铝锭厂家:svchost.exe是什么进程

SVCHOST.exe进程简介, 帮助大家鉴别是否感染病毒

由于最近“振荡波”病毒的风行，很多网友对系统中多个SVCHOST.exe进程提心吊胆。下面简单介绍一下SVCHOST.exe进程，希望对大家有帮助。

svchost.exe进程是nt内核系统中非常重要的进程，很多病毒、木马也会调用它。

首先，大家先找到svchost.exe进程，按“ctrl+alt+del”键打开任务管理器，在“进程”标签中看到svchost进程。一般来说，win2000有2个svchost进程，winxp中则有4个或4个以上的svchost进程，win2003 server中更多。所以任务管理器中有几个svchost进程，不一定是中了病毒。
下面，让我们看看svchost进程提供的服务，在win 2000下的命令提示符中输入命令“tlist -s”，在win xp下的命令提示符输入“tasklist /svc”命令，会显示进程提供的服务，如图。

svchost作为windows系统的共享进程，很多系统服务为了节省系统资源都是作为共享方式交给svchost.exe来启动，svchost.exe本身不提供任何服务，他通过在注册表中的参数来调用动态链接库也就是.dll文件来启动服务的。

下面我举一个例子，在控制面板中打开管理工具的服务，右键打开刚才在命令提示符下查找到的svchost进程提供的服务rpcss的属性，如图。可以看到rpcss服务的可执行文件的路径为“C:\WINDOWS\system32\svchost -k rpcss”，这说明rpcss服务是依靠svchost来实现的。在运行对话框中输入“regedit.exe”，打开注册表编辑器，找到[hkey_local_machine/system/currentcontrolset/services/rpcss]项，可以看到键“ImagePath”的键值为%SystemRoot%\system32\svchost -k rpcss”，还可以在“parameters”子项中找到名为“servicedll”的键，键值就是该服务启动时所需要的动态链接库文件的位置。

因为svchost进程启动各种服务，所以一些病毒利用该进程的特性来感染、入侵、破坏用户系统。正常的svchost文件存在于“c:\windows\system32”目录下，如果使用进程管理器查看svchost进程的执行文件路径发现该文件出现在其他目录下就要小心了。比如感染了“冲击波”病毒，进程一般会在“c:\windows\system32wins”目录中。如果有的svchost进程在进程管理器中不能够查看它的路径，可以使用第三方软件，比如“windows优化大师”进程管理器等来查看svchost进程的路径。