简述windows进程svchost.exe的作用,svhost合法进程吗?

发现

在基于NT内核的Windows操作系统家族中，不同版本的Windows系统，存在不同数量的“SVCHOST”进程，用户使用“任务管理器”可查看其进程数目。一般来说，Win2000有两个SVCHOST进程，WinXP中则有四个或四个以上的SVCHOST进程（以后看到系统中有多个这种进程，千万别立即判定系统有病毒了哟），而Win2003 server中则更多。这些SVCHOST进程提供很多系统服务，如：RpcSs服务（Remote Procedure Call）、dmserver服务（Logical Disk Manager）、Dhcp服务（DHCP Client）等。
如果要了解每个SVCHOST进程到底提供了多少系统服务，可以在Win2000的命令提示符窗口中输入“Tlist -S”命令来查看，该命令是Win2000 Support Tools提供的。在WinXP则使用“tasklist /svc”命令。

SVCHOST中可以包含多个服务

深入
Windows系统进程分为独立进程和共享进程两种，“SVCHOST.EXE”文件存在于“%SystemRoot%system32”目录下，它属于共享进程。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由SVCHOST.EXE进程来启动。但SVCHOST进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢？
原来这些系统服务是以动态链接库（DLL）形式实现的，它们把可执行程序指向SVCHOST，由SVCHOST调用相应服务的动态链接库来启动服务。那SVCHOST又怎么知道某个系统服务该调用哪个动态链接库呢？这是通过系统服务在注册表中设置的参数来实现。下面就以RpcSs（Remote Procedure Call）服务为例，进行讲解。

从启动参数中可见服务是靠SVCHOST来启动的

实例：笔者以Windows XP为例，点击“开始”/“运行”，输入“services.msc”命令，弹出服务对话框，然后打开“Remote Procedure