A. 玩英雄联盟就卡死机的解决方法
有些小伙伴发现一打开英雄联盟就死机的现象,非常苦恼。下面是我为你整理的玩英雄联盟就卡死机的解决技巧,希望对大家有帮助!
玩英雄联盟就卡死机的解决技巧
电脑内存不足
1在“我的电脑"位置上右键一下。
2右键后,弹出一个短短的列表。
3在列表中,我们点击属性这一选项。
4点击属性后,弹出窗口。
5在窗口中,我们可以看到电脑内存多大,再对比下游戏要求的最低配置,如果是内存不足,则有必要更换下电脑的硬件支持了。
END
驱动故障
建议下载个驱动大师软件。
下载好软件并安装,然后打开这个软件。
3打开后,自动检测电脑驱动问题,一键式安装修复。
lol英雄联盟专业术语大全
现在玩lol的玩家越来越多了,而这款团队配合游戏在合作的时候如果队友的术语你听不懂那就悲催了哦,下面跑跑车就带来英雄联盟专业术语让你好好学习下吧。
T:指Tank,肉盾,护甲高,血量多,能够承受大量伤害的英雄。
DPS:damage per second,伤害每秒,特指能够对敌人造成大量伤害的英雄。
AD:是指以物理伤害为主的一类英雄。
ADC:是指以远程物理伤害为主的一类英雄。
AP:是指以法系伤害为主的一类英雄。
APC:是指以远程法系伤害为主的一类英雄。
Carry:后期,核心,需要大量的金钱去堆积装备的英雄,成型后威力很大,起决定性作用。
Gank:GangbangKill的缩写,游戏中的一种常用战术,指两个以上的英雄并肩作战,对敌方英雄进行偷袭、包抄、围杀。通常是以多打少,又称“抓人”。
Stun:带有眩晕效果的技能的总称,也指打断对手持续性施法和施法动作的打断技。
Solo:一条线路上一个人,指英雄单独处于一路兵线上与敌人对峙,经验高升级速度远超其他两路。两名玩家一对一单独对抗,无其它人干预。
Aoe :area of effect,效果范围,引申为有范围效果的技能
补刀:指对血量不多的小兵造成最终一击的技术,也就是攻击小兵最后一下获得小兵的金钱,也可指对英雄的最后一击获得金钱。
KS:Kill Steal的简称,指专门对敌方英雄造成最后一下伤害获得金钱和杀人数,而实际上对这个英雄的多数伤害是由队友造成的,又称“抢人头”。
兵线:指双方小兵交战的线路位置。
对线:指己方英雄和敌方英雄在兵线附近对峙。
控线:高手们通过技能和补刀,把兵线停留在自己希望的地方。
推线:运用技能或者高攻击,快速消灭敌方小兵,并带领己方小兵威胁或摧毁敌方防御塔。
清兵:运用技能或者高攻击,快速消灭敌方小兵,获取金钱。又称刷兵打钱,英文“farm”。
沉默:可以移动,能够进行物理攻击,但不可以使用技能。
禁锢:不能移动,能够使用技能,但不可以进行物理攻击。
眩晕:不能移动,不能攻击,不能使用技能。
召唤师技能:英雄控制者(玩家)自己可以选定的技能,和使用的英雄无关。
技能:英雄一共拥有5个技能,一个英雄专属的被动技能;4个为英雄普通技能普通技能的4个施放键对应为Q、W、E、R,其中前3个技能最高5级、最后一个R键技能为大招,最高3级。)
攻击距离:一个技能的距离就是离目标多远的时候这个技能仍然对目标使用。这个距离通常可以通过将鼠标移至技能图标上查看;当你使用技能时屏幕上会出现一个施法距离的指示。
范围:有些技能可以同时影响多个目标,这有很多种途径可以实现,不过很多技能都有一个范围的效果指示告诉你这个技能会影响的区域。圆圈是范围效果的其中一种,圆形区域的技能通常可以通过一定距离施放。另一种范围效果是锥形范围,通常以英雄位置为范围起点施放。多目标技能还有很多种其它形式。
消耗:大多数技能都有其固定的消耗,有的消耗法力值,有的则消耗生命值,还有些英雄有特殊的消耗。要使用一个技能,英雄的属性必须要足够支撑这些消耗,否则将不能使用这个技能。召唤者法术没有消耗。
冷却时间:技能使用后只能经过一段固定时间后再次使用,这就是冷却。有的技能冷却时间非常短,甚至低于一秒,它们可以经常使用。另外一些技能的冷却时间则很长,几分钟才能使用一次。
特效:特效通过游戏中的技能、增益、法术和道具获得,它们会改变一个单位的基础状态。游戏中有很多不同种类的特效,了解它们是玩好传奇联盟 的一个必须环节。
护甲:护甲是一个可以减少单位受到的物理伤害的属性。部分技能、道具和怪物的增益具有提高或者减少一个单位护甲的效果。
攻击速度:攻击速度是提升一个单位攻击速度的属性。部分技能和道具具有提高或者减少一个单位攻击速度的效果。
伤害:伤害是一个单位攻击目标是扣去目标多少生命值的属性。部分技能会对单位造成直接伤害,有些技能、物品和增益具有提高或者减少一个单位所受到伤害的效果.
恐惧:恐惧效果会使他们的目标失去控制并且在效果持续时间内随机乱跑.
金钱:英雄在游戏过程中通过杀掉单位持续积累金钱。部分物品、技能和天赋可以使英雄更快地获得金钱。
抓取:抓取效果会把一个单位拉到使用这个抓取效果单位的身边.
治疗:治疗效果使一个单位回复生命值。有些治疗效果是立即生效的,有些则是在一段时间内持续回复生命值。部分技能和物品有降低目标受到治疗的效果。
无敌:无敌效果保护单位使其免疫一切受到的伤害。它不保护单位受到其它效果影响
击退:击退效果会把单位推到他受到击退效果方向的相反方向.
生命偷取:生命偷取效果可以使英雄攻击后按伤害的百分比回复生命。
恢复:恢复效果可以使一个单位加快他的生命值和/或法力值补充速度.
复活:复活效果可以使一个死亡的英雄复生而不需要等待死亡时间。
沉默:沉默效果会阻止单位使用技能或法术。
减速:减速效果会降低一个单位的移动速度。
潜行:潜行效果可以使敌对单位无法看到除非他们有侦测潜行的技能。
昏迷:昏迷效果会使一个单位短时间内不能移动或者使用技能和法术。它还会使正在引导和施放中的法术取消.
河道:中间横向的一条将地图分割为2的道路叫做河道。
外塔:从河道开始数第一个塔。
中塔:从河道开始数第二个塔。
内塔:从河道开始数第三个塔。
超级兵:攻击力190的兵叫超级兵。
兵营:攻破就会出超级兵的建筑叫兵营。
基地:攻破导致胜负的建筑叫做基地。
主塔:基地旁2个会回血的塔叫做主塔。
守护塔:商店里面999攻击的塔叫守护塔。
召唤水晶:介于内塔和主塔之间的建筑,当其被摧毁之后敌方将会派出超级士兵。
野怪:不会主动攻击的单位称为野怪。
对线:双方英雄对峙叫对线。
混线:受到压制混经验叫混线。
上路:左边的一条道路叫上路。
中路:中间的一条道路叫中路。
下路:右边的一条道路叫下路。
兵线:小兵走过的道路叫兵线
符文:召唤师可购买符文来增强英雄的能力(不同的英雄可使用不同的符文)。
草丛:地图上主要道路边的草丛,在草丛中的单位可以隐蔽,草丛外的敌人无法看到你,但是你可以看到草丛外的敌人。
物理攻击:普通攻击,简称物攻。
魔法攻击:技能攻击,简称法伤,英文简写AP,。
护甲:物理防御,减免受到物理攻击的伤害。
魔抗:魔法防御,减免受到技能攻击的伤害。
CD:Cool down,技能冷却时间,技能再次释放所需要的时间,在CD中的技能无法使用。
BUFF:杀死特定的野怪后获得增益魔法,持续一段时间后消失,若持有BUFF的同时被杀死,那么敌人将获得这个BUFF的增益效果。
假眼:岗哨守卫,隐形,可以显示周围的区域。
真眼:真视之眼,隐形,可以显示周围的区域,并且可以侦测隐形。
超级兵:在己方兵营被摧毁后,敌方会生产超级兵,拥有超高攻击,超高防御以及超多的血量,在己方兵营重建后敌方会停止生产超级兵。
阵亡通知书:英雄死亡后,可以查看阵亡通知书,上边记录了你受到的伤害值和伤害来源。
AP:魔法伤害
AD:物理伤害
ULT:大招,R键技能。
美服常用术语
b = 回来,撤退,敌人们去搞你了。意义就等同于国内DOTA里的3。
back = 撤退,敌人们去搞你了。意义就等同于国内DOTA里的3。
care = 小心,他们可能想搞你。
brb=be right back 马上回来。
oom = 没魔法值了。人家没魔法值就用不了技能,所以不要指望他给你技能上的援助(好像是废话)
lom = 魔法值很少了。意思就是人家可能就只能放1到2个技能,你要搞人的时候要想到这点。
focus = 集中搞一个。就是说你们整队人在团战的时候,先把某个敌方特定英雄弄翻。
top, mid, bottom = Lol中的上,中,下路。有的老外喜欢把TOP和BOTTOM分别用LEFT和RIGHT来表示。
mia=missing in action 一般用于top mia,mid mia,bot mia意指上,中,下路目标失踪
neuts = 野怪
neutrals = 生活在丛林里的猛兽们。
bush=草丛,LOL里可以把英雄藏在里面而不被外面的人发现
grass=还是草丛,LOL里可以把英雄藏在里面而不被外面的人发现
sigils=玩家打败远古傀儡和蜥蜴长老后所获得的临时增益效果。这些增益效果将在持有人被杀死后转移到杀手身上。
国服常用术语
ID:你的游戏角色名字
HP:指自己召唤师的生命值
FB:1血,也是DOTA类游戏的魅力之一,FB的全称是firstblood,指第一个杀死的英雄,不光有击杀英雄的奖励,还会额外的奖励的100元(杀英雄本身获得300)
3:闪人,撤退
b:闪人,撤退
卡:机器卡,网络延迟,服务器卡
Lag:一般是指网络延迟,当然有时候也是因为电脑的原因,总体意思和“卡”差不多。
Combo:由2个或者2个以上的英雄进行配合,打出的连招或者组合技。
Aoe:范围伤害,范围攻击。
Gank:游走杀人,限制对方英雄发展(一般简称抓人)
KS:抢人头
补刀:对方的小兵要没血的时候,砍他最后一下,获取金钱
ult:大招
push:推进,进攻。
farm:打兵赚钱
afk:人不在电脑面前,离开,英雄挂机等等。
bd:偷塔
mia:敌人在地图上消失,让队友提高警惕
miss:对线英雄在所在路消失,同上
noob:菜鸟
Jungling:打野
打野:杀地图上的中立怪物
拉野:依靠走位视野阴影等方式对野怪进行击杀,通常这种杀怪方式比正常的杀怪方式要慢一些,但是耗血比较少。
控线:就是把自己的小兵控制在自己的塔附近,防止自己被对方gank,也便于让自己人gank对方。
全屏流:是指技能释放的覆盖面非常大。当然全屏传送也应该算做全屏流
包眼:整场比赛买眼睛。一般是由辅助英雄来做。
PUB:路人局
BAN人:特定模式中(排位赛)禁用对方英雄
AP:魔法伤害
AD:物理伤害
ARM/Armor:物理护甲
MR/Magic Resistance:魔法抗性
buff:自己或者友方英雄身上的增益性魔法效果
debuff:自己或者友方英雄身上持续性的负面魔法效果
黑店:指游戏平台上几个认识的人在一起玩
集火:集中火力攻击一个人
先手控/先手技能:指向性的控制技能
后手控:在第一轮技能或者攻击完以后进行第二轮技能控制
Dps:输出伤害的英雄
Tank:肉盾,坦克,专门用于保护己方重要英雄或者吸收对方伤害。
奶妈:治疗
超神:在自己不死的情况下连续杀死对方多个英雄
超鬼:自己死了很多很多次
BLINK:闪现技能
stun:带有晕眩效果的技能
slow:带有减速效果的技能
brb:马上回来
弹道:远程英雄普通攻击出手到攻击到敌方单位的时间
沉默:对对方英雄使用禁魔技能
持续施法:需要站在一个地方吟唱,直到法术释放完毕。
CD:冷却时间
神装:能将自己攻击或防御达到极限的装备,最大化输出和生存
红药:加血回血
蓝药:回复魔法值
绿药:增加暴击攻击速度
大蓝药:增加法伤减少CD
top:上路
bot:下路
mid:中路
base:基地/老家
care:小心
oom:没魔了
dd :直接伤害技能。先点技能,后点目标,就可以看到效果,这就是DD的好处。比如黑暗之子安妮的Q键,火球。
feed :送人头/经验书。经常死掉从而养肥敌人的玩家(敌人通过杀他而获得了很多金钱)。被叫做经验书可不是一种赞美。杀经验书的玩家会获得很多杀人数。
ms:移动速度
gl hf:good luck have fun=祝你好运。通常会在游戏开始打这句话进行礼貌性的问候。
gg:good game。大部分时候是在游戏结束的时候,由输的一方打出来。称赞对方打的好,自己认输的一种表现。
辅助:主要辅助ADC的一个角色,不补兵,带眼,加血,主要保护ADC为目的。提示队友各大BUFF刷新时间
小学生:指那些刚入门的玩家,对游戏的理解让你大跌眼镜,没有操作,没有意识.
团控:团体控制
点控:单人控制
shat down:击杀对面长时间未死亡并已经至少连杀3人。可获得500金币
猜你喜欢:
1. 进入英雄联盟LOL游戏界面就变卡怎么办
2. 一打开英雄联盟就死机怎么解决
3. 一打开英雄联盟就死机怎么办
4. 电脑登录lol就死机怎么样解决
5. lol打完一局电脑死机怎么办
B. 我的电脑一个Svchost.exe进程,在任务管理器中总是占CPU90%以上,我给它结束了,就没事了,但重启后还有.
1.利用假冒Svchost.exe名称的病毒程序 这种方式运行的病毒并没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost.exe的病毒进程,由于这个假冒的病毒进程并没有加载系统服务,它和真正的Svchost.exe进程是不同的,只需在命令行窗口中运行一下“Tasklist /svc”,如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”,而不是一个具体的服务名,那么它就是病毒进程了,记下这个病毒进程对应的PID数值(进程标识符),即可在任务管理器的进程列表中找到它,结束进程后,在C盘搜索Svchost.exe文件,也可以用第三方进程工具直接查看该进程的路径,正常的Svchost.exe文件是位于%systemroot%\System32目录中的,而假冒的Svchost.exe病毒或木马文件则会在其他目录,例如“w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在Windows\System32\Wins目录中,将其删除,并彻底清除病毒的其他数据即可。 2:一些高级病毒则采用类似系统服务启动的方式,通过真正的Svchost.exe进程加载病毒程序,而Svchost.exe是通过注册表数据来决定要装载的服务列表的,所以病毒通常会在注册表中采用以下方法进行加载: 添加一个新的服务组,在组里添加病毒服务名在现有的服务组里直接添加病毒服务名 修改现有服务组里的现有服务属性,修改其“ServiceDll”键值指向病毒程序判断方法:病毒程序要通过真正的Svchost.exe进程加载,就必须要修改相关的注册表数据,可以打开[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\
CurrentVersion\Svchost],观察有没有增加新的服务组,同时要留意服务组中的服务列表,观察有没有可疑的服务名称,通常来说,病毒不会在只有一个服务名称的组中添加,往往会选择LocalService和netsvcs这两个加载服务较多的组,以干扰分析,还有通过修改服务属性指向病毒程序的,通过注册表判断起来都比较困难,这时可以利用前面介绍的服务管理专家,分别打开LocalService和netsvcs分支,逐个检查右边服务列表中的服务属性,尤其要注意服务描述信息全部为英文的,很可能是第三方安装的服务,同时要结合它的文件描述、版本、公司等相关信息,进行综合判断。例如这个名为PortLess BackDoor的木马程序,在服务列表中可以看到它的服务描述为“Intranet Services”,而它的文件版本、公司、描述信息更全部为空,如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:\WINDOWS\System32\svchost.exe -k netsvcs”中可以看出这是一款典型的利用Svchost.exe进程加载运行的木马,知道了其原理,清除方法也很简单了:先用服务管理专家停止该服务的运行,然后运行regedit.exe打开“注册表编辑器”,删除[HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\IPRIP]主键,重新启动计算机,再删除%systemroot%\System32目录中的木马源程序“svchostdll.dll”,通过按时间排序,又发现了时间完全相同的木马安装程序“PortlessInst.exe”,一并删除即可。 svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。所以,深入了解这个程序,是玩电脑的必修课之一。 大家对windows操作系统一定不陌生,但你是否注意到系统中“svchost.exe”这个文件呢?细心的朋友会发现windows中存在多个 “svchost”进程(通过“ctrl+alt+del”键打开任务管理器,这里的“进程”标签中就可看到了),为什么会这样呢?下面就来揭开它神秘的面纱。发现 在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003 server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remote procere call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等。 如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看,该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。 svchost中可以包含多个服务深入 windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot% system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由 svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢? 原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向 svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remote procere call)服务为例,进行讲解。 从启动参数中可见服务是靠svchost来启动的。实例 以windows xp为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“remote procere call”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。 在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[hkey_local_machine ]项,找到类型为“reg_expand_sz”的键“magepath”,其键值为“%systemroot%system32svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“servicedll”的键,其值为“% systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。解惑 因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。 假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。 由于篇幅的关系,不能对svchost全部功能进行详细介绍,这是一个windows中的一个特殊进程,有兴趣的可参考有关技术资料进一步去了解它。大家都要知道Svchost.exe,是系统必不可少的一个进程,很多服务都会多多少少用到它, 但是我想大家也知道,由于它本身特殊性,高明的"黑客们"肯定是不会放过的,前段时间的Svchost.exe木马风波,大家应该是记忆犹新吧,而且现在还是有很多机器里都藏有此木马,因为它伪装和系统进程Svchost.exe一样,所以很多人分不清,那个是进程,那个是木马.... 好的,还是让我们详尽了解一下Svchost.exe进程吧 1.多个服务共享一个 Svchost.exe进程利与弊 windows 系统服务分为独立进程和共享进程两种,在windows NT时只有服务器管理器SCM(Services.exe)有多个共享服务,随着系统内置服务的增加,在windows 2000中ms又把很多服务做成共享方式,由svchost.exe启动。windows 2000一般有2个svchost进程,一个是RPCSS(Remote Procere Call)服务进程,另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中,则一般有4个以上的svchost.exe服务进程,windows 2003 server中则更多,可以看出把更多的系统内置服务以共享进程方式由svchost启动是ms的一个趋势。这样做在一定程度上减少了系统资源的消耗,不过也带来一定的不稳定因素,因为任何一个共享进程的服务因为错误退出进程就会导致整个进程中的所有服务都退出。另外就是有一点安全隐患,首先要介绍一下svchost.exe的实现机制。 2. Svchost原理 Svchost本身只是作为服务宿主,并不实现任何服务功能,需要Svchost启动的服务以动态链接库形式实现,在安装这些服务时,把服务的可执行程序指向svchost,启动这些服务时由svchost调用相应服务的动态链接库来启动服务。 那么svchost如何知道某一服务是由哪个动态链接库负责呢?这不是由服务的可执行程序路径中的参数部分提供的,而是服务在注册表中的参数设置的,注册表中服务下边有一个Parameters子键其中的ServiceDll表明该服务由哪个动态链接库负责。并且所有这些服务动态链接库都必须要导出一个ServiceMain()函数,用来处理服务任务。 例如rpcss(Remote Procere Call)在注册表中的位置是 HKEY_LOCAL_,它的参数子键Parameters里有这样一项: "ServiceDll"=REG_EXPAND_SZ:"%SystemRoot%system32 pcss.dll" 当启动rpcss服务时,svchost就会调用rpcss.dll,并且执行其ServiceMain()函数执行具体服务。 既然这些服务是使用共享进程方式由svchost启动的,为什么系统中会有多个svchost进程呢?ms把这些服务分为几组,同组服务共享一个svchost进程,不同组服务使用多个svchost进程,组的区别是由服务的可执行程序后边的参数决定的。 例如rpcss在注册表中 HKEY_LOCAL_ 有这样一项: "ImagePath"=REG_EXPAND_SZ:"%SystemRoot%system32svchost -k rpcss" 因此rpcss就属于rpcss组,这在服务管理控制台也可以看到。 svchost的所有组和组内的所有服务都在注册表的如下位置: HKEY_LOCAL_ NTCurrentVersionSvchost,例如windows 2000共有4组rpcss、netsvcs、wugroup、BITSgroup,其中最多的就是netsvcs=REG_MULTI_SZ:EventSystem.Ias.Iprip.Irmon.Netman. Nwsapagent.Rasauto.Rasman.Remoteaccess.SENS.
Sharedaccess.Tapisrv.Ntmssvc.wzcsvc..
在启动一个svchost.exe负责的服务时,服务管理器如果遇到可执行程序内容ImagePath已经存在于服务管理器的映象库中,就不在启动第2个进程svchost,而是直接启动服务。这样就实现了多个服务共享一个svchost进程。 3. Svchost代码 现在我们基本清楚svchost的原理了,但是要自己写一个DLL形式的服务,由svchost来启动,仅有上边的信息还有些问题不是很清楚。比如我们在导出的ServiceMain()函数中接收的参数是ANSI还是Unicode?我们是否需要调用RegisterServiceCtrlHandler和StartServiceCtrlDispatcher来注册服务控制及调度函数? 这些问题要通过查看svchost代码获得。下边的代码是windows 2000+ service pack 4 的svchost反汇编片段,可以看出svchost程序还是很简单的。 主函数首先调用ProcCommandLine()对命令行进行分析,获得要启动的服务组,然后调用SvcHostOptions()查询该服务组的选项和服务组的所有服务,并使用一个数据结构 svcTable 来保存这些服务及其服务的DLL,然后调用PrepareSvcTable() 函数创建 SERVICE_TABLE_ENTRY 结构,把所有处理函数SERVICE_MAIN_FUNCTION 指向自己的一个函数FuncServiceMain(),最后调用API StartServiceCtrlDispatcher() 注册这些服务的调度函数。 ; =============================== Main Funcion =======================================
.text:010010B8 public start .text:010010B8 start proc near .text:010010B8 push esi .text:010010B9 push edi .text:010010BA push offset sub_1001EBA ; lpTopLevelExceptionFilter .text:010010BF xor edi, edi .text:010010C1 call ds:SetUnhandledExceptionFilter .text:010010C7 push 1 ; uMode .text:010010C9 call ds:SetErrorMode .text:010010CF call ds:GetProcessHeap .text:010010D5 push eax .text:010010D6 call sub_1001142 .text:010010DB mov eax, offset dword_1003018 .text:010010E0 push offset unk_1003000 ; lpCriticalSection .text:010010E5 mov dword_100301C, eax .text:010010EA mov dword_1003018, eax .text:010010EF call ds:InitializeCriticalSection .text:010010F5 call ds:GetCommandLineW .text:010010FB push eax ; lpString .text:010010FC call ProcCommandLine .text:01001101 mov esi, eax .text:01001103 test esi, esi .text:01001105 jz short lab_doservice .text:01001107 push esi .text:01001108 call SvcHostOptions .text:0100110D call PrepareSvcTable .text:01001112 mov edi, eax ; SERVICE_TABLE_ENTRY returned .text:01001114 test edi, edi .text:01001116 jz short loc_1001128 .text:01001118 mov eax, [esi+10h] .text:0100111B test eax, eax .text:0100111D jz short loc_1001128 .text:0100111F push dword ptr [esi+14h] ; dwCapabilities .text:01001122 push eax ; int .text:01001123 call InitializeSecurity .text:01001128 .text:01001128 loc_1001128: ; CODE XREF: start+5Ej .text:01001128 ; start+65j .text:01001128 push esi ; lpMem .text:01001129 call HeapFreeMem .text:0100112E .text:0100112E lab_doservice: ; CODE XREF: start+4Dj .text:0100112E test edi, edi .text:01001130 jz ExitProgram .text:01001136 push edi ; lpServiceStartTable .text:01001137 call ds:StartServiceCtrlDispatcherW .text:0100113D jmp ExitProgram .text:0100113D start endp ; =============================== Main Funcion end =========================================== 由于svchost为该组的所有服务都注册了svchost中的一个处理函数,因此每次启动任何一个服务时,服务管理器SCM都会调用FuncServiceMain() 这个函数。这个函数使用 svcTable 查询要启动的服务使用的DLL,调用DLL导出的ServiceMain()函数来启动服务,然后返回。 ; ============================== FuncServiceMain() ===========================================
.text:01001504 FuncServiceMain proc near ; DATA XREF: PrepareSvcTable+44o .text:01001504 .text:01001504 arg_0 = dword ptr 8 .text:01001504 arg_4 = dword ptr 0Ch .text:01001504 .text:01001504 push ecx .text:01001505 mov eax, [esp+arg_4] .text:01001509 push ebx .text:0100150A push ebp .text:0100150B push esi .text:0100150C mov ebx, offset unk_1003000 .text:01001511 push edi .text:01001512 mov edi, [eax] .text:01001514 push ebx .text:01001515 xor ebp, ebp .text:01001517 call ds:EnterCriticalSection .text:0100151D xor esi, esi .text:0100151F cmp dwGroupSize, esi .text:01001525 jbe short loc_1001566 .text:01001527 and [esp+10h], esi .text:0100152B .text:0100152B loc_100152B: ; CODE XREF: FuncServiceMain+4Aj .text:0100152B mov eax, svcTable .text:01001530 mov ecx, [esp+10h] .text:01001534 push dword ptr [eax+ecx] .text:01001537 push edi .text:01001538 call ds:lstrcmpiW .text:0100153E test eax, eax .text:01001540 jz short StartThis .text:01001542 add dword ptr [esp+10h], 0Ch .text:01001547 inc esi .text:01001548 cmp esi, dwGroupSize .text:0100154E jb short loc_100152B .text:01001550 jmp short loc_1001566 .text:01001552 ; =================================================
.text:01001552 .text:01001552 StartThis: ; CODE XREF: FuncServiceMain+3Cj .text:01001552 mov ecx, svcTable .text:01001558 lea eax, [esi+esi*2] .text:0100155B lea eax, [ecx+eax*4] .text:0100155E push eax .text:0100155F call GetDLLServiceMain .text:01001564 mov ebp, eax ; dll ServiceMain Function address .text:01001566 .text:01001566 loc_1001566: ; CODE XREF: FuncServiceMain+21j .text:01001566 ; FuncServiceMain+4Cj .text:01001566 push ebx .text:01001567 call ds:LeaveCriticalSection .text:0100156D test ebp, ebp .text:0100156F jz short loc_100157B .text:01001571 push [esp+10h+arg_4] .text:01001575 push [esp+14h+arg_0] .text:01001579 call ebp .text:0100157B .text:0100157B loc_100157B: ; CODE XREF: FuncServiceMain+6Bj .text:0100157B pop edi .text:0100157C pop esi .text:0100157D pop ebp .text:0100157E pop ebx .text:0100157F pop ecx .text:01001580 retn 8 .text:01001580 FuncServiceMain endp ; sp = -8 ; ============================== FuncServiceMain() end ======================================== 由于svchost已经调用了StartServiceCtrlDispatcher来服务调度函数,因此我们在实现DLL实现时就不用了,这主要是因为一个进程只能调用一次StartServiceCtrlDispatcher API。但是需要用 RegisterServiceCtrlHandler 来注册响应控制请求的函数。最后我们的DLL接收的都是unicode字符串。 由于这种服务启动后由svchost加载,不增加新的进程,只是svchost的一个DLL,而且一般进行审计时都不会去HKEY_LOCAL_ NTCurrentVersionSvchost 检查服务组是否变化,就算去检查,也不一定能发现异常,因此如果添加一个这样的DLL后门,伪装的好,是比较隐蔽的。 4. 安装服务与设置 要通过svchost调用来启动的服务,就一定要在HKEY_LOCAL_ NTCurrentVersionSvchost下有该服务名,这可以通过如下方式来实现: 1) 添加一个新的服务组,在组里添加服务名 2) 在现有组里添加服务名 3) 直接使用现有服务组里的一个服务名,但本机没有安装的服务 4) 修改现有服务组里的现有服务,把它的ServiceDll指向自己 其中前两种可以被正常服务使用,如使用第1种方式,启动其服务要创建新的svchost进程;第2种方式如果该组服务已经运行,安装后不能立刻启动服务,因为svchost启动后已经把该组信息保存在内存里,并调用API StartServiceCtrlDispatcher() 为该组所有服务注册了调度处理函数,新增加的服务不能再注册调度处理函数,需要重起计算机或者该组的svchost进程。而后两种可能被后门使用,尤其是最后一种,没有添加服务,只是改了注册表里一项设置,从服务管理控制台又看不出来,如果作为后门还是很隐蔽的。比如EventSystem服务,缺省是指向es.dll,如果把ServiceDll改为EventSystem.dll就很难发现。 因此服务的安装除了调用CreateService()创建服务之外,还需要设置服务的ServiceDll,如果使用前2种还要设置svchost的注册表选项,在卸载时也最好删除增加的部分。 注: ImagePath 和ServiceDll 是ExpandString不是普通字符串。因此如果使用.reg文件安装时要注意。 5. DLL服务实现 DLL程序的编写比较简单,只要实现一个ServiceMain()函数和一个服务控制程序,在ServiceMain()函数里用RegisterServiceCtrlHandler()注册服务控制程序,并设置服务的运行状态就可以了。 另外,因为此种服务的安装除了正常的CreateService()之外,还要进行其他设置,因此最好实现安装和卸载函数。 为了方便安装,实现的代码提供了InstallService()函数进行安装,这个函数可以接收服务名作为参数(如果不提供参数,就使用缺省的iprip),如果要安装的服务不在svchost的netsvcs组里安装就会失败;如果要安装的服务已经存在,安装也会失败;安装成功后程序会配置服务的ServiceDll为当前Dll。提供的UninstallService()函数,可以删除任何函数而没有进行任何检查。 为了方便使用rundll32.exe进行安装,还提供了RundllInstallA()和RundllUninstallA()分别调用InstallService()及UninstallService()。因为rundll32.exe使用的函数原型是: void CALLBACK FunctionName( HWND hwnd, // handle to owner window HINSTANCE hinst, // instance handle for the DLL LPTSTR lpCmdLine, // string the DLL will parse int nCmdShow // show state ); 对应的命令行是rundll32 DllName,FunctionName [Arguments] DLL服务本身只是创建一个进程,该程序命令行就是启动服务时提供的第一个参数,如果未指定就使用缺省的svchostdll.exe。启动服务时如果提供第二个参数,创建的进程就是和桌面交互的。干掉Svchost.exe进程! 1.错误的解决方法描述 当我们按下Alt+Ctrl+Del打开任务管理器,发现进程中出现多个Svchost.exe,则表明系统中毒,我们首先将所有的Svchost结束掉,然后使用相关的杀毒工具查杀病毒。 注: 2003年的夏天,“冲击波”病毒横行的时候有一种说法就是Svchost.exe都是病毒,一看到就要删除。这种说法让电脑用户人心惶惶,因为每个使用 Windows XP系统的用户在按照文章中介绍的检查有无Svchost.exe的方法都可以找到几个Svchost.exe进程。 有关Svchost.exe详见: http://forum.ikaka.com/topic.asp?board=3&artid=6087605 2.方案由来及后果 在很多人的印象中,每个应用程序一般只对应一个进程,如QQ对应QQ.EXE进程、记事本对应notepad.exe进程等。所以当看到系统有多个同样名字的进程时,总是会将其联想为病毒或者木马程序在作怪。如果不加思索,野蛮的将其中的某些Svchost.exe进程结束掉,会让系统的运行变得不稳定。 3.正确的解决办法 Windows 进程分为独立进程和共享进程两种,Svchost.exe属于后者。Windows XP为了节约系统资源,将很多个系统服务做为共享方式由Svchost.exe来启动。Svchost本身只是作为服务宿主,并不能实现任何服务功能, svchost通过调用相应服务的动态链接库(DLL)来启动该服务,而Windows将这些服务分为几个组,同组的服务共享一个Svchost进程,不同的组所指向的Svchost不同。通常情况下,Windows XP有4个由Svchost启动的服务组,也就是说Windows XP系统一般有4个Svchost.exe进程。当然某些应用程序或服务也有可能会调用Svchost,所以当你看到系统中有多余4个的 Svchost.exe进程,也不要盲目判断系统中了病毒。实际上Svchost.exe进程的个数跟是否中毒无直接关系。 小提示: ★ 笔者做了下面一个非常有趣的测试:打开任务管理器,切换到“进程”选项卡,首先手动结束掉由上到下的第三个Svchost.exe进程,结束完后系统会马上重新建立该进程,接下来我们手动结束掉由上到下的最后一个Svchost.exe进程,系统会出现一个类似中了冲击波病毒的对话窗口,并倒计时关机,这是由于该Svchost.exe进程引导RPC服务,终止该进程则导致RPC服务中断,系统自然会重新启动了。 ★Windows 2000中一般有两个Svchost.exe进程,Windows Server 2003则非常多,一般有6个。 既然系统中Svchost.exe进程数与是否中毒无关,我们究竟如何区别正常的和病毒伪造的Svchost进程呢? 我们可以使用下面两种方法来鉴别: 方法一: 在系统所在分区进行搜索,如果发现多个Svchost.exe文件,则系统很有可能中毒。正常的Svchost.exe位于%windir%\\ system32目录下,如果发现其它目录中有Svchost.exe文件,你就要小心了。例如冲击波的变种Win32.Welchia.Worm会在% windir%\\system32\\wins目录种下Svchost.exe文件。 方法二: 察看Svchost.exe进程对应文件的路径。 Windows XP自带的任务管理器中无法察看,我们需要借助第三方工具,例如Windows优化大师自带的进程管理工具,运行它后定位到Svchost.exe进程,可以看到它对应的运行文件的真实路径。 小提示: ★不少木马程序会采用将自己伪装成跟常见进程相似的文件名或者相同的文件名但扩展名不相同,如果你在任务管理器中看到Scvhost.exe、Svch0st.exe等进程,肯定有木马已经植入你的系统。 ★ 很多朋友在查看CPU占用率时,一个叫做“System Idle Process”的进程常常会显示为90-99%。不必担心,实际上恰恰相反的是这里的90-99%是CPU资源空闲了出来的资源。这里的数字