前言：

网络攻防第一次课，作业之一是找出svchost启动了哪些服务。简单Google了下，将自己的整理写出来。基础知识请看Reference，这里不再赘述。

 

记得plusplus以前讲OOP时提到，M$的东东处处体现了OLE技术，就是对象链接嵌入。不仅在word这些常用的工具里，在整个操作系统中，也处处体现着这种技术或者说思想的运用。这种思想，将程序不再看成枯燥的代码，而是和现实世界类似的一个系统。就像在搭积木，可以很方便的放进去一些东西，也可以去掉他们，但是却不会影响整个系统，因为你操作的都是一些独立的对象，它们构成了系统整体。

 

M$提供了很多服务，它们被做成DLL(动态链接库)的形式，DLL就是OLE技术的体现，是一块块积木。由于DLL是运行时载入的，它们不能够作为独立的进程运行，必须有一个载体，就是loader。那么svchost就来作为这个loader。顾名思义，就是service host，服务的宿主。

 

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Svchost分支中，存放着Svchost启动的组和组内的各项服务。以我的win2k server为例，有：

名称         数据

BITSgroup    BITS

Netsvcs       EventSystem Ias Iprip Irmon  Netman Nwsapagent RasAuto RasMan RemoteAccess SENS Sharedaccess  Ntmssvc  wzcsvc  WmdmPmSN

Rpcss         RpcSs

tapisrv        Tapisrv

wugroup       wuauserv

 

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services下面，是系统启动的各项服务，凡是启动路径为 （%SystemRoot%/System32/svchost.exe -k BITSgroup），表明该服务是依靠svchost启动的。我的win2k server上有如下服务：

1）  BITS

DisplayName：Background Intelligent Transfer Service

Description： 用闲置网络带宽在后台传输文件。如果此服务被禁用，那么任何依赖于 BITS 的功能，例如 Windows Update 或 MSN Explorer，都将不能自动下载程序和其它信息。

2）  EventSystem

DisplayName：COM+ Event System

Description：提供事件的自动发布到订阅 COM 组件。

Group：Network

3）  Netman

DisplayName：Network Connections

Description：管理“网络和拨号连接”文件夹中对象，在其中您可以查看局域网和远程连接。

4）  NtmsSvc

DisplayName：Removable Storage

Description：管理可移动媒体、驱动程序和库。

5）  RasAuto

DisplayName：Remote Access Auto Connection Manager

Description： 无论什么时候当某个程序引用一个远程 DNS 或 NetBIOS 名或者地址就创建一个到远程网络的连接。

6）  RasMan

DisplayName：Remote Access Connection Manager

Description： 创建网络连接。

7）  RemoteAccess

DisplayName：Routing and Remote Access

Description：在局域网以及广域网环境中为企业提供路由服务。

8）  RpcSs

DisplayName：DisplayName Remote Procedure Call (RPC)

Description：提供终结点映射程序 (endpoint mapper) 以及其它 RPC 服务。

9）  SENS

DisplayName：System Event Notification

Description：跟踪系统事件，如登录 Windows，网络以及电源事件等。将这些事件通知给 COM+ 事件系统 “订阅者(subscriber)”。

Group：Network

10）              SharedAccess

DisplayName：Internet Connection Sharing

Description：为通过拨号网络连接的家庭网络中所有计算机提供网络地址转换、定址以及名称解析服务。

11）              TapiSrv

DisplayName：Telephony

Description：提供 TAPI 的支持，以便程序控制本地计算机，服务器以及 LAN 上的电话设备和基于 IP 的语音连接。

12）WmdmPmSN

DisplayName：Portable Media Serial Number Service

Description：Retrieves the serial number of any portable media player connected to this computer. If this service is stopped, protected content might not be down loaded to the device.

13）wuauserv

DisplayName：Automatic Updates

Description：从 Windows Update 启用重要的 Windows 更新的下载和安装。如果禁用该服务，操作系统可以在 Windows Update Web 网站手动更新。

14）WZCSVC

DisplayName：Wireless Configuration

Description：使用 IEEE 802.1x 为有线和无线以太网络提供身份验证的网络访问控制。

Group：TDI

 

 

说明：

注册表中类型为REG_MULTI_SZ为multi string，SZ是字符串的命名规则，表示”string end with zero”[3]。

Reference:

1：http://support.microsoft.com/default.aspx?scid=kb;en-us;250320  from MicroSoft MSDN

2：http://www.southcn.com/it/rjzz/200409080515.htm  from Google

3：http://support.microsoft.com/default.aspx?scid=kb;ZH-CN;314837 from MicroSoft MSDN