请问:svchost.exe是什么程序?

请问:svchost.exe是什么程序?

答案或建议：

　　svchost.exe是nt核心系统的非常重要的进程，对于2000、xp来说，不可或缺。很多病毒、木马也会调用它。所以，深入了解这个程序，是玩电脑的必修课之一。
　　
　　大家对windows操作系统一定不陌生，但你是否注意到系统中“svchost.exe”这个文件呢？细心的朋友会发现windows中存在多个 “svchost”进程（通过“ctrl+alt+del”键打开任务管理器，这里的“进程”标签中就可看到了），为什么会这样呢？下面就来揭开它神秘的面纱。
　　
　　发现
　　
　　在基于nt内核的windows操作系统家族中，不同版本的windows系统，存在不同数量的“svchost”进程，用户使用“任务管理器”可查看其进程数目。一般来说，win2000有两个svchost进程，winxp中则有四个或四个以上的svchost进程（以后看到系统中有多个这种进程，千万别立即判定系统有病毒了哟），而win2003 server中则更多。这些svchost进程提供很多系统服务，如：rpcss服务（remote procedure call）、dmserver服务（logical disk manager）、dhcp服务（dhcp client）等。
　　
　　如果要了解每个svchost进程到底提供了多少系统服务，可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看，该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。
　　
　　svchost中可以包含多个服务
　　
　　深入
　　
　　windows系统进程分为独立进程和共享进程两种，“svchost.exe”文件存在于“%systemroot% system32”目录下，它属于共享进程。随着windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由 svchost.exe进程来启动。但svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢？
　　
　　原来这些系统服务是以动态链接库（dll）形式实现的，它们把可执行程序指向 svchost，由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢？这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss（remote procedure call）服务为例，进行讲解。
　　
　　从启动参数中可见服务是靠svchost来启动的。
　　
　　实例
　　
　　以windows xp为例，点击“开始”/“运行”，输入“services.msc”命令，弹出服务对话框，然后打开“remote procedure call”属性对话框，可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”，这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的，而参数的内容则是存放在系统注册表中的。
　　
　　在运行对话框中输入“regedit.exe”后回车，打开注册表编辑器，找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项，找到类型为“reg_expand_sz”的键“magepath”，其键值为“%systemroot%system32svchost -k rpcss”（这就是在服务窗口中看到的服务启动命令），另外在“parameters”子项中有个名为“servicedll”的键，其值为“% systemroot%system32rpcss.dll”，其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息，就能启动该服务了。
　　
　　解惑
　　
　　因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm”）。但windows系统存在多个svchost进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。
　　
　　假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中，因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径，可以使用第三方进程管理软件，如“windows优化大师”进程管理器，通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。

　　1.错误的解决方法描述
　　当我们按下Alt+Ctrl+Del打开任务管理器，发现进程中出现多个Svchost.exe，则表明系统中毒，我们首先将所有的Svchost结束掉，然后使用相关的杀毒工具查杀病毒。
　　
　　注:
　　2003年的夏天,“冲击波”病毒横行的时候有一种说法就是Svchost.exe都是病毒，一看到就要删除。这种说法让电脑用户人心惶惶，因为每个使用 Windows XP系统的用户在按照文章中介绍的检查有无Svchost.exe的方法都可以找到几个Svchost.exe进程。
　　
　　2.方案由来及后果
　　在很多人的印象中，每个应用程序一般只对应一个进程，如QQ对应QQ.EXE进程、记事本对应notepad.exe进程等。所以当看到系统有多个同样名字的进程时，总是会将其联想为病毒或者木马程序在作怪。如果不加思索，野蛮的将其中的某些Svchost.exe进程结束掉，会让系统的运行变得不稳定。
　　
　　3.正确的解决办法
　　Windows 进程分为独立进程和共享进程两种，Svchost.exe属于后者。Windows XP为了节约系统资源，将很多个系统服务做为共享方式由Svchost.exe来启动。Svchost本身只是作为服务宿主，并不能实现任何服务功能， svchost通过调用相应服务的动态链接库（DLL）来启动该服务，而Windows将这些服务分为几个组，同组的服务共享一个Svchost进程，不同的组所指向的Svchost不同。通常情况下，Windows XP有4个由Svchost启动的服务组，也就是说Windows XP系统一般有4个Svchost.exe进程。当然某些应用程序或服务也有可能会调用Svchost，所以当你看到系统中有多余4个的 Svchost.exe进程，也不要盲目判断系统中了病毒。实际上Svchost.exe进程的个数跟是否中毒无直接关系。
　　
　　小提示：
　　★ 笔者做了下面一个非常有趣的测试：打开任务管理器，切换到“进程”选项卡，首先手动结束掉由上到下的第三个Svchost.exe进程，结束完后系统会马上重新建立该进程，接下来我们手动结束掉由上到下的最后一个Svchost.exe进程，系统会出现一个类似中了冲击波病毒的对话窗口，并倒计时关机，这是由于该Svchost.exe进程引导RPC服务，终止该进程则导致RPC服务中断，系统自然会重新启动了。
　　★Windows 2000中一般有两个Svchost.exe进程，Windows Server 2003则非常多，一般有6个。
　　
　　既然系统中Svchost.exe进程数与是否中毒无关，我们究竟如何区别正常的和病毒伪造的Svchost进程呢？
　　我们可以使用下面两种方法来鉴别：
　　方法一：
　　在系统所在分区进行搜索，如果发现多个Svchost.exe文件，则系统很有可能中毒。正常的Svchost.exe位于%windir%\\ system32目录下，如果发现其它目录中有Svchost.exe文件，你就要小心了。例如冲击波的变种Win32.Welchia.Worm会在% windir%\\system32\\wins目录种下Svchost.exe文件。
　　方法二：
　　察看Svchost.exe进程对应文件的路径。
　　Windows XP自带的任务管理器中无法察看，我们需要借助第三方工具，例如Windows优化大师自带的进程管理工具，运行它后定位到Svchost.exe进程，可以看到它对应的运行文件的真实路径。
　　
　　小提示：
　　★不少木马程序会采用将自己伪装成跟常见进程相似的文件名或者相同的文件名但扩展名不相同，如果你在任务管理器中看到Scvhost.exe、Svch0st.exe等进程，肯定有木马已经植入你的系统。
　　★ 很多朋友在查看CPU占用率时，一个叫做“System Idle Process”的进程常常会显示为90-99%。不必担心，实际上恰恰相反的是这里的90-99%是CPU资源空闲了出来的资源。这里的数字越大表示 CPU可用资源越多，数字越小则表示CPU资源越紧张。
　　
　　其它错误的说法和方案
　　1.在安装Windows XP后，删除C:\\Windows\\System32\\Dllcache下的所有文件，可以节约大概200MB的磁盘空间。
　　点评：该文件夹里保存的是系统备份的dll文件，Windows在安装驱动、软件、升级的时候可能会用到里面的文件，如果将其删除会给我们带来更大的不便。
　　2. 由于系统空间比较宝贵，很多朋友将软件安装在其它分区，但每次安装软件时提示的默认安装路径都是C:\\Program Files，我们可以打开注册表，定位到“[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion]”，将右边窗口中的ProgramFilesDir字符串值修改为我们想要的路径。
　　点评：这样设置确实让我们方便不少。但它带来很多弊端，比如打开Outlook Express时，会报告C盘磁盘已满或者内存不足的错误，并提示“MSOE.dll无法初始化”，另外还可以引起Media Player等系统程序的运行故障。
　　3.修改\\%Systemroot%\\System32\\Drivers\\Etc文件夹下的host.sam文件……
　　点评：很多朋友使用修改host文件的办法来屏蔽恶意网站，这点没错。不过很多人却没搞清楚到底哪个文件是“host文件”。在Windows 98下存在一个host.sam文件，该文件只是微软为我们修改host文件做的一个范例文件，如果我们修改host.sam文件根本达不到任何效果，真正的host文件是一个名为“host”没有扩展名的文件。而在Windows XP下，所谓“host.sam”文件根本不存在，我们修改host文件应该是用记事本打开\\%Systemroot%\\System32\\ Drivers\\Etc目录下的host文件（同样没有扩展名）。
　　4.要将jpg文件与版本的ACDSEE（4.0以下的版本）建立文件关联，只需要运行“regsvr32 /u shimgvw.dll”命令。
　　点评：这种办法的确可以让ACDSEE和jpg格式文件建立文件关联，但该命令卸载了Windows XP的图片预览功能，有点矫枉过正。正确的方法是：删除注册表中的“[HKEY_CLASSES_ROOT\\ SystemFileAssociations\\image]”项。
　　
　　由于篇幅的关系，不能对svchost全部功能进行详细介绍，这是一个windows中的一个特殊进程，有兴趣的可参考有关技术资料进一步去了解它。

文章来自：http://www.baikewenda.com/tech/ctips/6/10/a14453150.htm