svchost.exe

svchost.exe (Service Host) est l’hôte de service. Il sert de processus parent pour l’exécution d’un ou d’un groupe de services.

Localisation

  • %SYSTEMROOT%\System32\svchost.exe
  • %SYSTEMROOT%\SysWOW64\svchost.exe

DFIR

Processus Parent : services.exe (le plus souvent)
Utilisateur / Compte : Local System, Network Service, Local Service, utilisateurs connectés
Nombre d’instance : beaucoup
Lancement : variable

Remarques

  • svchost.exe s’éxecutant avec le paramètre "-k" permet de regrouper des services similaires. Les paramètres "-k" typiques incluent DcomLaunch, RPCSS, LocalServiceNetworkRestricted, LocalServiceNoNetwork, LocalServiceAndNoImpersonation, netsvcs, NetworkService, etc.
  • Il est normal de voir autant d’exécutions « svchost » sur une machine en rapport avec les processus qui les utilisent. Les services tels que Mises à Jour Automatiques, Pare-Feu Windows, Plug and Play, Service de Télécopie et beaucoup d’autres peuvent utiliser les services de svchost pour s’exécuter.
  • Les auteurs de malwares profitent souvent de l’omniprésence de svchost.exe pour héberger une DLL malveillante en tant que service, soit pour exécuter un processus malveillant nommé svchost.exe.
  • Au démarrage, svchost vérifie le registre pour des services chargeant un fichier .dll externe et les fait démarrer.
  • A partir de la version 1703 de Windows 10, Microsoft a modifié le regroupement par défaut des services similaires. Le système ne les regroupe pas par défaut si il dispose de plus de 3,5 Go de RAM. Dans ce cas, la plupart des services s’exécutent sous leur propre instance de svchost.exe. Sur les systèmes disposant de plus de 3,5 Go de RAM, attendez-vous à voir plus de 50 instances de svchost.exe !