注册表实战Svchost.exe,解开多个Svchost服务之谜

 以前见到svchost.exe的进程一律当是系统进程，虽然也知道有时候有些木马会调用，但懒得去深究，直到机器中了病毒....

我的机器一直没有安装任何杀毒软件，都是靠自己对网络速度、机器运行速度的敏感来判断是否中毒，又或者简单的查找启动项，关联项等简单的手法，这里不罗嗦

今天要详细说说的是svchost这个进程，出事的时候我发现我机器有6个svchost进程，因为一直比较关心我的进程，我知道我的机器正常情况下只开4个，没办法，没有杀毒软件，只能自己一步步啃下去了......

首先，先简单说说svchost这个进程，Svchost.exe是NT内核操作系统(Windows 2000/XP/2003都属于NT内核操作系统)独有的进程，微软官方对它的定义是:Svchost.exe是从动态链接库(DLL)中运行的服务的通用主机进程名称。也就是说svchost本来不提供所谓的服务，是通过第三方的dll文件来提供服务的。

第二，这么多的svchost怎么知道哪个对应哪个呢？不用着急，歇会马上来........
        打开[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Svchost]看到没有，在你的右边是svchost启动服务的列表，下面是我机器的截图

看到没有，一共有7个，乖乖........
咱还是有点觉悟的，光看着有个rpcss还有个RpcSs32就知道这个RpcSs32有点古怪，但总不能马上删除啊，如果错杀无辜呢.....，内疚小事，机器出现什么毛病需要重装那就麻烦了，手上没有系统盘啊......

第三步，找出其相对应的dll文件....
还是注册表，打开[HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/]根据咱们的觉悟，我先找到了RpcSs32子键，在右边的Description键值可以看到这个服务的描述，如图：

辛苦啊，又要截图...........，描述不是关键，关键我们要知道它指向哪个dll文件，不急，就在刚才的RpcSs32主键下面有个Parameters的主键，在它的右边，有个名叫ServiceDll的键值，这个就是它要启动的服务了，如图

乖乖，这个sql32.dll不就是那个什么什么Adware吗，这个文件已经被我在安全模式下干掉了，但这里没有清除，原来这样，呵呵.......

如法泡制，找出其他几个在[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Svchost]下的键值所对应的ServiceDll文件，然后查看dll文件的属性，如果是近期建立的，又或者你的计算机出现异常后才建立的文件就非常可疑了，对自己自信点，做好注册表的备份和文件的备份后就Delete,痛快点......

好了，一口气写了这么多，希望对svchost还心有疑惑的同志们能及时解开心中的郁闷