[ft=,3,]svchost.exe是NT核心系统非常重要文件对于Win2000/XP来说不可或缺这些svchost进程提供很多系统服务如:rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等等
[ft=,3,]　　如果要了解每个svchost进程到底提供了多少系统服务可以在WinXP命令提示符窗口中输入“tasklist /svc”命令来查看
[ft=,3,]　　工作原理
[ft=,3,]　　般来说Windows系统进程分为独立进程和共享进程两种svchost.exe文件存在于%systemroot%system32目录下属于共享进程
[ft=,3,]　　随着Windows系统服务不断增多为了节省系统资源微软把很多服务都做成共享方式交由svchost进程来启动但svchost进程只作为服务宿主并不能实现任何服务功能即它只能提供条件让其他服务在这里被启动而它自己却不能给用户提供任何服务
[ft=,3,]　　这些服务是如何实现呢?原来这些系统服务是以动态链接库(dll)形式实现它们把可执行指向svchost由svchost相应服务动态链接库来启动服务
[ft=,3,]　　那svchost又如何知道某个系统服务该哪个动态链接库呢?这是通过系统服务在注册表中设置参数来实现
[ft=,3,]　　具体例子
[ft=,3,]　　下面以Remote Registry服务为例来看看svchost进程是如何DLL文件在WinXP中点击“开始→运行”输入“services.msc”命令会弹出服务对话框然后打开“Remote Registry”属性对话框可以看到Remote Registry服务可执行文件路径为“C:Windows32svchost -k LocalService”(图1)这介绍说明Remote Registry服务是依靠svchost“LocalService”参数来实现而参数内容则是存放在系统注册表中
[ft=,3,]　　在运行对话框中输入“regedit.exe”后回车打开注册表编辑器找到“HKEY_LOCAL_MACHINEcurrentcontrolservicesRemote Registry”项再找到类型为“reg_expand_sz”“Imagepath”项其键值为“%systemroot%system32svchost -k LocalService”(这就是在服务窗口中看到服务启动命令)另外在“parameters”子项中有个名为“ServiceDll”键其值为“% systemroot%system32 egsvc.dll”其中“regsvc.dll”就是Remote Registry服务要使用动态链接库文件这样svchost进程通过读取“Remote Registry”服务注册表信息就能启动该服务了
[ft=,3,]　　也正是svchost重要性所以病毒、木马也想尽办法来利用它企图利用它特性来迷惑用户达到感染、入侵、破坏目那么应该如何判断到底哪个是病毒进程呢?正常svchost.exe文件应该存在于“C:Windowssystem32”目录下如果发现该文件出现在其他目录下就要小心了
[ft=,3,]　　提示:svchost.exe文件路径可以通过“系统信息→软件Software环境→正在运行任务”来查看.