| |
F5PBG > WIN 04.09.04 10:52l 64 Lines 1722 Bytes #999 (0) @ FRANCA
BID : 30799!F5PBG
Read: GUEST
Subj: Role de SVCHOST
Path: ON0AR<ON0AR<7M3TJZ<F6CDD<F6BVP<F1HCI<F4CEP<F6KBI<F6KBI<F5PBG<F5PBG
Sent: 040831/0601Z 30799@F5PBG.#31.FMLR.FRA.EU [96349] FBB7.01.35 alpha
From: F5PBG@F5PBG.#31.FMLR.FRA.EU
To : WIN@FRANCA
Message 151/2004
<<
SVCHOST est un processus g‚n‚rique, qui sert … lancer des SERVICES
contenus dans des DLL. (alors qu'habituellement cela est r‚alis‚ par
un ex‚cutable d‚di‚)
Au d‚marrage, SVCHOST scrute le contenu de la clef :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
Des entr‚es de type REG_MULTI_SZ contiennent une ‚num‚ration de
services … lancer.
P.ex. chez moi les 3 entr‚es suivantes contiennent respectivement :
"netsvcs" :
EventSystem
Ias
Iprip
Irmon
Netman
...
"rpcss" :
RpcSs
"tapisrv" :
TapiSrv
qui correspondent … autant de NOMS de services … d‚marrer.
(g‚n‚ralement, des services RSEAU)
Vu qu'il y a 3 entr‚es, il y aura 3 instances de SVCHOST lanc‚es sur
ma babasse. Ce qui explique qu'on peut le voir plusieurs fois dans le
gestionnaire de tƒches. (Il n'y a donc rien d'anormal).
Pour savoir ce qu'il doit faire exactement, SVCHOST consulter ensuite
la clef :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
et chercher les sous-clefs ayant les mˆmes noms que dans les listes
pr‚c‚dentes
Par exemple :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IAS
Dans cette clef il trouve ce dont il a besoin.
P.ex. l'entr‚e "DisplayName" contient :
"Service authentification Internet"
qui est l'identification du service (pour l'utilisateur, c'est ce qui
va apparaitre dans la MMC "Services", ou si on tape la commande "net
start")
Dans la sous-clef "Parameters", l'entr‚e "ServiceDll" contient le
chemin de la DLL associ‚e :
%SystemRoot%\System32\ias.dll
NB: SVCHOST est un processus "non tuable" !
(et ‡a vaut mieux !)
>>
Read previous mail | Read next mail
| |
