civ3's

揭开SVCHOST.exe进程之谜

NT与Linux双系统完全解决方案 回到列表 Regsvr32 用法和错误消息的说明
用户名：
密　码： 忘记密码
注册会员 游客参观 论坛帮助


　揭开SVCHOST.exe进程之谜

作者：　时间： 2004-07-02　文档类型：转载　来自：天极网
浏览统计 total:249891 | year:1169 | Quarter:1169 | Month:1169 | Week:1169
| today:610

　　svchost.exe是nt核心系统的非常重要的进程，对于2000、xp来说，不可或缺。
很多病毒、木马也会调用它。所以，深入了解这个程序，是玩电脑的必修课之一。

　　大家对windows操作系统一定不陌生，但你是否注意到系统中“svchost.exe”这个
文件呢？细心的朋友会发现windows中存在多个 “svchost”进程（通过“ctrl+alt+del”
键打开任务管理器，这里的“进程”标签中就可看到了），为什么会这样呢？下面就来
揭开它神秘的面纱。

发现

　　在基于nt内核的windows操作系统家族中，不同版本的windows系统，存在不同数
量的“svchost”进程，用户使用“任务管理器”可查看其进程数目。一般来
说，win2000有两个svchost进程，winxp中则有四个或四个以上的svchost进程（以后
看到系统中有多个这种进程，千万别立即判定系统有病毒了哟），而win2003
server中则更多。这些svchost进程提供很多系统服务，如：rpcss服务（remote
procedure call）、dmserver服务（logical disk manager）、dhcp服务（dhcp
client）等。

　　如果要了解每个svchost进程到底提供了多少系统服务，可以在win2000的命令提
示符窗口中输入“tlist -s”命令来查看，该命令是win2000 support tools提供的。在
winxp则使用“tasklist /svc”命令。

svchost中可以包含多个服务

深入

　　windows系统进程分为独立进程和共享进程两种，“svchost.exe”文件存在于
“%systemroot% system32”目录下，它属于共享进程。随着windows系统服务不断增
多，为了节省系统资源，微软把很多服务做成共享方式，交由 svchost.exe进程来启
动。但svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让
其他服务在这里被启动，而它自己却不能给用户提供任何服务。那这些服务是如何实
现的呢？

　　原来这些系统服务是以动态链接库（dll）形式实现的，它们把可执行程序指向
svchost，由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某
个系统服务该调用哪个动态链接库呢？这是通过系统服务在注册表中设置的参数来实
现。下面就以rpcss（remote procedure call）服务为例，进行讲解。

　　从启动参数中可见服务是靠svchost来启动的。

实例

　　以windows xp为例，点击“开始”/“运行”，输入“services.msc”命令，弹出服务
对话框，然后打开“remote procedure call”属性对话框，可以看到rpcss服务的可执
行文件的路径为“c:\windows\system32\svchost -k rpcss”，这说明rpcss服务是依靠
svchost调用“rpcss”参数来实现的，而参数的内容则是存放在系统注册表中的。

　　在运行对话框中输入“regedit.exe”后回车，打开注册表编辑器，找到
[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项，找到类型为
“reg_expand_sz”的键“magepath”，其键值为“%systemroot%system32svchost -k
rpcss”（这就是在服务窗口中看到的服务启动命令），另外在“parameters”子项中有
个名为“servicedll”的键，其值为“% systemroot%system32rpcss.dll”，其中
“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取
“rpcss”服务注册表信息，就能启动该服务了。

解惑

　　因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利
用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒
“w32.welchia.worm”）。但windows系统存在多个svchost进程是很正常的，在受感染
的机器中到底哪个是病毒进程呢？这里仅举一例来说明。

　　假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于
“c:\windows\system32”目录下，如果发现该文件出现在其他目录下就要小心
了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中，因此使用进
程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病
毒。windows系统自带的任务管理器不能够查看进程的路径，可以使用第三方进程管理
软件，如“windows优化大师”进程管理器，通过这些工具就可很容易地查看到所有的
svchost进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检
测和处理。

　　由于篇幅的关系，不能对svchost全部功能进行详细介绍，这是一个windows中的
一个特殊进程，有兴趣的可参考有关技术资料进一步去了解它。

出处：天极网
责任编辑：Yahoo

◎进入论坛计算机技术版块参加讨论


相关文章 更多相关链接
PHP5 安装方法
Windows2000 DNS服务器的区域类型
反着安装操作系统也简单
Windows 2000 的安装命令参数
IIS6“_PATH_”问题解决小技巧


作者文章 更多作者文章
欧美电影海报设计精选
ATI壁纸大赛 22000 元等你来
用 Photoshop CS 做“魔眼”
优派·生活真彩QQskin设计大赛
揭开SVCHOST.exe进程之谜


全网 本站 论坛

热门搜索：CSS Fireworks 设计比赛 网页制作 Dreamweaver Studio8 Flash

站点最新 站点最新列表
在新窗口中 vs 在同一窗口中
用GoLive实现CSS+DIV之二
WebDesign2.0 体验感受
有趣的工作环境模式探讨
最窄770px最宽1024px经典布局
网页设计推荐色标组图
仿DW8代码折叠的HTML编辑器
Flash里的 A* Pathfinding
苹果经典设计欣赏
[xml] xml ,xsl,css 之乱搞

栏目最新 栏目最新列表
有趣的工作环境模式探讨
WinVista 5270安装及界面体验
十大流氓软件及卸载方法整理
关于加密和安全v0.94
Windows XP 组策略之安全篇
打造中小企业邮件服务器
高级Linux安全管理技巧
远离坏道让硬盘工作在最佳状态
删除顽固文件高级技巧汇集
如何架设流媒体服务器

蓝色理想版权申明：除部分特别声明不要转载，或者授权我站独家播发的文章外，大
家可以自由转载我站点的原创文章，但原作者和来自我站的链接必须保留（非我站原
创的，按照原来自一节，自行链接）。文章版权归我站和作者共有。

转载要求：转载之图片、文件，链接请不要盗链到本站，且不准打上各自站点的水
印，亦不能抹去我站点水印。

特别注意：本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，
版权归原作者所有

本文总共有 22 条评论，现在显示最新的 5 条。评分：- llllllllllllllllllll +
评分人数: 2 ,平均分: 5.00
lovexzw1990 Publish at 2005-12-14 19:58:15 评分5
我起初以为是病毒````吓死我了```我还以为是我老七弄八弄弄上去的`````但是我的
电脑现在开机时还是很慢才能进入桌面```显示桌面上的图表````请哪为高手给我帮帮
忙````谢谢了```Thanks.........如果可以请加我QQ285035183````或者给我发邮件
lovexzw1990@163.com
谢谢 ````````````````````
lovexzw1990 Publish at 2005-12-14 19:57:30 评分5
我起初以为是病毒````吓死我了```我还以为是我老七弄八弄弄上去的`````但是我的
电脑现在开机时还是很慢才能进入桌面```显示桌面上的图表````请哪为高手给我帮帮
忙````谢谢了```Thanks.........如果可以请加我QQ285035183````或者给我发邮件
lovexzw1990@163.com
谢谢 ````````````````````
mingren529 Publish at 2005-7-4 17:13:54
SVCHOST.exe 怎么我的电脑 有的时候这个进程占CPU 将近100 这个怎么解决呀？ 各
位高手交交我呀 ~~~~~~~~
helly1001 Publish at 2005-6-7 3:41:24
有没有解决svchost.exer 的方法呀，哪个有，说一下，我的机子，都快受不了，请
各位大哥哥，大姐姐，教一下呀
mckold Publish at 2005-5-4 15:58:49
最近我上《泡泡堂》时，发现了它不能同时运行这个程序，
起初还以为是中了高手的“招”，
看过以上信息，但还是不太了解
我这的“江民”不管用
求助:我是否应该delete it?那么又如何delete?
高手请指点迷津，QQ：233459564
说声感谢了先

查看全部评论
您的评论
用户名： 　口令：
说明：输入正确的用户名和密码才能参与评论。如果您不是本站会员，你可以注册
为本站会员。
注意：文章中的链接、内容等需要修改的错误，请用报告错误，以利文档及时修
改。
不评分 1 2 3 4 5
注意：请不要在评论中含与内容无关的广告链接，违者封ID
请您注意：
·不良评论请用报告管理员，以利管理员及时删除。
·尊重网上道德，遵守中华人民共和国的各项有关法律法规
·承担一切因您的行为而直接或间接导致的民事或刑事法律责任
·本站评论管理人员有权保留或删除其管辖评论中的任意内容
·您在本站发表的作品，本站有权在网站内转载或引用
·参与本评论即表明您已经阅读并接受上述条款

推荐文档 | 打印文档 | 评论文档 | 报告错误 　

关于站点 | 免责声明 | 联系站长 | 版权隐私 | 友情链接 | 网站地图 | 京ICP备
05002321号 ©1999-2005 Blueidea.com. 版权所有

--
王元涛
wangyc03@mails.tsinghua.edu.cn