Share

Dasar Teori tentang SVCHOST

Rabu, Desember 14, 2011

Apakah itu SVCHOST.EXE?
Svchost.exe merupakan file system dan penting dari sebuah system windows yang berfungsi sebagai “Generic Host Process for Win32 Services” atau yang mengurusi beberapa servis (services) penting pada windows, bahkan klo ditelusuri banyak sekali servis windows yang dilakukan oleh file penting ini, misalkan yang penting-penting:
  • Security Center
    Memonitor sekuritas system dan konfigurasinya
  • Windows Firewall
    Mencegah masuknya aplikasi-aplikasi yang tidak diinginkan ke dalam sistem windows
  • Workstation
    membuat dan mengatur koneksi network clients ke remote server
  • DHCP Client
    Mengatur konfigurasi network dengan melakukan registrasi dan updating IP dan nama DNS
  • dan berbagai macam servis penting lainnya, terutama servis untuk masalah inter koneksi (network)
Untuk melihat lebih banyak bisa dengan mengetikkan di kotak dialog RUN : services.msc
(silahkan gunakan program Ahlul Bridge Executor Protocol untuk melakukan eksekusi link agar memudahkan anda untuk mengikuti setia tutorial saya). Nanti di console service tersebut bisa kita lihat service-service windows, nah silahkan di cek mana saja yang menggunakan SVCHOST.EXE (untuk diketahui saja tapi hati-hati jangan di stop servis-servis yang udah jalan, karena bisa menyebabkan malfungsi pada system)



Bagaimanakah ciri-ciri dari file SVCHOST.EXE yang asli.
SVCHOST.EXE yang asli bercirikan sebagai berikut:
  1. Bisa ditemukan di alamat: C:\WINDOWS\system32\svchost.exe
  2. Mempunyai ukuran sekitra 14 KB.
  3. Bertipekan aplication
  4. Informasi Properties:
    • Description: Generic Host Process for Win32 Services
    • Company: Microsoft Corporation
    • Internal nam: svchost.exe
    • Original Filename: svchost.exe
    • Product name: MicrosoftĂ‚® WindowsĂ‚® Operating System
  5. Icon berbentuk kotak putih ada bis biru di bagian atas.
Untuk jelasnya perhatikan gambar berikut:
Ciri-ciri SVCHOST.EXE
Apakah jika di Task Manager ada lebih dari 6 SVHOST.EXE yang jalan apakah itu virus?
Nah jika kita tadi menyimak pembahasan di atas ya tentu saja kita tidak bisa mematok berapa jumlah SVCHOST.EXE nya karena jumlahnya tergantung berapa service yang dijalankan windows menggunakan file SVCHOST.EXE, bisa 3 bisa 4 bahkan bisa 10 atau lebih.

Trus bagaimana memastikan itu virus atau bukan?
Yap memang ada virus yang menyamar sama seperti nama SVCHOST.EXE sehingga sering kita dikelabui oleh trik ini. Jika dilihat di task manager hanya kelihatan nama programnya dan tanpa iconna sehingga tentu sangat susah untuk memastikan itu virus atau tidak.
Nah oleh karena itu sekarang kita akan gunakan program buatan saya ) “Task Manager Alternatif”, ini bisa didapatkan di dalam file download ANtivirus AVINDO di situs ini. Coba perhatikan gambar berikut:
Task Manager Alternatif
Dengan Task Manager Alternatif kita bisa tentukan mana file svchost.exe yang sebenarnya mana yang bukan, karena pada program ini ditampilkan nama, ukuran, alamat, ukuran, dan tidak lupa iconnya sehingga kita memang bisa memastikannya. Jika memang kita mendapati svchost.exe yang lain ya kita bisa mematikan atau menghapus dengan fasilitas yang ada di program Task Manager Alternatif.

Berkas Svchost.exe terletak di dalam map %SystemRoot%\System32. Pada proses persiapan, Svchost.exe memeriksa bagian layanan registri untuk menyusun daftar layanan yang harus dimuat. Svchost.exe dapat dijalankan beberapa kali sekaligus dalam satu waktu. Setiap sesi Svchost.exe dapat berisi sekelompok layanan. Oleh karena itu, layanan yang terpisah dapat berjalan, tergantung pada bagaimana dan di mana Svchost.exe dimulai. Kelompok layanan ini memungkinkan kontrol yang lebih baik dan debugging yang lebih mudah.

Grup Svchost.exe diidentifikasi dalam kunci registri berikut ini:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost
Setiap nilai di bawah kunci ini melambangkan grup Svchost yang berbeda dan muncul sebagai item yang terpisah ketika Anda sedang melihat proses aktif. Setiap nilai merupakan nilai REG_MULTI_SZ dan berisi layanan yang dijalankan di bawah grup Svchost tersebut. Setiap grup Svchost dapat berisi satu nama atau lebih layanan yang diekstrak dari kunci registri berikut ini, yang kunci Parameters-nya berisi nilai ServiceDLL :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
Untuk melihat daftar layanan yang berjalan di dalam Svchost:
  1. Klik Mulai pada taskbar Windows, kemudian klik Jalankan.
  2. Pada Buka, ketik cmd, kemudian tekan ENTER.
  3. Ketik Tasklist /SVC, kemudian tekan ENTER.
Tasklist menampilkan daftar proses yang aktif. Switch /SVC menunjukkan daftar layanan aktif di setiap proses. Untuk informasi lebih lanjut mengenai sebuah proses, ketik perintah berikut ini, kemudian tekan ENTER:
Tasklist /FI "PID eq processID" (dengan tanda petik)
Contoh output Tasklist berikut ini menunjukkan dua item dari Svchost.exe yang sedang berjalan.
   Nama Image          PID      Layanan
   ======================================================================== 
   Proses Sistem        0     N/A
   Sistem        8     N/A
   Smss.exe            132     N/A
   Csrss.exe           160     N/A
   Winlogon.exe        180     N/A
   Services.exe        208     AppMgmt,Browser,Dhcp,Dmserver,Dnscache,
                               Eventlog,LanmanServer,LanmanWorkstation,
                               LmHosts,Messenger,PlugPlay,ProtectedStorage,
                               Seclogon,TrkWks,W32Time,Wmi
   Lsass.exe            220    Netlogon,PolicyAgent,SamSs 
   Svchost.exe          404    RpcSs 
   Spoolsv.exe          452    Spooler 
   Cisvc.exe            544    Cisvc 
   Svchost.exe          556    EventSystem,Netman,NtmsSvc,RasMan,
                               SENS,TapiSrv 
   Regsvc.exe           580    RemoteRegistry 
   Mstask.exe           596    Schedule 
   Snmp.exe             660    SNMP 
   Winmgmt.exe          728    WinMgmt 
   Explorer.exe         812    N/A
   Cmd.exe             1300    N/A
   Tasklist.exe        1144    N/A
    
Berikut ini adalah pengaturan registri terhadap kedua kelompok untuk contoh ini: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
Netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
RApcss :Reg_Multi_SZ: RpcSs

Referensi
http://beelh4sry.wordpress.com/2008/02/11/apakah-svchostexe-itu-virus/
http://support.microsoft.com/kb/314056/id-id


Share this article :
 
Support : Creating Website | Johny Template | Mas Template
Copyright © 2011. Aktifitas Guru TKJ - All Rights Reserved
Template Created by Creating Website Inspired by Sportapolis Shape5.com
Proudly powered by Blogger