolgano compiti ben diversi, vi saranno sicuramente punti in comune: la finestra di apertura e salvataggio dei documenti, ad esempio, sarà grossomodo la stessa. Per poter funzionare quindi, i programmatori dovrebbero dotare i due applicativi di porzioni di codice pressoché identiche: il risultato è un inutile lavoro duplicato, replicato per di più in qualsiasi altra applicazione chiamata a proporre funzionalità simili.

Gli ingegneri del software hanno pensato quindi ad un sistema di librerie condivise, concetto recepito da Microsoft con le famose librerie a collegamento dinamico (DLL): si tratta di file separati dagli eseguibili che offrono pacchetti di funzioni già pronte. Tali librerie che possono essere appunto "condivise" da tutti i programmi che ne avessero bisogno, senza costringere i programmatori a reinventare la ruota ogni volta.

Sebbene questo approccio porti ad un'innumerevole serie di vantaggi più o meno evidenti, comporta anche alcuni svantaggi. Fra questi, gioca un ruolo importante l'impossibilità di eseguire tali funzioni come servizio di sistema: come ovviare quindi?

Svchost.exe è la risposta: un eseguibile "contenitore" che si occupa appunto di lanciare funzioni presenti nelle librerie dinamiche come se si trattasse di servizi veri e propri.

Sorge però spontanea un'altra domanda: perché vi sono così tante istanze di svchost.exe nel Task Manager?

Svchost.exe 1.PNG

Ipotizziamo che tutti i servizi vengano caricati su una sola istanza. Se uno, per qualche motivo, dovesse crashare, l'intera istanza crasherebbe, e di conseguenza tutti i servizi correlati.

Quindi, i servizi sono organizzati in gruppi logici, e ogni gruppo ha una sua istanza di svchost.exe. Ci sarà il gruppo logico del firewall di Windows, quello che gestisce l'interfaccia utente, e così via... In questo modo, al crashare di un servizio, il peggio che può succedere è il crash dell'intera istanza, ma non di tutti i servizi caricati.

Ho sentito che svchost.exe è anche un virus... È così?

Dopo quello che abbiamo detto finora, non dovrebbe essere difficile la risposta a questa domanda.

Svchost.exe è un processo che, come abbiamo visto, viene semplicemente usato per caricare dei file dll nel sistema. Non vi è una distinzione tra file nocivi o meno: ecco che allora svchost.exe può essere sfruttato per caricare in memoria librerie proprie di malware e software indesiderati, mascherando il tutto come una normale istanza di questo processo.

È il caso del worm Conficker (noto anche come Downup) che, come si vede nell'immagine sottostante, crea un servizio che, sfruttando svchost.exe, carica in memoria una libreria infetta. Ciò non significa però che il processo sia stato infettato!

Svchost.exe 10.PNG

Vi sono poi i file infetti che vengono posti nelle più disparate cartelle del computer con nomi del tutto simili se non uguali al legittimo processo, che sono invece sintomo di malware. Come riconoscere questi falsi dal vero processo? Basta un software che mostri, oltre al nome del file in esecuzione, anche il relativo percorso: il già citato GMER, per esempio, oppure Process Explorer.

Pagina successiva
Svchost Viewer
Pagine
  1. Svchost.exe: un processo misterioso e... polivalente
  2. Svchost Viewer
  3. Disabilitare un servizio

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.34 sec.
    •  | Utenti conn.: 106
    •  | Revisione 2.0.1
    •  | Numero query: 19
    •  | Tempo totale query: 0.22