أحيانا عندما تقوم بفتح إدارة المهام في ويندوز Windows فقد تتفاجأ من وجود الكثير من العمليات النشطة التي تبدأ باسم Service Host ، وإذا حاولت إيقافها فلن تستطيع … و من هنا فإن الكثير يعتقد أن هذه يمكن أن تكون فيروسات أو برمجيات خبيثة ..
في هذه المقالة سنشرح عن هذه العمليات Service Host Process ( مضيف عام للخدمات ) أو svchost.exe.. ما هي و ما وظيفتها و العديد من الأشياء الأخرى :
ما هي عمليات مضيف الخدمات Service Host Process
بحسب مايكروسوفت Microsoft فإن هذه العمليات هي عبارة عن اسم مضيف عام للخدمات التي تعمل من مكتبة الروابط الديناميكية
حسناً ولكن يبدو هذا التعريف ليس واضحاً كفاية و للتوضيح : قامت مايكروسوفت Microsoft بعمل العديد من التغيرات في وظائف ويندوز Windows من الاعتماد على خدمات ويندوز Windows الذاتية ( و التي تعمل مباشرة من ملفات EXE ) إلى استخدام ملفات DLL بدلا عنها و ذلك بسبب أن ذلك ، و من الناحية البرمجية – يجعل الكود أكثر قابلية لإعادة الاستخدام و أسهل للحفاظ عليه محدثا .
و لكن المشكلة هي في أن نظام التشغيل لا يستتطيع تشغيل ملفات DLL مباشرة بنفس الطريقة التي يتعامل فيها مع الملفات التنفيذية EXE . و لذلك فإن عملية معينة يقوم باستضافة خدمات DLL هذه و من هنا أتت عمليات مضيف الخدمات أو svchost.exe
لماذا يقوم الويندوز Windows بتشغيل الكثير من عمليات مضيف الخدمات في نفس الوقت ؟
إذا ما قمت بإلقاء نظرة على قسم الخدمات Services في لوحة التحكم فإنك سوف تلاحظ أن ويندوز Windows يحتاج الكثير من الخدمات ، و إذا ما تم استضافة كل هذه الخدمات من قبل مضيف خدمات واحد فإن هذا يعني أن الخلل في خدمة واحدة يمكن أن يؤثر على باقي الخدمات و بالتالي تأذي كامل نظام التشغيل و لذلك يتم فصل هذه الخدمات و توزيعها على عدة عمليات مضيف خدمات
و تنظم هذه الخدمات على شكل مجموعات محلية تكون جميعها معلقة مع بعضها بعض الشيء ، حيث يقوم مضيف خدمات واحد باستضافة عدة خدمات متعلقة مع بعضها فمثلاً هناك مضيف خدمات واحد يقوم بتشغيل ثلاثة خدمات متعلقة بالجدار الناري ، مضيف آخر قد يشغل عدة خدمات أخرى لها علاقة بواجهة المستخدم ، و هكذا ..
في الصورة بالأسفل يمكن رؤية كيف أن عملية مضيف خدمات واحدة تشغل عدة خدمات متعلقة بالشبكة Network :
هل يمكن إيقاف هذه العمليات ؟
غالباً ما يحتاج نظام الويندوز هذه العمليات من أجل العمل بشكل سليم ، و لكن في الحقيقة ، في إصدار ويندوز إكس بي Windows XP و الإصدارات الأقدم ، و عندما كانت الحواسيب بمواصفات محدودة ، فإنه كان ينصح بإيقاف بعض الخدمات الثانوية غير الضرورية من أجل تسريع الحاسوب ، أما حالياً فلا ينصح أبدا بتعطيل أي خدمة . حيث أن الحواسيب الحديثة تميل إلى تحميل عمليات ذاكرة و عالية القوة ، أضف إلى ذلك إلى أن طريقة التعامل مع هذه الخدمات في النسخ الحديثة من ويندوز أكثر انسيابية و رشاقة و سرعة لذلك لا ينصح بإيقافها أبدا.
و لكن في المقابل فإذا كنت تلاحظ أن أحد عمليات استضافة الخدمات أو إحدى الخدمات المتضمنة تسبب مشكلة مستمر مثل استخدام كبير لذاكرة الوصول العشوائية الرام RAM أو للمعالج المركزي CPU فإنه يتوجب عليك إجراء فحص لهذه المضيف و لخدماته المتضمنة ، و هذا سيعطي فكرة عن نقطة البداية من أجل حل المشكلة .
يوجد عدة طرق من أجل معرفة الخدمات المستضافة من قبل مضيف معين و ذلك من خلال إدارة المهام Task Manager أو باستخدام أداة خارجية اسمها مستكشف العمليات Process Explorer
استعراض الخدمات من خلال إدارة المهام
في حال كنت تستخدم نظام ويندوز 8 Windows أو 10 Windows فإن العمليات تظهر و باسمها الكامل في تبويب خاص باسم : العمليات Processes . حيث يمكن رؤية الخدمات المستضافة من قبل مضيف معين من خلال توسيع هذا المضيف ( الضغط على السهم بجانبه ) :
و لمزيد من المعلومات عن خدمة معينة يمكن الضغط عليها بزر الفأرة الأيمن و اختيار : البحث عبر الإنترنت Search online
أما إذا كنت تستخدم ويندوز 7 Windows فالأمر مختلف قليلا حيث أن إدارة المهام لن تعرض الخدمات بنفس الطريقة و لن تظهر حتى الاسم النظامي للخدمة ، حيث تظهر كل العمليات بنفس الاسم svchost.exe .
و من أجل تحديد نوعي لكل عملية يجب الضغط على الاسم الظاهر (svchost.exe) بزر الفأرة الأيمن ثم اختيار انتفال إلى خدمة ( خدمات ) Go to Service
بعد ذلك سيتم تحويلك إلى تبويب خدمات Services و تظهر الخدمات المتعلقة بالمضيف السابق و تكون محددة كما في الشكل :
و من هنا تستطيع رؤية الاسم الكامل لكل خدمة في عمود : الوصف Description حيث يمكنك تعطيل الخدمة في حال لم ترغب بالاستمرار في تشغيلها أو أنها كانت تسبب مشاكل .
استعراض الخدمات المتلعقة باستخدام أداة Process Explorer
هذه الأداة الخاصة بمايكروسوفت Microsoft جيدة في هذا المجال ، فقط قم بتحميلها من هنا ثم افتحها حيث أنها أداة محمولة لا تحتاج إلى التنصيب .
ستقدم الأداة خيارات متقدمة و من ضمنها مجموعة الخدمات المتعلقة بكل مضيف أو بكل عملية svchost.exe. حيث يتم وضعها بالاسم الكامل ، كما يمكن وضع المؤشر على عملية svchost.exe.معينة و ستظهر نافذة منبثقة تحوي جميع الخدمات المتعلقة بها و حتى تلك العمليات التي لا تعمل في الوقت الراهن .
هل يمكن أن تكون هذه العمليات فيروساً
طبعاً العمليات بحد ذاتها هي جزء من مكونات ويندوز Windows الأساسية ، و يمكن أحياناً أن يقوم فيروس ما باستبدال مضيف خدمات حقيقي بالملف التنفيذي الخاص به ، رغم أن هذا السلوك غير شائع .
ولكن إذا أحببت أن تتأكد يمكن فحص موقع العمليات من خلال إدارة المهام ثم الضغط بزر الفأرة الأيمن على أي مضيف خدمة مشكوك فيه ثم اختيار : فتح موقع الملف “Open File Location”
في حال كان موقع الملف في مجلد Windows\System32 فإن هذا يدل بقوة على أنه ليس فيروساً ,