svchost.exe进程详细分析（转）

我们先看看微软是怎样描述Svchost.exe的。在微软知识库314056中对Svchost.exe有如

下描述：Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。

            其实Svchost.exe是Windows XP系统的一个核心进程。Svchost.exe不单单只出现在

Windows XP中，在使用NT内核的Windows系统中都会有Svchost.exe的存在。一般在Windows

2000中Svchost.exe进程的数目为2个，而在Windows XP中Svchost.exe进程的数目就上升到了

4个及4个以上。所以看到系统的进程列表中有几个Svchost.exe不用那么担心。  

软件测试专业网站:51Testing软件测试网D7IG;L1rp7{ wtk
Svchost.exe到底是做什么用的呢？

            首先我们要了解一点那就是Windows系统的中的进程分为：独立进程和共享进程这两种。

由于Windows系统中的服务越来越多，为了节约有限的系统资源微软把很多的系统服务做成了

共享模式。那Svchost.exe在这中间是担任怎样一个角色呢？

            Svchost.exe的工作就是作为这些服务的宿主，即由Svchost.exe来启动这些服务。

Svchost.exe只是负责为这些服务提供启动的条件，其自身并不能实现任何服务的功能，也不

能为用户提供任何服务。Svchost.exe通过为这些系统服务调用动态链接库（DLL）的方式来

启动系统服务。

那Svchost.exe是病毒这种说法是任何产生的呢？

            因为Svchost.exe可以作为服务的宿主来启动服务，所以病毒、木马的编写者也挖空心思

的要利用Svchost.exe的这个特性来迷惑用户达到入侵、破坏计算机的目的。

如何才能辨别哪些是正常的Svchost.exe进程，而哪些是病毒进程呢？

Svchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

NT\CurrentVersion\Svchost”，如图1所示。图1中每个键值表示一个独立的Svchost.exe组

。

            微软还为我们提供了一种察看系统正在运行在Svchost.exe列表中的服务的方法。以

Windows XP为例：在“运行”中输入：cmd，然后在命令行模式中输入：tasklist /svc。

例：

如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为：“tlist -s”即

可。如果你怀疑计算机有可能被病毒感染，Svchost.exe的服务出现异常的话通过搜索

Svchost.exe文件就可以发现异常情况。一般只会找到一个在：“C:\Windows\System32”目

录下的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话，那很可能就是中

毒了。

     还有一种确认Svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是

由于在Windows系统自带的任务管理器不能察看进程路径，所以要使用第三方的进程察看工具。

            上面简单的介绍了Svchost.exe进程的相关情况。总而言之，Svchost.exe是一个系统的

核心进程，并不是病毒进程。但由于Svchost.exe进程的特殊性，所以病毒也会千方百计的入

侵Svchost.exe。通过察看Svchost.exe进程的执行路径可以确认是否中毒。

注：希望广大朋友不要进行非法用途，在这里解密木马捆绑是希望大家了解其原理。

软件测试专业网站:51Testing软件测试网0d&N1my5Nc8|/AM
            如今网络上病毒肆虐，让电脑用户在应付病毒上花费了不少精力。当你使用杀毒软件查

杀病毒时，是否遇到查出了病毒，但是杀不掉的情况，原因何在?该如何处理呢?以下笔者对

此略作介绍。

◆系统还原文件

            _restore文件夹是Windows Me/XP系统特有的系统还原文件夹，隐藏在该文件夹中的病毒

是不能直接清除的。当然这些病毒也不能直接发挥作用。要清除这些病毒，可以关闭Windows

系统的“系统还原”功能，清理系统还原点，或者直接删除_restore文件夹的内容。

◆疑似电脑病毒

            有时杀毒软件会出现提示：unknown.com.tsr.virus。该提示中，unknown是“不明的”

意思，tsr是内存驻留的意思，本信息一般提示的是纯DOS环境下的可执行文件，表明杀毒软

件在该文件中发现了可疑代码，类似病毒，但是没有确定是什么病毒。

            如果疑似病毒提示涉及Type-Win32代码，则表示可疑的32位代码的意思，是指Windows环

境下可疑的可执行代码。对于疑似病毒，可以直接删除该文件，或者将这些“疑似”的病毒

文件发送给反病毒软件公司，请求帮助。

◆exe 文件感染病毒

            以.exe为扩展名称的文件是软件安装程序的部分文件，其中的病毒不能直接清除。只有

在软件完全安装成功后，方可清除。这有点类似于在COPY文件时发现了病毒的处理方法。
◆在DOS下清除病毒

            对于在引导区发现的病毒，如POLYBOOT/WYX.b病毒，请使用干净的系统盘启动系统到DOS

，然后在DOS下杀毒即可清除。如果可感染引导区的病毒存在于文件中，可以直接删除该文件

。

◆系统初始文件中引用病毒

杀毒时出现如下提示：

------------------------------------------------------------------------------------
QUOTE:
  　C：\Windows\brasil.pif worm.win32.opasoft.a病毒　已删除

　　C：\Windows\instit.bat worm.win32.opasoft.a病毒　已删除 
 　 C：\Windows\alevir.exe worm.win32.opasoft.a病毒　已删除
　　C：\Windows\marco.scr worm.win32.opasoft.a病毒　已删除
　　C：\Windows\SCRSVR.exe worm.win32.opasoft.a病毒　已删除

------------------------------------------------------------------------------------杀毒后，重启动电脑时出现很多找不到文件的信息，而且再次杀毒时提示依旧，病毒还

是存在。这些顽固病毒的引用应该是在win.ini文件中，请单击“开始→运行”，键入

“sysedit”，按下回车键，编辑win.ini，删除对病毒的引用行。

◆病毒最新变种

杀毒软件查出的是其病毒库中不存在的新型病毒，请将杀毒软件的病毒库升级到最新，然后

再查杀。