Svchost.exe说明解疑对Svchost的困惑

mt

Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务，以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。 <BR>. <BR>Svchost.exe 组是用下面的注册表值来识别。 <BR>HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost <BR>每个在这个键下的值代表一个独立的Svchost组，并且当你正在看活动的进程时，它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名，这个服务的参数值包含了一个ServiceDLL值。 <BR>HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service <BR>. <BR>. <BR>更多的信息 <BR>. <BR>为了能看到正在运行在Svchost列表中的服务。 <BR>开始－运行－敲入cmd <BR>然后在敲入 tlist -s （tlist 应该是win2k工具箱里的东东） <BR>Tlist 显示一个活动进程的列表。开关 -s 显示在每个进程中的活动服务列表。如果想知道更多的关于进程的信息，可以敲 tlist pid。 <BR>Tlist 显示Svchost.exe运行的两个例子。 <BR>0 System Process <BR>8 System <BR>132 smss.exe <BR>160 csrss.exe Title: <BR>180 winlogon.exe Title: NetDDE Agent <BR>208services.exe <BR>Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkst <BR>ation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi <BR>220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs <BR>404 svchost.exe Svcs: RpcSs <BR>452 spoolsv.exe Svcs: Spooler <BR>544 cisvc.exe Svcs: cisvc <BR>556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv <BR>580 regsvc.exe Svcs: RemoteRegistry <BR>596 mstask.exe Svcs: Schedule <BR>660 snmp.exe Svcs: SNMP <BR>728 winmgmt.exe Svcs: WinMgmt <BR>852 cidaemon.exe Title: OleMainThreadWndName <BR>812 explorer.exe Title: Program Manager <BR>1032 OSA.EXE Title: Reminder <BR>1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s <BR>1080 MAPISP32.EXE Title: WMS Idle <BR>1264 rundll32.exe Title: <BR>1000 mmc.exe Title: Device Manager <BR>1144 tlist.exe <BR>在这个例子中注册表设置了两个组。 <BR>HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost: <BR>netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent RasautoRa <BR>sman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc <BR>rpcss :Reg_Multi_SZ: RpcSs <BR>smss.exe <BR>csrss.exe <BR>这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss 负责控制windows，创建或者删除线程和一些16位的虚拟MS-DOS环境。<BR>