-
Konular:
- Soru / Cevap
- ipucu
- windows
Svchost.exe nedir ve neden çalışır?
Sinan Atan - Temmuz 3 2009, Cuma - 18:30
19 Mesaj »
Yazdır
Arkadaşına Gönder-
Etkin bir bilgisayar kullanıcısı iseniz sık sık Görev Yöneticisi'ni uygulamalarınızı, ağ iletişiminizi, kullanıcı oturumlarınızı, performans durumunuzu ve özellikle de işlemlerinizi takip etmek ve yönetmek için kullanıyorsunuzdur. İşlemler sekmesi uygulamaların kullandığı işlemlerin yönetilmesini oldukça kolaylaştırıyor.
İşlemler kısmına baktığımızda aktif olarak kullandığımız uygulamaların dışında birçok programcığın çalıştığını farketmişsinizdir. Bunların büyük bir kısmı işletim sistemimizin kullandığı ve sağladığı çeşitli servislerin çalışabilirliğini sağlayan işlemler iken bazıları da yüklediğimiz programların çeşitli özelliklerini denetleyen servisler olarak karşımıza çıkıyor- Bkz jusched.exe. Bu yazımızda görev yöneticisinde en fazla gördüğünüz ve muhtemelen merak ettiğiniz işlemlerden biri olan svchost.exe'nin ne olduğunu ve işletim sistemimiz tarafından neden çalıştırıldığını belirteceğiz.
Peki nedir svchost.exe?
Microsoft'a göre svchost.exe; dinamik -bağlantı kütüphaneleri (.dll uzantılı) kullanılarak çalıştırılan servisleri yöneten genel istemci işlemidir.
Tanım birazcık karışık oldu galiba. Biraz da açık şekilde ifade edecek olursak; bir süre önce statik kütüphaneler yerine kullanılmaya başlanılan, dinamik-bağlı kütüphanelerin çalıştırılmasını sağlayan programcık olarak betimleyebiliriz, svchost.exe yazılımını.
Statik kütüphane yapısında kütüphaneler (servisler), ilgili derleyici tarafından nesne dosyalarıyla birlikte .exe olarak derlenirler ve ilgili servis bu programcık yardımıyla çalıştırılır. Dinamik kütüphane yapısında ise .dll -dynamically-linked library- dosyaları genel bir istemci programcık tarafından çalıştırılarak servisler kullanılabilir kılınır ki bu programcık da svchost.exe'dir. İşte görev yöneticinizi açtığınızda zaman zaman düzineye yakın sayıda svchost.exe işlemi görmenizin sebebi budur. Dinamik kütüphane kullanımının, statik kütüphane kullanımına göre işlem zamanının kısalması gibi birçok avantajı vardır ki günümüzde çoğu yazılımda dinamik-bağlı kütüphane yapıları kullanılmaktadır. Yazımızın konusu dinamik kütüphane yapısının avantajları olmadığı için bu kadar bilginin bu noktada yeterli olduğu kanaatindeyiz :).
Windows XP Pro'da ya da Windows Vista'da komut satırını kullanmak kaydıyla svchost.exe işlemlerinin o anda aktif olarak kullandıkları servisleri denetleyebilirsiniz. Bu işlem için komut satırına
tasklist /svc
yazmanız yeterlidir.
Vista kullanıyorsanız eğer komut satırı yerine görev yöneticisini kullanarak da herhangi bir işlemin yürüttüğü hizmetleri görebilirsiniz.
Görev yöneticisini kullanmanız durumunda söz konusu hizmetlerin kullanım alanlarını belirlemeniz açıklama kısmına bakarak daha kolay olacaktır.
Neden görev yöneticisinde çok fazla svchost.exe var?
Bu soruya dolaylı olarak cevap vermiştik aslında bir önceki paragrafta. Svchost.exe uygulamaya özel bir program değil, bilgisayarımızın çalışması için gerekli olan ve ekstra özellikler getiren birçok servis svchost.exe kanalıyla çalışıyorlar ki bu da görev yöneticinizde gördüğünüz fazlaca svchost.exe işlemlerini açıklıyor.
Peki tek bir svchost.exe ile tüm bu servisler çalıştırılamaz mıydı diye soruyor olabilirsiniz. Bu sorunun cevabı, ellette çalıştırılabilirdi; ancak böylesi bir durumda bu minik programcığın herhangi bir hizmeti çalıştırırken yaşadığı küçük bir sorun sisteminizin "çakılmasına" veya birçok uygulamanızın çalışmaz duruma gelmesine sebep olabilirdi. Bu sebeple işletim sistemimiz sunduğu hizmetleri gruplar halinde çalıştırmak kaydıyla olası sorunlarda sıkıntıyı minimum seviyede tutmaya çalışıyor. Örneğin sözkonusu işlemlerden bir tanesi cevap vermediği zaman yalnızca o işlemin çalıştırdığı servisler işlevini yitiriyor.
Denetim Masası/Yönetimsel Araçlar/Hizmetler
adres yoluna eriştiğinizde karşınıza çıkan onlarca hizmetin ciddi bir kısmının svchost.exe yardımıyla başlatılan servisleri gösterdiğine dikkat ediniz.
Bu bölümden istediğiniz servisleri geçici olarak durdurabilir ya da tamamen kapatabilirsiniz. Bu şekilde görev yöneticinizdeki svchost.exe işlemleri azalacaktır; fakat ne yaptığınıza emin değilseniz kesinlikle ve kesinlikle bu bölüme dokunmamanızı öneririz. Hatalı bir hareketinizle bilgisayarınız bazı işlevlerini yitirebilir! – Örnek uygulamayı biz DNS istemcisi ile yaptık. Bu servisi kapatmamız durumunda bilgisayarımız insan diliyle yazılmış site adreslerini IP adreslerine çevirme yeteneğini kaybedecektir.
Her svchost.exe'ye inanmayın!
Görüldüğü üzere svchost.exe programcığı birçok kullanıcının hakim olmadığı onlarca hizmet çalıştırıyor. Haliyle son kullanıcı da hakim olmadığı bu yazılımı kurcalayarak sisteminin stabilitesini bozmak istemiyor. Varmak istediğimiz nokta; bu durumu fırsat bilen kötü amaçlı yazılımcılar bu programcığın adıyla farklı bir klasörden ya da yine system32 klasöründen svvhost.exe, scvhost.exe (özellikle bu ikincisi dalgınken rahatlıkla gözden kaçabilir :)) gibi isimler arkasında gizledikleri virüs, solucan (worm) gibi yazılımlarla sisteminize zarar verebilmektedirler. Bu hususta dikkat etmeniz gereken nokta görev yöneticinizde çalışan programın adı ve çalıştığı adres yoludur.
Varsayılan olarak Görüntü Yolu Adı görev yöneticinizde yer almaz. Görünüm sekmesindeki, sütun başlığından bu sekmeyi aktif hale getirebilirsiniz.
Ek not: Görüntü Yolu Adı sütunu Windows Vista'da aktif edilebiliyor. XP kulllanan arkadaşlar ücretsiz olan Svchost viewer programıyla aynı kontrolü yapabilirler.
Ayrıca işlemin çalıştığı kullanıcıyı kontrol ederek de svchost.exe'nizi denetleyebilirsiniz. Eğer sizin kullanıcı adınız altında çalışıyorsa söz konusu işlem kötü amaçlı bir yazılımdır; çünkü svchost.exe sadece sistem, ağ, yerel servisler gibi kullanıcı kimliklerinde çalışır.
Yukarıdaki görüntünün alındığı bilgisayarda çalışan tüm işlemler svchost.exe ve hepsi de system32 klasöründen çalışıyor. Özet olarak söz konusu sistemde bu konuda herhangi bir sorun görülmüyor.
çok tartışması olmuştu hatta kavga çıkacaktı forumda anlattığınız iyi olmuş :D
süper bi yazı olmuş.Elinize saglık.Diger exelerinde açıklamasını bekliyoruz.Bu yazı dizisinin devamını bekliyorum
Bir aksilik olmaz ise diğer işlemleri de açıklamayı düşünmekteyiz. Birçok forumda karman çurman ve pek de sağlıklı olmayan şekilde açıklanıyor bu exe'lerin görevleri. Yaptığımız çalışmalar düzgün ve anlaşılır olursa okuyucunun bilgi edinmesi de o denli kolaylaşacaktır.
tabiki,eminim daha önce görev yöneticisini bile bilmeyen bi çok kişi okumuştur şu anda bu yazıyı.Böyle böyle bilgilenmemiz lazım.Video bölümünüde ayrıca tebrik ediyorum.Emirhan faydalı ve basit şekilde bilgileri aktarıyo.İnşallah ikisininde devamı gelir.
bence de ıyı olmuş cunku bu aralar Svchost.exe adı altında vırus bulaşmalarına yakından sahıt olmaya basladık……….
Gerçekten böylesi önemli bir konuda açıklamalarınızın bilgilendirmelerin olması çok güzel ellerinize sağlık. Dahada geliştirilerek bu konudaki yazılarınızı tekrardan bekleriz… svchost.exe lerini hep merak ederdik, Görev Yöneticisinden baktığımızda orada sistem belleğini harcadığını gördüğümüz arkaplanda (system tray) çalışan biri sürü svchost'lar ve exe'ler var, neyin ne olduğunu bilemediğimizden dokunmakda istemiyoruz… Her PC yi açtığımızda Görev Yönt. kontrol etmek lazım. Mesela kapatıldığında/Görevi sonlandır dediğimizde sistemde o anda soruna neden olmadığını bildiğiniz kapatarak sistem belleğini rahatlatacağımız böyle svchost lar yanında diğer bazı exe leride burada verirseniz çok çok harika olur (WinXP içinde söylüyorum)…
Birde kapatıp/görevi sonlandır diyeceğimiz hesapların özellikle "system32" ve "rundll32.exe" ile alakalı olmamasına dikkat etmek lazım değil mi?… Ayrıca tüm Windowslarda karşılaştığımız bazı örnekler: smss.exe, sp_rsser.exe, nvsvc32.exe, Isass.exe, csrss.exe… Bilgilerinizi bekliyoruz…
Görev yöneticisi, görünüm sekmesinde, "Görüntü yolu adı" diye bir seçenek yok bende ? (Xp Pro)
Bu konuda haklısın. Bu seçenek malesef sadece Vista'da var =)
@Amca
XP kullananlar için yazıyı güncelledim. Svchost view'er programıyla aynı denetimi yapabilirsiniz :)
Çok başarılı bir yazı daha. Tebrik ediyorum.
Merhaba,
sanırım bendeki svchost.exe dosyasına virüs (malware) bulaştı, ve ben onu sildim istemeden de olsa.
bilgisayarımı açtığımda svchost.exe çalıştırılamadı gibi bir hata veriyor, ne yapmam gerekiyor?
teşekkür ederim cevap için.
Windows CD'sinizden bu dosyayı yükleyebilirsiniz. İsterseniz expand komutuyla ilgili dosyayı çalıştığı dizine çıkartın isterseniz de Winrar türü 3. parti bir yazılım kullanabilirsiniz.
Peki bu servisin kullandığı RPC(özellikle bu),Terminal hizmetleri, Sunucu Hizmeti gibi şeyler ne oluyor? bunları durdurmaya kalktığımda bilgisayar "bilgisayarınız 60 sn sonra kapanacak" hatası veriyor. Rootkit şüphem var ama internette ve satıcılarda bulunan bütün illegal XP'lerde bu var. 'Acaba büyük bir BBG ağının içindeyiz de haberimiz mi yok' diye düşünüyorum.
verdiğiniz programla birlikte sözünü ettiğim şüpheli servislerin resmi: http://img101.imageshack.us/img101/5638/svcrpcbbg.jpg
Ayrıntılı process explorer görüntüsü (oradaki DPCs denen serviste sinirimizi bozmuyor değil)
http://img129.imageshack.us/img129/7319/processexprpcbbg.jpg
Öncelikle böyle bir konuyu actığınız için teşekkür ederim
EYdsl isimli kota görüntüleme programını kullanıyorum ve anlık dowload upload miktarımı falan görebiliyorum benim bilgisayrımda kota gundelikle kesin 70 mb civarında bır kotam gıdıyorr ve sınırlı oldugu için çok kötü ve bu kotada svchost.exe den gıdıyor ben internetle alakalı hıc bırsey yapamdan bu kota gıdıyor hatta suan bıle gıdıyor yazıyı yazıp hemen cıkacagım lutfen yardımlarınızı bekliyorm
teşekkürler…
Kotanızı kullanan başka bir yazılım olmalı. Svchost'un kullandığı servislerden kotayı tüketecek bir yazılım olmaması lazım. Bilgisayarınızın ağ kartını monitör edecek temel bir yazılım kullanarak sorununuzu belirleyebilirsiniz. Örneğin netlimiter kullanabilirsiniz.
Network tecrübeniz varsa wireshark gibi bir yazılımlada packet capture yapabilirsiniz.
işlemler bende şu anda elli beş res atıyorum yada oturumu kapatıyorum 28 e düşüyor. masa üstünde açık iki proğram var bunu nedeni ne ve nasıl engellerim bunu yani normal 28 olması gereken işlemler 55
Msconfig'den kullanmadığınız yazılımların servislerini durdurabilirsiniz. Ayrıca winamp, itunes vb yazılımları kullanıp kapatsanız dahi servisleri çalışmaya devam ediyor.