以下资讯是从 PCZONE 转贴过来,希望对各位有所帮助..^_^
------------------------------------------------------------
svchos.exe是 NT 核心系统的非常重要的程序,对于2000、XP 来说,不可或缺。很多病毒、木马也会使用它。所以,深入了解这个程式,是玩电脑的必修课之一。
大家对 Windows作业系统一定不陌生,但你是否注意到系统中“svchost.exe”这个文件呢?细心的朋友会发现 Windows中存在多个 “svchost”程序(通过“ctrl+alt+del”键打开工作管理员,这里的“处理程序”标签中就可看到了),为什么会这样呢?下面就来揭开它神秘的面纱。
发现
====
在基于 NT 核心的 Windows作业系统家族中,不同版本的 Windows系统,存在不同数量的“svchost”程序,用户使用“工作管理员”可查看其程序数目。一般来说,win2000有两个svchost程序,Windows XP中则有四个或四个以上的svchost程序(以后看到系统中有多个这种程序,千万别立即判定系统有病毒了哟),而win2003 server中则更多。这些svchost程序提供很多系统服务,如:rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等。
如果要了解每个svchost程序到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看,该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。
svchost中可以包含多个服务
深入
====
windows系统程序分为独立程序和共用程序两种,“svchost.exe”文件存在于“%systemroot%\system32”目录下,它属于共用程序。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共用方式,交由 svchost.exe程序来启动。但svchost程序只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢?
原来这些系统服务是以动态链结库(dll)形式实现的,它们把可执行程式指向 svchost,由svchost调用相应服务的动态链结库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链结库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remote procedure call)服务为例,进行讲解。
从启动参数中可见服务是靠svchost来启动的。
实例
====
以windows xp为例,点击“开始”/“执行”,输入“services.msc”命令,弹出服务对话方块,然后打开“remote procedure call”属性对话方块,可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”,这说明rpcss服务是依靠s ..
访客只能看到部份内容,免费 加入会员 或由脸书 Google 
可以看到全部内容
