笔者经常在一些反病毒论坛上浏览时，发现一些朋友对任务管理器中的svchost进程不甚了解，看见存在许多svchost进程就以为自己中了病毒，其实不然。

svchost.exe是NT核心系统非常重要的文件，对于Win2000/XP来说，不可或缺。这些svchost进程提供很多系统服务，如：rpcss服务（remote procedure call）、dmserver服务（logical disk manager）、dhcp服务（dhcp client）等等。

如果要了解每个svchost进程到底提供了多少系统服务，可以在WinXP的命令提示符窗口中输入“tasklist /svc”命令来查看。

工作原理

一般来说，Windows系统进程分为独立进程和共享进程两种。svchost.exe文件存在于%systemroot%\system32目录下，属于共享进程。

随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务都做成共享方式，交由svchost进程来启动。但svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。

这些服务是如何实现的呢?原来这些系统服务是以动态链接库（dll）形式实现的，它们把可执行程序指向svchost，由svchost调用相应服务的动态链接库来启动服务。

那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现的。

具体实例

下面以Remote Registry服务为例，来看看svchost进程是如何调用DLL文件的。在WinXP中，点击“开始→运行”，输入“services.msc”命令，会弹出服务对话框，然后打开“Remote Registry”属性对话框，可以看到Remote Registry服务的可执行文件的路径为“C:\Windows\System32\svchost -k LocalService”，这说明Remote Registry服务是依靠svchost调用“LocalService”参数来实现的，而参数的内容则是存放在系统注册表中的。

在运行对话框中输入“regedit.exe”后回车，打开注册表编辑器，找到“HKEY_LOCAL_MACHINE\System\ currentcontrolset\services\Remote Registry”项，再找到类型为“reg_expand_sz”的“Imagepath”项，其键值为“%systemroot%\system32 \svchost -k LocalService”（这就是在服务窗口中看到的服务启动命令），另外在“parameters”子项中有个名为“ServiceDll”的键，其值为“% systemroot%\system32\regsvc.dll”，其中“regsvc.dll”就是Remote Registry服务要使用的动态链接库文件。这样svchost进程通过读取“Remote Registry”服务注册表信息，就能启动该服务了。

也正是因为svchost的重要性，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的。那么应该如何判断到底哪个是病毒进程呢?正常的svchost.exe文件应该存在于“C:\Windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。