Svchost进程实例讲解
要想查看在Svchost中运行服务的列表，可以在Windows XP命令提示符窗口中输入“Tasklist /svc”命令后，回车执行（如果使用的是Windows 2000，可用Support Tools提供的Tlist工具查看，命令为“Tlist -s”）。Tasklist命令显示活动进程的列表，/svc命令开关指定显示每个进程中活动服务的列表。从图中可以看到，Svchost进程启动很多系统服务，如：RpcSs（Remote Procedure Call）、Dhcp（DHCP Client）、Netman（Network Connections）服务等等（如图2）。

图2 Svchost的服务列表

　　这里我们以RpcSs服务为例，来具体了解一下Svchost进程与服务的关系。运行Regedit，打开注册表编辑器，依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs ]分支，在“Parameters”子项中有个名为“ServiceDll”的键，其值为“%SystemRoot%\system32\rpcss.dll”。这表示系统启动RpcSs服务时，调用“%SystemRoot%\system32”目录下的Rpcss.dll动态链接库文件。

　　接下来，从控制面板中依次双击“管理工具→服务”，打开服务控制台。在右侧窗格中双击“Remote Procedure Call（RPC）”服务项，打开其属性对话框，可以看到RpcSs服务的可执行文件的路径为“C:\Windows\system32\svchost -k rpcss”，这说明RpcSs服务是依靠Svchost启动的，“-k rpcss”表示此服务包含在Svchost的Rpcss服务组中。

　　Svchost进程木马浅析
从前面的介绍我们已经知道，在注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current- Version\Svchost]分支中，存放着Svchost启动的组和组内的各项服务，很多木马和病毒正是利用这一点来实现自动加载的。它们通常的方法有：