svchost?......

網上有很多關於Svchost.exe的討論，我們今天首先來看一下Svchost.exe的原理，工作方法，然後結合著名DLL木馬，實戰瞭解一下使用Svchost.exe進行啟動的木馬的清除，希望大家能夠有所收穫。

Svchost.exe是NT核心系統非常重要的檔，對於Windows 2000/XP來說，不可或缺。Svchost進程提供很多系統服務，如：logical disk manager、remote procedure call（RPC）、dhcp client、Automatic Updates、Background Intelligent Transfer Service、COM+ Event System、Internet Connection Sharing、Network Connections、Portable Media Serial Number Service、Remote Access Auto Connection Manager、Remote Access Connection Manager、Removable Storage、Routing and Remote Access、System Event Notification、Telephony、Wireless Configuration等等。

對於服務中使用Svchost.exe載入了哪些動態連結程式庫，我們可以在服務中點擊上面列出的某個服務來看看。比如我們要看Automatic Updates服務，就可以在在它上麵點擊滑鼠右鍵，看它的屬性。

同樣情況下，如果讀者還想進一步瞭解其他的那些服務是怎樣使用Svchost.exe的，可以使用與上面相同的方法來觀察一下。

聰明的讀者一眼就可以看出，Svchost.exe對於系統來說是多麼的重要了。也正是因為Svchost.exe的重要性，所以病毒、木馬也想盡辦法來利用它，企圖利用它的特性來迷惑用戶，達到感染、入侵、破壞的目的。那麼應該如何判斷到底哪個是病毒進程呢?正常的Svchost.exe檔應該存在於“C:\Windows\system32”目錄下，如果發現該檔出現在其他目錄下就要小心了。另外，駭客們為了使用Svchost.exe達到進程欺騙的目的，有可能使用一些迷惑性的名字，如將字母o變成數位0（零），這樣程式的名稱就變成了svch0st.exe了，如果不注意觀察，很容易逃過普通用戶的眼睛。

通常情況下，為了確定我們的電腦中正在運行的Svchost.exe是不是真正的系統的Svchost.exe，我們可以使用如下方法來查看。Svchost.exe檔的調用路徑可以通過“電腦管理→系統工具→系統資訊→軟體環境→正在運行任務”來查看。

這裏僅舉一例來說明。假設Windows XP系統被“w32.welchia.worm”感染了。正常的Svchost文件存在於“c:\Windows\system32”目錄下，如果發現該檔出現在其他目錄下就要小心了。“w32.welchia.worm”病毒存在於“c:\Windows\system32wins”目錄中，通過使用上面說的方法就可很容易地查看到所有的Svchost進程的執行檔路徑，一旦發現其執行路徑為不平常的位置就應該馬上進行檢測和處理。
至於如何處理, 重新啟動電腦, 以安全模式進入windows, 然後進行一次全面掃毒, 及查出所有svchost.exe於電腦的所在位置, 然後刪除.