Berkas Svchost.exe terletak di dalam map %SystemRoot%\System32. Pada proses persiapan, Svchost.exe memeriksa bagian layanan registri untuk menyusun daftar layanan yang harus dimuat. Svchost.exe dapat dijalankan beberapa kali sekaligus dalam satu waktu. Setiap sesi Svchost.exe dapat berisi sekelompok layanan. Oleh karena itu, layanan yang terpisah dapat berjalan, tergantung pada bagaimana dan di mana Svchost.exe dimulai. Kelompok layanan ini memungkinkan kontrol yang lebih baik dan debugging yang lebih mudah.
Grup Svchost.exe diidentifikasi dalam kunci registri berikut ini:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\Svchost
Setiap nilai di bawah kunci ini melambangkan grup Svchost yang berbeda dan muncul sebagai item yang terpisah ketika Anda sedang melihat proses aktif. Setiap nilai merupakan nilai REG_MULTI_SZ dan berisi layanan yang dijalankan di bawah grup Svchost tersebut. Setiap grup Svchost dapat berisi satu nama atau lebih layanan yang diekstrak dari kunci registri berikut ini, yang kunci Parameters-nya berisi nilai ServiceDLL :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Service
Untuk melihat daftar layanan yang berjalan di dalam Svchost:
- Klik Mulai pada taskbar Windows, kemudian klik Jalankan.
- Pada Buka, ketik cmd, kemudian tekan ENTER.
- Ketik Tasklist /SVC, kemudian tekan ENTER.
Tasklist /FI "PID eq processID" (dengan tanda petik)
Contoh output Tasklist berikut ini menunjukkan dua item dari Svchost.exe yang sedang berjalan.
Berikut ini adalah pengaturan registri terhadap kedua kelompok untuk contoh ini:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
Netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
RApcss :Reg_Multi_SZ: RpcSs
Sumber: http://support.microsoft.com/kb/314056/id-id
Tidak ada komentar:
Posting Komentar