√了解Svchost.exe的功能
　　√判断真假Svchost.exe进程
　　√清除伪装成Svchost.exe的病毒、木马

　　关于“系统蓝色档案”栏目

　　Svchost.exe、lsass.exe、wdfmgr.exe，打开进程列表后你会发现一大堆不知用途的进程，究竟是系统进程还是木马病毒？如果打开系统文件夹，一大堆奇奇怪怪名称的文件，更是会把你弄得晕头转向。很多朋友因此而始终抱有一种未知的恐惧，认为木马、黑客无处不在，即使是高手，也不能把这些陌生的系统文件说个明明白白。为消除大家的疑惑，从这期开始为大家带来一档新的连载栏目——系统蓝色档案为大家曝光这些隐秘文件的秘密。两位主人公，现在就来认识一下。

　　主人公介绍

　　小菜：刚接触电脑不久的菜鸟，但对电脑知识有着非常浓厚的学习兴趣，常说的一句话是“菜鸟先飞”。

　　大嘴:乐于助人的老鸟，经常被别人冠以“大嘴高手”称号，不过这并不是指他嘴特别大，而是一谈到电脑知识就滔滔不绝。

　　一、紧急状况:系统发现严重病毒

　　小菜刚刚学习了进程的概念和知识，于是就打开“任务管理器”观察系统中的进程，这一看不要紧，还真发现了一个“病毒”——Svchost.exe，这家伙在系统进程列表中竟然有5个之多(见图1)，于是小菜就逐个结束这些进程，没想到第二个进程结束后还会再生，而结束第四个进程时更离谱，系统提示“系统即将关机，离关机还有60秒”，进程再生、错误提示，这些典型的病毒“症状”更让小菜相信“Svchost.exe”是病毒无疑，但无法结束进程，又该怎么清除病毒呢？小菜只好请来了大嘴。

图1 数量众多的SVCHOST进程

　　大嘴过来后还没看电脑，就先告诉小菜，系统中的Svchost.exe进程是正常系统进程，不是病毒，不仅仅是你，其他朋友一看到系统中这么多的Svchost.exe进程，第一反应也感觉它是病毒，虽然系统中有多个Svchost.exe进程是正常的，但也不保证都是正常的。听起来似乎有些矛盾？这让小菜更有些迷糊，大嘴坐下后给小菜详细讲了起来。

　　二、松了口气:Svchost.exe是台“CD机”

　　1.服务装在“CD机”里

　　Svchost.exe是NT内核操作系统(Windows 2000/XP/2003都属于NT内核操作系统)独有的进程，“Svchost”其实就是“Service Host”(服务宿主)的缩写。微软官方对它的定义是:Svchost.exe是从动态链接库(DLL)中运行的服务的通用主机进程名称，通俗讲，它就是一个服务装载器。大家可以把每个服务想象成一张音乐CD，而Svchost.exe就是用来播放这种CD的CD机。

　　2.为什么用“CD机”装服务

　　由于Windows 2000/XP系统服务越来越多，以EXE单独进程的形式启动所有服务会大大增加系统负担，为节省系统资源，微软将一些系统服务以动态链接库(DLL)形式实现，而Svchost.exe就是用来装载这些DLL文件以启动系统服务的程序。没有人会为了发行一张CD而制作一台专用播放此CD的CD机，微软也一样。

　　3.系统里有几台这样的“CD机”

　　那为什么系统进程列表中的Svchost.exe会有多个呢？微软为了让系统能更好地进行服务控制，就允许多个Svchost.exe进程同时运行，每个Svchost.exe进程可以包含一组服务，想像一下可以同时容纳3张甚至更多CD的多碟CD机。打开注册表[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost]主键，在窗口右侧可以看到许多键值，这里的每个键值都代表一组服务，键值数据则包含了该组服务下面运行的服务名称列表，每组服务启动时都会通过单独的Svchost.exe进程来装载。Windows XP中默认共有六组服务(见图2)，其中imgsvc、NetworkService、rpcss、termsvcs四个组，它们都只有一个服务运行，这些服务启动后的Svchost.exe进程用户名为“SYSTEM”。而LocalService和netsvcs组都启动了多个服务，它们的Svchost.exe进程用户名分别为“LOCAL SERVICE”和“NETWORD SERVICE”，从图1中可以看到这种区别。

图2 众多svchost进程的区别

　　当然了，这六组服务通常并不都是启动状态的，根据系统启动的服务不同，反映在系统进程列表中的Svchost.exe进程数量也是不同的，Windows XP会有四个到六个Svchost.exe进程，而Windows 2000通常则会有两个Svchost.exe进程。