Svchost进程揭秘

在基于NT内核的Windows操作系统家族中，Svchost.exe是一个非常重要的进程。很多病毒、木马驻留系统与这个进程密切相关，因此深入了解该进程是非常有必要的。本文主要介绍Svchost进程的功能，以及与该进程相关的知识。

Svchost进程概述

微软对“Svchost进程”的定义是：Svchost.exe是从动态链接库（DLL）中运行的服务的通用主机进程名称。Svchost.exe文件位于“%SystemRoot%\System32”文件夹中。当系统启动时，Svchost将检查注册表中的服务部分，以构建需要加载的服务列表。Svchost的多个实例可以同时运行。每个Svchost会话可以包含一组服务，以便根据Svchost的启动方式和位置的不同运行不同的服务，这样可以更好地进行控制且更加便于调试。

Svchost组是由注册表[HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Svchost]项来识别的。在这个注册表项下的每个值都代表单独的Svchost组，并在我们查看活动进程时作为单独的实例显示。这里的键值均为REG_MULTI_SZ类型的值，并且包含该Svchost组里运行的服务名称（如图1）。

图1 注册表中的Svchost

实际上，Svchost只是作为服务的宿主，本身并不实现什么功能。如果需要使用Svchost来启动某个DLL形式实现的服务，该DLL的载体Loader指向Svchost，在启动服务的时候由Svchost调用该服务的DLL来实现启动的目的。使用Svchost启动某个服务的DLL文件是由注册表中的参数来决定的，在需要启动服务的注册表项下都有一个“Parameters”子项，其中的“ServiceDll”键值表明该服务由哪个DLL文件负责，并且这个DLL文件必须导出一个ServiceMain（）函数，为处理服务任务提供支持。