Svchost进程是什么，Win7下如何区分异常Svchost进程?Windows 7系统Svchost进程详解 Svchost进程是Windows系统一个非常重要的进程，svchost进程只作为服务宿主，并不能实现任何服务功能，它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。也就是说他是其他服务的基础，我们绝对不能结束它!因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的。所以我们清楚了解Svchost进程，对于保证我们的系统安全是非常重要的!

　　一、什么是Svchost进程

　　svchost.exe是一个属于微软Windows操作系统的系统程序，微软官方对它的解释是：Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要，而且是不能被结束的。

　　二、Svchost进程的作用

　　windows系统进程分为独立进程和共享进程两种，“svchost.exe”文件存在于“C:\Windows\System32”目录下，它属于共享进程。随着windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由svchost.exe进程来启动。但svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢?

　　原来这些系统服务是以动态链接库(dll)形式实现的，它们把可执行程序指向 svchost，由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remote procedure call)服务为例，进行讲解。

　　从启动参数中可见服务是靠svchost来启动的。

　　四、进程实例

　　在Windows 7系统下，按Win+R键，输入“services.msc”命令，弹出服务对话框，然后打开“remote procedure call”属性对话框，可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”，这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的，而参数的内容则是存放在系统注册表中的。

　　在运行对话框中输入“regedit.exe”后回车，打开注册表编辑器，找到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RpcSs\Parameters]项，在“parameters”子项中有个名为“servicedll”的键，其值为“% systemroot%system32rpcss.dll”，其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息，就能启动该服务了。

　　五、如何判断异常svchost进程

　　因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows 7系统存在多个svchost进程是很正常的，在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。

　　假设windows 7系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中，因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。

　　方法一：现在windows 7系统自带的任务管理器就能够查看进程的路径，我们找到一个svchost进程，对着该进程击右键，选择“打开文件位置”，就可以查看了!

　　方法二：可以使用第三方进程管理软件，如“windows优化大师”进程管理器，通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。

　　扩展阅读：Windows 7实用技巧：加快开机速度