2011年11月23日 星期三

Wndows 服務的主機處理程序–svchost

Svchost.exe 是微軟作業系統的Windows Service主機處理程序,專門提供執行DLL檔案的Windows 服務的主程式。用來裝載或包含不同功能的 Windows DLL 服務程式。基於節省記憶體和其它管理因素,許多相關的DLL檔Windows服務會組成群組

,然後利用一個個別的Svchost.exe來建立各別群組的主機處理程序。舉例來說,一個Svchost.exe可以執行3個有關安全性保護的服務,另一個Svchost.exe可能執行所有網路連線相關的Windows服務,所以您的電腦可能會同時執行多個svchost。
但最重要的是,IT人員在監控與檢視處理程序時,如何確定哪些特定的服務正在使用Svchost的執行方式,以便發現真正耗費過多資源的處理程序或是發現潛在的惡意程式。

(1) 使用tasklist命令 ( tasklist /svc /FI "IMAGENAME eq svchost.exe" )   

(2) 下載並使用 svchost viewer

    

(3) 使用 Process Explorer

    
註:微軟新一代作業系統 Windows 8和Windows Server 2012作業系統所推出的新版工作管理員已經可以顯示服務主機(Service Host)處理程序的內涵,亦即svchost到底執行那些服務。
svchost