部腦無聲, 玩唔到勁舞團

經常在一些反病毒論壇上瀏覽時，發現一些朋友對任務管理器中的svchost進程不甚了解，看見存在許多svchost進程就以為自己中了病毒，其實不然。

　　svchost.exe是NT核心系統非常重要的文件，對于Win2000/XP來說，不可或缺。這些svchost進程提供很多系統服務，如︰rpcss服務（remote procedure call）、dmserver服務（logical disk manager）、dhcp服務（dhcp client）等等。

　　如果要了解每個svchost進程到底提供了多少系統服務，可以在WinXP的命令提示符窗口中輸入“tasklist /svc”命令來查看。


先看看微軟是怎樣描述Svchost.exe的。在微軟知識庫314056中對Svchost.exe有如下描述：Svchost.exe 是從動態連結程式庫 (DLL) 中運行的服務的通用主機進程名稱。


其實Svchost.exe是Windows XP系統的一個核心進程。Svchost.exe不單單只出現在Windows XP中，在使用NT內核的Windows系統中都會有Svchost.exe的存在。一般在Windows 2000中Svchost.exe進程的數目為2個，而在Windows XP中Svchost.exe進程的數目就上升到了4個及4個以上。所以看到系統的進程列表中有幾個Svchost.exe不用那麼擔心。


Svchost.exe到底是做什麼用的呢？


首先我們要瞭解一點那就是Windows系統的中的進程分為：獨立進程和共用進程這兩種。由於Windows系統中的服務越來越多，為了節約有限的系統資源微軟把很多的系統服務做成了共用模式。那Svchost.exe在這中間是擔任怎樣一個角色呢？


Svchost.exe的工作就是作為這些服務的宿主，即由Svchost.exe來啟動這些服務。Svchost.exe只是負責為這些服務提供啟動的條件，其自身並不能實現任何服務的功能，也不能為用戶提供任何服務。Svchost.exe通過為這些系統服務調用動態連結程式庫（DLL）的方式來啟動系統服務。


那Svchost.exe是病毒這種說法是任何產生的呢？


因為Svchost.exe可以作為服務的宿主來啟動服務，所以病毒、木馬的編寫者也挖空心思的要利用Svchost.exe的這個特性來迷惑用戶達到入侵、破壞電腦的目的。


如何才能辨別哪些是正常的Svchost.exe進程，而哪些是病毒進程呢？


Svchost.exe的鍵值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost”，

微軟還為我們提供了一種察看系統正在運行在Svchost.exe列表中的服務的方法。以Windows XP為例：在“運行”中輸入：cmd，然後在命令行模式中輸入：tasklist /svc。如果使用的是Windows 2000系統則把前面的“tasklist /svc”命令替換為：“tlist -s”即可。

如果你懷疑電腦有可能被病毒感染，Svchost.exe的服務出現異常的話通過搜索Svchost.exe檔就可以發現異常情況。一般只會找到一個在：“C:\Windows\System32”目錄下的Svchost.exe程式。如果你在其他目錄下發現Svchost.exe程式的話，那很可能就是中毒了。


還有一種確認Svchost.exe是否中毒的方法是在任務管理器中察看進程的執行路徑。但是由於在Windows系統自帶的任務管理器不能察看進程路徑，所以要使用第三方的進程察看工具。


上面簡單的介紹了Svchost.exe進程的相關情況。總而言之，Svchost.exe是一個系統的核心進程，並不是病毒進程。但由於Svchost.exe進程的特殊性，所以病毒也會千方百計的入侵Svchost.exe。通過察看Svchost.exe進程的執行路徑可以確認是否中毒。


因為SVCHOST進程啟動各種服務，所以病毒、木馬也想盡辦法來利用
它，企圖利用它的特性來迷惑用戶，達到感染、入侵、破坏的目的（如沖
擊波變種病毒“W32.Welchia.Worm”）。 但Windows系統存在多個
SVCHOST進程是很正常的，在受感染的机器中到底哪個是病毒進程呢？這
里僅舉一例來說明。

　　假設Windows XP系統被“W32.Welchia.Worm”感染了。正常的
SVCHOST文件存在于“C:\Windows\system32”目錄下，如果發現該文件出
現在其他目錄下就要小心了。“W32.Welchia.Worm”病毒存在于
“C:\Windows\system32\wins”目錄中，因此使用進程管理器查看SVCHOST
進程的執行文件路徑就很容易發現系統是否感染了病毒。Windows系統自
帶的任務管理器不能夠查看進程的路徑，可以使用第三方進程管理軟件，
如“Windows優化大師”進程管理器，通過這些工具就可很容易地查看到
所有的SVCHOST進程的執行文件路徑，一旦發現其執行路徑為不平常的位
置就應該馬上進行檢測和處理。

　　由于篇幅的關系，不能對SVCHOST全部功能進行詳細介紹，這是一個
Windows中的一個特殊進程，有興趣的朋友可參考有關技朮資料進一步去
了解它。
win2000= http://support.micro soft.com/default.asp x?scid=kben-us250320
winxp= http://support.micro soft.com/default.asp x?scid=kben-us314056

參考資料:
http://hk.knowledge. yahoo.com/question/? qid=7006073003997