svchost.exe是什么进程

前沿拓展：

svchost.exe是什么进

vchost.exe、lsass.exe、wdfmgr.exe，打开进程列表后你会发现一大堆不知用途的进程，究竟是系统进程还是木马**？如果打开系统文件夹，一大堆奇奇怪怪名称的文件，更是会把你弄得晕头转向。很多朋友因此而始终抱有一种未知的恐惧，认为木马、黑客无处不在，即使是高手，也不能把这些陌生的系统文件说个明明白白。为消除大家的疑惑，从这期开始为大家带来一档新的连载栏目——系统蓝色档案为大家曝光这些隐秘文件的秘密。两位主人公，现在就来认识一下。

主人公介

查杀木马好用的工具有LockDown、The Clean、木马克星、金山木马专杀、木马清除**、木马分析专家等，利用这些工具绝大多数的已知木马都可以查杀掉。

拓展知识：

svchost.exe是什么进

SVCHOST.exe进程简介,
帮助大家鉴别是否感染**
由于最近“振荡波”**的风行，很多网友对系统中多个SVCHOST.exe进程提心吊胆。下面简单介绍一下SVCHOST.exe进程，希望对大家有帮助。
svchost.exe进程是nt内核系统中非常重要的进程，很多**、木马也会调用它。
第一，大家先找到svchost.exe进程，按“ctrl+alt+del”键打开任务管理器，在“进程”标签中看到svchost进程。一般来说，win2000有2个svchost进程，winxp中则有4个或4个以上的svchost进程，win2003
server中更多。所以任务管理器中有几个svchost进程，不一定是中了**。
下面，让我们看看svchost进程提供的服务，在win
2000下的命令提示符中输入命令“tlist
-s”，在win
xp下的命令提示符输入“tasklist
/svc”命令，会显示进程提供的服务，如图。
svchost作为windows系统的共享进程，很多系统服务为了节省系统资源都是作为共享方式交给svchost.exe来启动，svchost.exe本身不提供任何服务，他通过在注册表中的参数来调用动态链接库也就是.dll文件来启动服务的。
下面我举一个例子，在控制面板中打开管理工具的服务，右键打开刚才在命令提示符下查找到的svchost进程提供的服务rpcss的属性，如图。可以看到rpcss服务的可执行文件的路径为“C:\WINDOWS\system32\svchost
-k
rpcss”，这说明rpcss服务是依靠svchost来实现的。在运行对话框中输入“regedit.exe”，打开注册表编辑器，找到[hkey_local_machine/system/currentcontrolset/services/rpcss]项，可以看到键“ImagePath”的键值为%SystemRoot%\system32\svchost
-k
rpcss”，还可以在“parameters”子项中找到名为“servicedll”的键，键值就是该服务启动时所需要的动态链接库文件的位置。
因为svchost进程启动各种服务，所以一些**利用该进程的特性来感染、入侵、破坏用户系统。正常的svchost文件存在于“c:\windows\system32”目录下，如果使用进程管理器查看svchost进程的执行文件路径发现该文件出现在其他目录下就要小心了。比如感染了“冲击波”**，进程一般会在“c:\windows\system32wins”目录中。如果有的svchost进程在进程管理器中不能够查看它的路径，可以使用第三方软件，比如“windows优化**”进程管理器等来查看svchost进程的路径。