教你全面認識系統(tǒng) svchost 進程

2024-07-26 00:33:53

字體：大中小

供稿：網(wǎng)友

　很多朋友對svchost.exe進程都不太了解，有時在任務(wù)管理器中一旦看到有多個該進程（圖1中有6個），就以為自己的電腦中了病毒或木馬，其實并非如此！正常情況下，Windows中可以有多個svchost.exe進程同時運行，例如Windows 2000至少有2個svchost進程，Windows xp中有4個以上，Windows 2003中則有更多，所以當你看到多個svchost進程時，未必就是病毒！

　　svchost.exe進程是干什么的？　　

　　svchost.exe文件存在于“%system root%/system32”（例如C:/Windows/system32）目錄下，它是Windows NT核心的重要進程（Windows 9X沒有該進程），專門為系統(tǒng)啟動各種服務(wù)的。例如svchost.exe調(diào)用rpCSS.dll文件，就會啟動rpcss服務(wù)（remote PRocedure call）。

　　 svchost.exe實際上是一個服務(wù)宿主，它本身并不能給用戶提供任何服務(wù)，但是可以用來運行動態(tài)鏈接庫DLL文件，從而啟動對應(yīng)的服務(wù)。svchost.exe進程可以同時啟動多個服務(wù)。

　　很多朋友對svchost.exe進程都不太了解，有時在任務(wù)管理器中一旦看到有多個該進程（圖1中有6個），就以為自己的電腦中了病毒或木馬，其實并非如此！正常情況下，Windows中可以有多個svchost.exe進程同時運行，例如Windows 2000至少有2個svchost進程，Windows XP中有4個以上，Windows 2003中則有更多，所以當你看到多個svchost進程時，未必就是病毒！

　　svchost.exe進程是干什么的？　　

　　svchost.exe文件存在于“%system root%/system32”（例如C:/Windows/system32）目錄下，它是Windows NT核心的重要進程（Windows 9X沒有該進程），專門為系統(tǒng)啟動各種服務(wù)的。例如svchost.exe調(diào)用rpcss.dll文件，就會啟動rpcss服務(wù)（remote procedure call）。

　　 svchost.exe實際上是一個服務(wù)宿主，它本身并不能給用戶提供任何服務(wù)，但是可以用來運行動態(tài)鏈接庫DLL文件，從而啟動對應(yīng)的服務(wù)。svchost.exe進程可以同時啟動多個服務(wù)。

　　如何發(fā)現(xiàn)svchost進程有問題？　　

　　由于svchost進程可以啟動各種服務(wù)，因此病毒、木馬也經(jīng)常偽裝成系統(tǒng)的DLL文件，使svchost調(diào)用它，從而進入內(nèi)存中運行、感染和控制電腦。　　

　　建議你使用“Windows優(yōu)化大師”進程管理器（可以到《個人電腦》的下載頻道http://download.pcpro.com.cn的“系統(tǒng)工具”中去下載），查看所有svchost進程的執(zhí)行文件路徑（如圖3），正常的svchost文件應(yīng)該存在于“c:/Windows/system32”目錄下，如果你發(fā)現(xiàn)其執(zhí)行路徑在其他目錄下，就有可能染上了病毒或木馬了，應(yīng)該馬上進行檢測和處理。

　　svchost進程殺不掉怎么辦？　　

　　如果有些svchost進程，你在任務(wù)管理器中無法關(guān)閉之，可以使用ntsd命令來殺掉它，方法如下：

　　首先需要了解欲殺的svchost進程，其PID是多少？在Windows XP下，按Ctrl+Alt+Del打開任務(wù)管理器，點擊“進程選項卡”　“查看”　“選擇列”，在彈出的窗口中（圖4），勾選“PID（進程標識符）”，然后回到任務(wù)管理器中，即可看見PID了（例如要殺的svchost進程，其PID是844）。　　

　　接下來關(guān)閉該進程。點擊“開始”　“程序”　“附件”　“命令提示符”，在命令提示符下，輸入命令ntsd -c q -p 844即可殺掉svchost進程（PID是844）。　　

　　小提示：除了System、SMSS.EXE和CSrss.EXE這三個進程，ntsd命令可以殺掉任何一個系統(tǒng)進程。從Windows 2000開始，微軟就提供了ntsd工具，該命令執(zhí)行后，可讓你獲得系統(tǒng)的debug權(quán)，因此能夠用來關(guān)閉大部分的系統(tǒng)進程，如果你遇到無法關(guān)閉的進程，就可以使用該命令，其殺進程的命令格式為：ntsd -c q p XXX　　

　　以上XXX為欲殺進程的PID；

　　ntsd p XXX 表示在調(diào)試器中打開某進程（PID為XXX）；　　

　　而-c q參數(shù)則表示退出調(diào)試器。由于調(diào)試器關(guān)閉之后，它打開的進程會隨調(diào)試器一起退出，因此ntsd命令能夠關(guān)閉進程。

上一篇：正在運行的程序請告訴我你的來歷

下一篇：另類玩法讓你的鍵盤開口說話