教你全面认识系统 svchost 进程

    svchost到底启动了哪些服务？　　

　　如果你想了解每个SVCHOST进程当前到底提供了哪些系统服务，可以在命令提示符下输入命令来查看。例如在Windows XP中，打开“命令提示符”，键入tasklist /svc命令查看；在Windows 2000中，则输入“Tlist -S”命令来查看。　　

　　如果你在Windows XP中，想得到所有进程的详细信息，可以打开“命令提示符”，键入tasklist /svc >abc.txt 命令，于是在当前目录中，将会生成一个abc.txt文件，其内容就是当前正在运行的所有进程情况，例如进程名、PID号、该进程启动了哪些服务。

    如何发现svchost进程有问题？　
　
　　由于svchost进程可以启动各种服务，因此病毒、木马也经常伪装成系统的DLL文件，使svchost调用它，从而进入内存中运行、感染和控制电脑。　　

　　建议你使用“Windows优化大师”进程管理器（可以到《个人电脑》的下载频道http://download.pcpro.com.cn 的“系统工具”中去下载），查看所有svchost进程的执行文件路径（如图3），正常的svchost文件应该存在于“c:\Windows\ system32”目录下，如果你发现其执行路径在其他目录下，就有可能染上了病毒或木马了，应该马上进行检测和处理。

　　svchost进程杀不掉怎么办？　　

　　如果有些svchost进程，你在任务管理器中无法关闭之，可以使用ntsd命令来杀掉它，方法如下：

　　首先需要了解欲杀的svchost进程，其PID是多少？在Windows XP下，按Ctrl+Alt+Del打开任务管理器，点击“进程选项卡”　“查看”　“选择列”，在弹出的窗口中（图4），勾选“PID（进程标识符）”，然后回到任务管理器中，即可看见PID了（例如要杀的svchost进程，其PID是844）。　　

　　接下来关闭该进程。点击“开始”　“程序”　“附件”　“命令提示符”，在命令提示符下，输入命令ntsd -c q -p 844即可杀掉svchost进程（PID是844）。　　

　 小提示：除了System、SMSS.EXE和CSRSS.EXE这三个进程，ntsd命令可以杀掉任何一个系统进程。从Windows 2000开始，微软就提供了ntsd工具，该命令执行后，可让你获得系统的debug权，因此能够用来关闭大部分的系统进程，如果你遇到无法关闭的进程，就可以使用该命令，其杀进程的命令格式为：ntsd -c q p XXX　　

　　以上XXX为欲杀进程的PID；

　　ntsd p XXX 表示在调试器中打开某进程（PID为XXX）；　　

　 而-c q参数则表示退出调试器。由于调试器关闭之后，它打开的进程会随调试器一起退出，因此ntsd命令能够关闭进程。