对svchost.exe 文件的全面了解

以下的文章主要向大家讲述的是全面了解系统中 svchost.exe 文件，无意间在一些反病毒论坛上浏览时，发现一些朋友对系统中svchost进程不甚了解，看见存在许多svchost进程就以为自己中了病毒，
其实不然。笔者经常在一些反病毒论坛上浏览时，发现一些朋友对系统中svchost进程不甚了解，看见存在许多svchost进程就以为自己中了病毒，其实不然。svchost.exe是NT核心系统非常重要的文件，对于Win2000/XP来说，不可或缺。这些svchost进程提供很多系统服务，如：rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等等。如果要了解每个svchost进程到底提供了
多少系统服务，可以在WinXP的命令提示符窗口中输入“tasklist /svc”命令来查看。工作原理一般来说，Windows系统进程分为独立进程和共享进程两种。svchost.exe文件存在于%systemroot%\system32目录下，属于共享进程。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务都做成共享方式，交由svchost进程来启动。但svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。这些服务是如何实现的呢?原来这些系统服务是以动态链接库(dll)形式实现的，它们把可执行程序指向svchost，由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现的。具体实例下面以Remote Registry服务为例，
来看看svchost进程是如何调用DLL文件的。在WinXP中，点击“开始→运行”，输入“services.msc”命令，会弹出服务
对话框，
然后打开“Remote Registry”属性对话框，可以看到Remote Registry服务的可执行文件的路径为“C:\Windows\System32\svchost -k LocalService”(图1)，这说明Remote Registry服务是依靠svchost调用“LocalService”参数来实现的，而参数的内容则是存放在系统注册表中的。在运行对话框中输入“regedit.exe”后回车，打开注册表编辑器，找到“HKEY_LOCAL_MACHINE\System\
currentcontrolset\services\Remote Registry”项，再找到类型为“reg_expand_sz”的“Imagepath”项，其键值为“%systemroot%\system32\svchost -k LocalService”(这就是在服务窗口中看到的服务启动命令)，另外在“parameters”子项中有个名为“ServiceDll”的键，其值为“% systemroot%\system32\regsvc.dll”，其中“regsvc.dll”就是Remote Registry服务要使用的动态链接库文件。这样svchost进程通过读取“Remote Registry”服务注册表信息，就能启动该服务了。也正
是因为svchost的重要性，
所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的。
那么应
该如何判断到底哪个是病毒进程呢?正常的svchost.exe文件应该存在于“C:\Windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。提示：svchost.exe文件的调用路径可以通过“系统信息→软件环境→正在运行任务”来查看.【责任编辑：孙巧华 TEL：（010）68476606】 原文：对svchost.exe 文件的全面了解 返回网络安全首页