SVCHOST.EXE salah satu proses dalam sistem WINDOWS
Yap.. saya akan membahas tentang SVCHOST. EXE. Anda mungkin sering melihat proses bernama SVCHOST. EXE ketika sedang melihat proses yang sedang berjalan di komputer Anda. Bahkan banyak juga virus/worm lokal yang ‘menyamar’ sebagai SVCHOST.EXE. Sebenarnya Apa sich SVCHOST. EXE itu? Kenapa ada begitu banyak proses dengan nama SVCHOST.EXE?? Sebenarnya SVCHOST.EXE itu penting nggak sich?? Yap, dari sini akan kita bahas bersama.SVCHOST.EXE merupakan nama proses host generik untuk layanan yang dijalankan dari dynamic-link libraries (DLL).
Awalnya, Microsoft menggunakan file .exe (executable) bagi service-service yang berjalan di Windows. Karena dirasa kurang efisien, Microsoft kemudian melakukan perombakan dengan mengubah service-service tadi dari menggunakan file-file .exe menjadi file .dll (Dynamic Link Library). Dynamic Link Library (.dll) merupakan file yang berisi rutin (procedure & function) yang dapat dipanggil dari file executable (.exe) maupun dari file .dll lain. Hal ini dirasa lebih menguntungkan karena rutin-rutin yang bersifat umum dapat dipakai oleh beberapa aplikasi pada saat yang bersamaan dan hanya diperlukan satu copy saja di memory atau disk. Programmer dapat mengatur agar rutin-rutin yang terdapat pada DLL tersebut dimuat ke memory hanya ketika diperlukan saja. Apabila tidak diperlukan maka DLL tersebut bisa dibuang dari memory.
Dengan demikian, maka aplikasi yang Anda buat dapat lebih menghemat penggunaan memory. Keuntungan kedua, aplikasi menjadi bersifat modular. Anda dapat melakukan update aplikasi yang Anda buat tanpa harus mengupdate file EXE. Dengan demikian Anda cukup menyertakan patches kepada program Anda tanpa Anda harus menyertakan seluruh aplikasi. Keuntungan lain adalah ukuran file EXE menjadi lebih kecil karena beberapa kode program diletakkan pada file DLL.
Berkas SVCHOST.EXE.exe terletak di dalam map %SystemRoot%\System32. Pada proses persiapan, SVCHOST.EXE.exe memeriksa bagian layanan registri untuk menyusun daftar layanan yang harus dimuat. SVCHOST.EXE.exe dapat dijalankan beberapa kali sekaligus dalam satu waktu. Setiap sesi SVCHOST.EXE.exe dapat berisi sekelompok layanan. Oleh karena itu, layanan yang terpisah dapat berjalan, tergantung pada bagaimana dan di mana SVCHOST.EXE.exe dimulai. Kelompok layanan ini memungkinkan kontrol yang lebih baik dan debugging yang lebih mudah.
Grup SVCHOST.EXE diidentifikasi dalam kunci registri berikut ini:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\SVCHOST.EXE
Setiap nilai di bawah kunci ini melambangkan grup SVCHOST.EXE yang berbeda dan muncul sebagai item yang terpisah ketika Anda sedang melihat proses aktif. Setiap nilai merupakan nilai REG_MULTI_SZ dan berisi layanan yang dijalankan di bawah grup SVCHOST.EXE tersebut. Setiap grup SVCHOST.EXE dapat berisi satu nama atau lebih layanan yang diekstrak dari kunci registri berikut ini, yang kunci Parameters-nya berisi nilai ServiceDLL :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
Untuk melihat daftar layanan yang berjalan di dalam SVCHOST.EXE:
1.Klik Mulai pada taskbar Windows, kemudian klik Jalankan.
2.Pada Buka, ketik cmd, kemudian tekan ENTER.
3.Ketik Tasklist /SVC, kemudian tekan ENTER.
Tasklist menampilkan daftar proses yang aktif. Switch /SVC menunjukkan daftar layanan aktif di setiap proses. Untuk informasi lebih lanjut mengenai sebuah proses, ketik perintah berikut ini, kemudian tekan ENTER:
Tasklist /FI “PID eq processID” (dengan tanda petik)
Jika anda melihat pada TaskManager, anda akan menyaksikan banyak proses dengan nama SVCHOST.EXE. Hal ini seringkali dimanfaatkan oleh para penulis WORM untuk melakukan rekayasa sosial dengan cara memberi nama induk worm dengan nama yang sama atau mirip SVCHOST.EXE, dengan harapan user akan mengira bahwa induk worm tersebut bagian dari komponen windows. Ya, seringkali user kebingungan membedakan SVCHOST.EXE milik Worm dengan SVCHOST.EXE milik WINDOWS.
Nah.. dari sini Anda mungkin bertanya-tanya. Kenapa sich kok ada banyak proses dengan nama SVCHOST.EXE??
Begini nich.. sebagaimana layaknya Operating System, WINDOWS memiliki banyak sekali service-service yang harus dipanggil. Seperti yang sudah saya jelaskan di awal tadi, masing-masing service tersebut tentunya harus dijalankan oleh suatu file executable. Jika seluruh service yang sedemikian banyak itu dijalankan oleh hanya sebuah file executable saja, maka tentu resiko terjadi kegagalan pemanggilan service tersebut akan sangat tinggi. Untuk mengantisipasi hal itu, maka service-service tersebut dikelompok-kelompokkan sesuai dengan fungsinya. Tiap file SVCHOST. EXE dipanggil untuk menjalankan kelompok service yang berbeda. Misalnya SVCHOST.EXE yang pertama menjalankan group service untuk Audio, SVCHOST.EXE kedua menjalankan service-service Firewall, dan lain sebagainya. Karena pemisahan-pemisahan inilah banyak terdapat proses dengan nama SVCHOST.EXE.
Kalau mengenai virus, dimungkinkan nama varian virus itu bernama mirip seperti SVCHOST.EXE, yang nama virusnyaW32.Welchia.Worm, dan ini virus menginfeksi SVCHOST.EXE dan akhirnya akan membuat korup atau rusak file LSASS pada windows. Yang menyebabkan windows anda akan rusak (sering shutdown/restart). Cara virus W32.Welchia.Worm merusak LSASS yaitu dengan cara membuat over buff pada LSASS itu sendiri sehingga LSASS selalu kelebihan muatan dan meyebabkan proses shut down di aktifkan. Kalau di komputer lo ada file ga jelas yang mirip dengan SVCHOST.EXE yang dijalankan maka itu adalah hasil pembiakan dari tuh virus :
-svchosts.exe
-scvhost.exe
-scvhosts.exe
-svchostc.exe
-xsvchost.exe
-svchost.exe.bak
Dan untuk tambahan saja, secara umum SVCHOST.EXE yang asli bercirikan sebagai berikut:
1.Bisa ditemukan di alamat: C:\WINDOWS\system32\svchost.exe
2.Mempunyai ukuran sekitar 14 KB.
3.Bertipekan aplication
4.Informasi Properties:
Description: Generic Host Process for Win32 Services
Company: Microsoft Corporation
Internal nam: svchost.exe
Original Filename: svchost.exe
Product name: MicrosoftĂ‚® WindowsĂ‚® Operating System
5.Icon berbentuk kotak putih ada bis biru di bagian atas.
Tidak ada komentar:
Posting Komentar