我的名字叫svchost.exe,伴隨Windows 2000而出現,隨后的Windows XP、Windows Server 2003都可以見到我的身影。很多從Windows 98/ME過渡到Win XP的讀者首次見到我的時候,總以為我是病毒,并試圖在“任務管理器”中“殺死”我,結果呢?我又不是比爾,當然一殺即死,不過系統也跟著我而去了,因為它要求重啟或者關機!而這更堅定了一些讀者朋友的看法,不是病毒的話,怎么會一殺死進程就要求重啟/關機?我只能說:我是被冤枉的!
那么我是什么?其實我是NT核心系統的非常重要的進程,是不可或缺的,所以才會出現一“殺死”系統就要求重啟/關機的現象。當然,很多病毒、木馬也看上了我的優點,不時被他們調用一下,有時就成了他們的幫兇了。
我一直都以后臺運行的形式出現在讀者們的基于NT內核的操作系統中,在Win 2000/XP運行過程中,按“Ctrl”+“Alt”+“Del”組合鍵,從“任務管理器”的“進程”標簽中就可以見到我的身影。
細心的讀者,會發現操作系統中我竟然同時存在多個身影,一般來說,Win 2000有兩個svchost.exe進程,Win XP中則有四個或四個以上的svchost.exe進程,Win 2003就更多了。并且這還不是固定的,隨著服務的增多,svchost.exe進程還可能會增加。見到我一下子有這么多兄弟千萬不要以為是病毒哦!他們和我一樣同時為操作系統提供很多系統服務,像:Browser(瀏覽)、Irmon(紅外)、DHCP(動態地址分配)等服務,都由我們提供支持的。不過需要注意的是,除了三兄四弟以外,我可沒有姐妹,如果你看到進程列表中有svch0st.exe(其中的“0”是數字零,非字母“o”)進程,那肯定是中毒的跡象。
如果對我的身世之迷感興趣,可以在“開始菜單”→“運行”輸入“CMD”后回車,再在出現的命令行窗口中輸入“tasklist /svc”(Win XP)或者“tlist -s”(Win 2000)后回車,從中就可以看到我和我兄弟身體里面究竟還有誰。
Windows系統進程分為獨立進程和共享進程兩種,我們平時使用的應用程序,比如Offices,就是獨立進程。Svchost.exe文件正確的存放位置在“%systemroot% system32”(%systemroot%為系統安裝目錄,如WINNT)目錄下,屬于共享進程。共享進程的出現和Windows系統服務不斷增多有很大關系。從節省系統資源的角度看,共享方式具有很大的優點,可以節省不少系統資源,并且共享進程能夠讓系統進程的管理變得更有條理。而我正是這些共享進程的啟動者,需要注意的是,盡管共享進程是我啟動的,但我本身并不提供任何服務功能,僅僅是提供一個啟動的平臺。
為了讓大家有更好的了解,現在以和大家關系較大的“Windows Audio”系統服務為例,看看我怎么完成共享進程的啟動。“Windows Audio”服務管理著基于Windows的程序的音頻設備,默認是自動運行的,不過服務器操作系統Win 2003出于節約資源的考慮,把這一系統服務禁用了。
依次打開“控制面板”→“管理工具”→“服務”,雙擊“Windows Audio”,從“執行文件的路徑”中不難看出這一系統服務和我之間的關系,它是通過我調用“netsvcs”參數實現的。那么這一參數又包含什么內容呢?答案在注冊表之中。
在“開始”→“運行”中輸入“regedit”,使用Ctrl+F快捷鍵調出“查找”對話框,查找“svchost.exe -k netsvcs”字符串,可以看到一個類型為“reg_expand_sz”的“Imagepath”項,其鍵值為“%SystemRoot%System32svchost.exe -k netsvcs”,該命令和“服務”中看到的是一樣的。
轉到同一目錄的“Parameters”子目錄,“ServiceDll”的值為“%SystemRoot%system32schedsvc.dll”,也就是說上述命令的真實調用對象是“schedsvc.dll”文件,并由該文件完成音頻設備的管理工作,我僅僅是一個平臺而已。
從上面的實例中,相信大家可以看出,系統服務一般都是以動態鏈接庫(dll)形式存在的,然后它們以“服務”的形式,把可執行程序指向我,由我調用相應服務的動態鏈接庫來啟動。而指向是由注冊表相關鍵值決定的。
有利必有弊,不僅系統服務看上我的便利,病毒、木馬也想盡辦法來親近我,企圖通過我把自己隱藏起來,進而對大家的電腦進行破壞,甚至通過網絡感染其它電腦。
假如在沒有操作電腦的情況下,CPU資源占用率達到100%;或者硬盤指示燈不連續的經常閃亮;又或者發現我占用大量的系統資源,這時應該考慮一下系統中毒的可能性。
大家可以采用上面介紹的方法,看看我身體里面的共享進程有沒有可疑的系統進程,另外也可以使用“開始”→“查找”功能,查找“svchost.exe”文件,也就是我的本體。正常情況下,我只存在于“%systemroot% system32”目錄下,如果發現在其它目錄也有我的身影,這時就要小心,因為它必定是李逵!
請把殺毒軟件的殺毒庫升級成最新版本,然后讓它完整地掃描硬盤,一般都可以把病毒查殺干凈,不過由于我是常駐內存進程,可能在殺毒過程中需要重新啟動系統,按照殺毒軟件的提示進行操作即可。
以上是我想告訴大家的,希望大家不要一看到我就大呼中毒,在感覺電腦不正常的時候,麻煩對我進行一次“體檢”,只要大家做好防范,相信我能夠給大家帶來更大的便利。