✔ 最佳答案
經常在一些反病毒論壇上瀏覽時,發現一些朋友對任務管理器中的svchost進程不甚了解,看見存在許多svchost進程就以為自己中了病毒,其實不然。
svchost.exe是NT核心系統非常重要的文件,對于Win2000/XP來說,不可或缺。這些svchost進程提供很多系統服務,如︰rpcss服務(remote procedure call)、dmserver服務(logical disk manager)、dhcp服務(dhcp client)等等。
如果要了解每個svchost進程到底提供了多少系統服務,可以在WinXP的命令提示符窗口中輸入“tasklist /svc”命令來查看。
先看看微軟是怎樣描述Svchost.exe的。在微軟知識庫314056中對Svchost.exe有如下描述:Svchost.exe 是從動態連結程式庫 (DLL) 中運行的服務的通用主機進程名稱。
其實Svchost.exe是Windows XP系統的一個核心進程。Svchost.exe不單單只出現在Windows XP中,在使用NT內核的Windows系統中都會有Svchost.exe的存在。一般在Windows 2000中Svchost.exe進程的數目為2個,而在Windows XP中Svchost.exe進程的數目就上升到了4個及4個以上。所以看到系統的進程列表中有幾個Svchost.exe不用那麼擔心。
Svchost.exe到底是做什麼用的呢?
首先我們要瞭解一點那就是Windows系統的中的進程分為:獨立進程和共用進程這兩種。由於Windows系統中的服務越來越多,為了節約有限的系統資源微軟把很多的系統服務做成了共用模式。那Svchost.exe在這中間是擔任怎樣一個角色呢?
Svchost.exe的工作就是作為這些服務的宿主,即由Svchost.exe來啟動這些服務。Svchost.exe只是負責為這些服務提供啟動的條件,其自身並不能實現任何服務的功能,也不能為用戶提供任何服務。Svchost.exe通過為這些系統服務調用動態連結程式庫(DLL)的方式來啟動系統服務。
那Svchost.exe是病毒這種說法是任何產生的呢?
因為Svchost.exe可以作為服務的宿主來啟動服務,所以病毒、木馬的編寫者也挖空心思的要利用Svchost.exe的這個特性來迷惑用戶達到入侵、破壞電腦的目的。
如何才能辨別哪些是正常的Svchost.exe進程,而哪些是病毒進程呢?
Svchost.exe的鍵值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost”,
微軟還為我們提供了一種察看系統正在運行在Svchost.exe列表中的服務的方法。以Windows XP為例:在“運行”中輸入:cmd,然後在命令行模式中輸入:tasklist /svc。如果使用的是Windows 2000系統則把前面的“tasklist /svc”命令替換為:“tlist -s”即可。
如果你懷疑電腦有可能被病毒感染,Svchost.exe的服務出現異常的話通過搜索Svchost.exe檔就可以發現異常情況。一般只會找到一個在:“C:\Windows\System32”目錄下的Svchost.exe程式。如果你在其他目錄下發現Svchost.exe程式的話,那很可能就是中毒了。
還有一種確認Svchost.exe是否中毒的方法是在任務管理器中察看進程的執行路徑。但是由於在Windows系統自帶的任務管理器不能察看進程路徑,所以要使用第三方的進程察看工具。
上面簡單的介紹了Svchost.exe進程的相關情況。總而言之,Svchost.exe是一個系統的核心進程,並不是病毒進程。但由於Svchost.exe進程的特殊性,所以病毒也會千方百計的入侵Svchost.exe。通過察看Svchost.exe進程的執行路徑可以確認是否中毒。
因為SVCHOST進程啟動各種服務,所以病毒、木馬也想盡辦法來利用
它,企圖利用它的特性來迷惑用戶,達到感染、入侵、破坏的目的(如沖
擊波變種病毒“W32.Welchia.Worm”)。 但Windows系統存在多個
SVCHOST進程是很正常的,在受感染的机器中到底哪個是病毒進程呢?這
里僅舉一例來說明。
假設Windows XP系統被“W32.Welchia.Worm”感染了。正常的
SVCHOST文件存在于“C:\Windows\system32”目錄下,如果發現該文件出
現在其他目錄下就要小心了。“W32.Welchia.Worm”病毒存在于
“C:\Windows\system32\wins”目錄中,因此使用進程管理器查看SVCHOST
進程的執行文件路徑就很容易發現系統是否感染了病毒。Windows系統自
帶的任務管理器不能夠查看進程的路徑,可以使用第三方進程管理軟件,
如“Windows優化大師”進程管理器,通過這些工具就可很容易地查看到
所有的SVCHOST進程的執行文件路徑,一旦發現其執行路徑為不平常的位
置就應該馬上進行檢測和處理。
由于篇幅的關系,不能對SVCHOST全部功能進行詳細介紹,這是一個
Windows中的一個特殊進程,有興趣的朋友可參考有關技朮資料進一步去
了解它。
win2000=
http://support.micro soft.com/default.asp x?scid=kben-us250320
winxp=
http://support.micro soft.com/default.asp x?scid=kben-us314056
參考資料:
http://hk.knowledge. yahoo.com/question/? qid=7006073003997