svchost・servicesについてのメモ
メモ1(関連するプロセス)
- services.exe ("C:\Windows\System32\services.exe") サービスコントロールマネージャ(Service Control Manager : SCM)
- svchost.exe ("C:\Windows\System32\svchost.exe") サービスホスト(Service Host)
メモ2 (プロセスと関連しているサービスを調べる)
例) tasklist(一部抜粋)
PS C:\Users\IEUser> tasklist.exe /svc
Image Name PID Services
========================= ======== ============================================
System Idle Process 0 N/A
System 4 N/A
smss.exe 216 N/A
csrss.exe 292 N/A
csrss.exe 328 N/A
wininit.exe 336 N/A
winlogon.exe 364 N/A
services.exe 424 N/A
lsass.exe 432 SamSs
lsm.exe 440 N/A
svchost.exe 548 DcomLaunch, PlugPlay, Power
svchost.exe 664 RpcEptMapper, RpcSs
svchost.exe 756 Audiosrv, Dhcp, eventlog, lmhosts, wscsvc
svchost.exe 816 AudioEndpointBuilder, CscService, Netman,
PcaSvc, TrkWks, UmRdpService, UxSms
svchost.exe 848 EventSystem, FontCache, netprofm, nsi,
sppuinotify, WdiServiceHost,
WinHttpAutoProxySvc
svchost.exe 872 AeLookupSvc, BITS, CertPropSvc, gpsvc,
iphlpsvc, LanmanServer, MMCSS, ProfSvc,
Schedule, SENS, SessionEnv,
ShellHWDetection, Themes, Winmgmt, wuauserv
svchost.exe 1132 CryptSvc, Dnscache, LanmanWorkstation,
NlaSvc, TermService
svchost.exe 1260 BFE, DPS, MpsSvc
svchost.exe 2944 WinDefend
svchost.exe 4020 SSDPSRV
BITS(Background Intelligent Transfer Service)はPID:872のsvchostを調べてみるとサービスとして登録されていることがわかる.
メモ3(Serviceの調査)
scというSCMとサービスと通信するためのコマンドラインプログラムがある(注: PowerShellではscはSet-Contentが割り当てられている).scを用いてサービスについて調査を行う.
例2) scを用いたサービスの列挙(PowerShellでSelect-Stringで抜粋)
PS C:\Users\IEUser> C:\Windows\System32\sc.exe query | Select-String BITS -Context 0,8
> SERVICE_NAME: BITS
DISPLAY_NAME: Background Intelligent Transfer Service
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
例3) サービスの照会
PS C:\Users\IEUser> C:\Windows\System32\sc.exe qc BITS
[SC] QueryServiceConfig SUCCESS
SERVICE_NAME: BITS
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START (DELAYED)
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\Windows\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Background Intelligent Transfer Service
DEPENDENCIES : RpcSs
: EventSystem
SERVICE_START_NAME : LocalSystem
おまけ
- winlogon.exe("C:\Windows\System32\winlogon.exe") ログオンプロセス.
- csrss.exe("C:\Windows\System32\csrss.exe") Windowsサブシステム
- explorer.exe("C:\Windows\explorer.exe") explorer.exeの親プロセスはUserinitプロセス
参考文献
インサイド MS WINDOWS 第4版 上