大家对windows操作系统一定不陌生，但你是否注意到系统中“svchost.exe”这个文件呢？细心的朋友会发现windows中存在多个 “svchost”进程（通过“ctrl+alt+del”键打开任务管理器，这里的“进程”标签中就可看到了），为什么会这样呢？下面就来揭开它神秘的面纱。

发现

　　在基于nt内核的windows操作系统家族中，不同版本的windows系统，存在不同数量的“svchost”进程，用户使用“任务管理器”可查看其进程数目。一般来说，win2000有两个svchost进程，winxp中则有四个或四个以上的svchost进程（以后看到系统中有多个这种进程，千万别立即判定系统有病毒了哟），而win2003 server中则更多。这些svchost进程提供很多系统服务，如：rpcss服务（remote procedure call）、dmserver服务（logical disk manager）、dhcp服务（dhcp client）等。

　　如果要了解每个svchost进程到底提供了多少系统服务，可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看，该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。

svchost中可以包含多个服务

深入

　　windows系统进程分为独立进程和共享进程两种，“svchost.exe”文件存在于“%systemroot% system32”目录下，它属于共享进程。随着windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由 svchost.exe进程来启动。但svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢？

　　原来这些系统服务是以动态链接库（dll）形式实现的，它们把可执行程序指向 svchost，由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢？这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss（remote procedure call）服务为例，进行讲解。

　　从启动参数中可见服务是靠svchost来启动的。

实例

　　以windows xp为例，点击“开始”/“运行”，输入“services.msc”命令，弹出服务对话框，然后打开“remote procedure call”属性对话框，可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”，这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的，而参数的内容则是存放在系统注册表中的。

　　在运行对话框中输入“regedit.exe”后回车，打开注册表编辑器，找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项，找到类型为“reg_expand_sz”的键“magepath”，其键值为“%systemroot%system32svchost -k rpcss”（这就是在服务窗口中看到的服务启动命令），另外在“parameters”子项中有个名为“servicedll”的键，其值为“% systemroot%system32rpcss.dll”，其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息，就能启动该服务了。

解惑

　　因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm”）。但windows系统存在多个svchost进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。

　　假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中，因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径，可以使用第三方进程管理软件，如“windows优化大师”进程管理器，通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。

    1.多个服务共享一个 Svchost.exe进程利与弊
    windows 系统服务分为独立进程和共享进程两种，在windows NT时只有服务器管理器SCM（Services.exe）有多个共享服务，随着系统内置服务的增加，在windows 2000中ms又把很多服务做成共享方式，由svchost.exe启动。windows 2000一般有2个svchost进程，一个是RPCSS（Remote Procedure Call）服务进程，另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中，则一般有4个以上的svchost.exe服务进程，windows 2003 server中则更多，可以看出把更多的系统内置服务以共享进程方式由svchost启动是ms的一个趋势。这样做在一定程度上减少了系统资源的消耗，不过也带来一定的不稳定因素，因为任何一个共享进程的服务因为错误退出进程就会导致整个进程中的所有服务都退出。另外就是有一点安全隐患，首先要介绍一下svchost.exe的实现机制。

    2. Svchost原理
    Svchost本身只是作为服务宿主，并不实现任何服务功能，需要Svchost启动的服务以动态链接库形式实现，在安装这些服务时，把服务的可执行程序指向svchost，启动这些服务时由svchost调用相应服务的动态链接库来启动服务。

    那么svchost如何知道某一服务是由哪个动态链接库负责呢？这不是由服务的可执行程序路径中的参数部分提供的，而是服务在注册表中的参数设置的，注册表中服务下边有一个Parameters子键其中的ServiceDll表明该服务由哪个动态链接库负责。并且所有这些服务动态链接库都必须要导出一个ServiceMain()函数，用来处理服务任务。

    例如rpcss(Remote Procedure Call)在注册表中的位置是 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs，它的参数子键Parameters里有这样一项：
    "ServiceDll"=REG_EXPAND_SZ:"%SystemRoot%system32 pcss.dll"
当启动rpcss服务时，svchost就会调用rpcss.dll，并且执行其ServiceMain()函数执行具体服务。

    既然这些服务是使用共享进程方式由svchost启动的，为什么系统中会有多个svchost进程呢？ms把这些服务分为几组，同组服务共享一个svchost进程，不同组服务使用多个svchost进程，组的区别是由服务的可执行程序后边的参数决定的。

    例如rpcss在注册表中 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs 有这样一项：
    "ImagePath"=REG_EXPAND_SZ:"%SystemRoot%system32svchost -k rpcss"
因此rpcss就属于rpcss组，这在服务管理控制台也可以看到。

    svchost的所有组和组内的所有服务都在注册表的如下位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Svchost，例如windows 2000共有4组rpcss、netsvcs、wugroup、BITSgroup，其中最多的就是netsvcs=REG_MULTI_SZ:EventSystem.Ias.Iprip.Irmon.Netman.

Nwsapagent.Rasauto.Rasman.Remoteaccess.SENS.Sharedaccess.Tapisrv.Ntmssvc.wzcsvc..

    在启动一个svchost.exe负责的服务时，服务管理器如果遇到可执行程序内容ImagePath已经存在于服务管理器的映象库中，就不在启动第2个进程svchost，而是直接启动服务。这样就实现了多个服务共享一个svchost进程。

    3. Svchost代码
    现在我们基本清楚svchost的原理了，但是要自己写一个DLL形式的服务，由svchost来启动，仅有上边的信息还有些问题不是很清楚。比如我们在导出的ServiceMain()函数中接收的参数是ANSI还是Unicode？我们是否需要调用RegisterServiceCtrlHandler和StartServiceCtrlDispatcher来注册服务控制及调度函数？

    这些问题要通过查看svchost代码获得。下边的代码是windows 2000+ service pack 4 的svchost反汇编片段，可以看出svchost程序还是很简单的。

    主函数首先调用ProcCommandLine()对命令行进行分析，获得要启动的服务组，然后调用SvcHostOptions()查询该服务组的选项和服务组的所有服务，并使用一个数据结构 svcTable 来保存这些服务及其服务的DLL，然后调用PrepareSvcTable() 函数创建SERVICE_TABLE_ENTRY 结构，把所有处理函数SERVICE_MAIN_FUNCTION 指向自己的一个函数FuncServiceMain()，最后调用API StartServiceCtrlDispatcher() 注册这些服务的调度函数。

    ; =============================== Main Funcion =======================================
    .text:010010B8 public start
    .text:010010B8 start proc near
    .text:010010B8 push esi
    .text:010010B9 push edi
    .text:010010BA push offset sub_1001EBA ; lpTopLevelExceptionFilter
    .text:010010BF xor edi, edi
    .text:010010C1 call ds:SetUnhandledExceptionFilter
    .text:010010C7 push 1 ; uMode
    .text:010010C9 call ds:SetErrorMode
    .text:010010CF call ds:GetProcessHeap
    .text:010010D5 push eax
    .text:010010D6 call sub_1001142
    .text:010010DB mov eax, offset dword_1003018
    .text:010010E0 push offset unk_1003000 ; lpCriticalSection
    .text:010010E5 mov dword_100301C, eax
    .text:010010EA mov dword_1003018, eax
    .text:010010EF call ds:InitializeCriticalSection
    .text:010010F5 call ds:GetCommandLineW
    .text:010010FB push eax ; lpString
    .text:010010FC call ProcCommandLine
    .text:01001101 mov esi, eax
    .text:01001103 test esi, esi
    .text:01001105 jz short lab_doservice
    .text:01001107 push esi
    .text:01001108 call SvcHostOptions
    .text:0100110D call PrepareSvcTable
    .text:01001112 mov edi, eax ; SERVICE_TABLE_ENTRY returned
    .text:01001114 test edi, edi
    .text:01001116 jz short loc_1001128
    .text:01001118 mov eax, [esi+10h]
    .text:0100111B test eax, eax
    .text:0100111D jz short loc_1001128
    .text:0100111F push dword ptr [esi+14h] ; dwCapabilities
    .text:01001122 push eax ; int
    .text:01001123 call InitializeSecurity
    .text:01001128
    .text:01001128 loc_1001128: ; CODE XREF: start+5Ej
    .text:01001128 ; start+65j
    .text:01001128 push esi ; lpMem
    .text:01001129 call HeapFreeMem
    .text:0100112E
    .text:0100112E lab_doservice: ; CODE XREF: start+4Dj
    .text:0100112E test edi, edi
    .text:01001130 jz ExitProgram
    .text:01001136 push edi ; lpServiceStartTable
    .text:01001137 call ds:StartServiceCtrlDispatcherW
    .text:0100113D jmp ExitProgram
    .text:0100113D start endp
    ; =============================== Main Funcion end =======================================

    由于svchost为该组的所有服务都注册了svchost中的一个处理函数，因此每次启动任何一个服务时，服务管理器SCM都会调用FuncServiceMain() 这个函数。这个函数使用 svcTable 查询要启动的服务使用的DLL，调用DLL导出的ServiceMain()函数来启动服务，然后返回。

    ; ============================== FuncServiceMain() =======================================
    .text:01001504 FuncServiceMain proc near ; DATA XREF: PrepareSvcTable+44o
    .text:01001504
    .text:01001504 arg_0 = dword ptr 8
    .text:01001504 arg_4 = dword ptr 0Ch
    .text:01001504
    .text:01001504 push ecx
    .text:01001505 mov eax, [esp+arg_4]
    .text:01001509 push ebx
    .text:0100150A push ebp
    .text:0100150B push esi
    .text:0100150C mov ebx, offset unk_1003000
    .text:01001511 push edi
    .text:01001512 mov edi, [eax]
    .text:01001514 push ebx
    .text:01001515 xor ebp, ebp
    .text:01001517 call ds:EnterCriticalSection
    .text:0100151D xor esi, esi
    .text:0100151F cmp dwGroupSize, esi
    .text:01001525 jbe short loc_1001566
    .text:01001527 and [esp+10h], esi
    .text:0100152B
    .text:0100152B loc_100152B: ; CODE XREF: FuncServiceMain+4Aj
    .text:0100152B mov eax, svcTable
    .text:01001530 mov ecx, [esp+10h]
    .text:01001534 push dword ptr [eax+ecx]
    .text:01001537 push edi
    .text:01001538 call ds:lstrcmpiW
    .text:0100153E test eax, eax
    .text:01001540 jz short StartThis
    .text:01001542 add dword ptr [esp+10h], 0Ch
    .text:01001547 inc esi
    .text:01001548 cmp esi, dwGroupSize
    .text:0100154E jb short loc_100152B
    .text:01001550 jmp short loc_1001566
    .text:01001552 ; =================================================
    .text:01001552
    .text:01001552 StartThis: ; CODE XREF: FuncServiceMain+3Cj
    .text:01001552 mov ecx, svcTable
    .text:01001558 lea eax, [esi+esi*2]
    .text:0100155B lea eax, [ecx+eax*4]
    .text:0100155E push eax
    .text:0100155F call GetDLLServiceMain
    .text:01001564 mov ebp, eax ; dll ServiceMain Function address
    .text:01001566
    .text:01001566 loc_1001566: ; CODE XREF: FuncServiceMain+21j
    .text:01001566 ; FuncServiceMain+4Cj
    .text:01001566 push ebx
    .text:01001567 call ds:LeaveCriticalSection
    .text:0100156D test ebp, ebp
    .text:0100156F jz short loc_100157B
    .text:01001571 push [esp+10h+arg_4]
    .text:01001575 push [esp+14h+arg_0]
    .text:01001579 call ebp
    .text:0100157B
    .text:0100157B loc_100157B: ; CODE XREF: FuncServiceMain+6Bj
    .text:0100157B pop edi
    .text:0100157C pop esi
    .text:0100157D pop ebp
    .text:0100157E pop ebx
    .text:0100157F pop ecx
    .text:01001580 retn 8
    .text:01001580 FuncServiceMain endp ; sp = -8
    ; ============================== FuncServiceMain() end ===================================

    由于svchost已经调用了StartServiceCtrlDispatcher来服务调度函数，因此我们在实现DLL实现时就不用了，这主要是因为一个进程只能调用一次StartServiceCtrlDispatcher API。但是需要用 RegisterServiceCtrlHandler 来注册响应控制请求的函数。最后我们的DLL接收的都是unicode字符串。

    由于这种服务启动后由svchost加载，不增加新的进程，只是svchost的一个DLL，而且一般进行审计时都不会去HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost 检查服务组是否变化，就算去检查，也不一定能发现异常，因此如果添加一个这样的DLL后门，伪装的好，是比较隐蔽的。

    4. 安装服务与设置
    要通过svchost调用来启动的服务，就一定要在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost下有该服务名，这可以通过如下方式来实现：
    1） 添加一个新的服务组，在组里添加服务名
    2） 在现有组里添加服务名
    3） 直接使用现有服务组里的一个服务名，但本机没有安装的服务
    4） 修改现有服务组里的现有服务，把它的ServiceDll指向自己

    其中前两种可以被正常服务使用，如使用第1种方式，启动其服务要创建新的svchost进程；第2种方式如果该组服务已经运行，安装后不能立刻启动服务，因为svchost启动后已经把该组信息保存在内存里，并调用API StartServiceCtrlDispatcher() 为该组所有服务注册了调度处理函数，新增加的服务不能再注册调度处理函数，需要重起计算机或者该组的svchost进程。而后两种可能被后门使用，尤其是最后一种，没有添加服务，只是改了注册表里一项设置，从服务管理控制台又看不出来，如果作为后门还是很隐蔽的。比如EventSystem服务，缺省是指向es.dll，如果把ServiceDll改为EventSystem.dll就很难发现。

    因此服务的安装除了调用CreateService()创建服务之外，还需要设置服务的ServiceDll，如果使用前2种还要设置svchost的注册表选项，在卸载时也最好删除增加的部分。

    注： ImagePath 和ServiceDll 是ExpandString不是普通字符串。因此如果使用.reg文件安装时要注意。

    5. DLL服务实现
    DLL程序的编写比较简单，只要实现一个ServiceMain()函数和一个服务控制程序，在ServiceMain()函数里用RegisterServiceCtrlHandler()注册服务控制程序，并设置服务的运行状态就可以了。

    另外，因为此种服务的安装除了正常的CreateService()之外，还要进行其他设置，因此最好实现安装和卸载函数。

    为了方便安装，实现的代码提供了InstallService()函数进行安装，这个函数可以接收服务名作为参数（如果不提供参数，就使用缺省的iprip），如果要安装的服务不在svchost的netsvcs组里安装就会失败；如果要安装的服务已经存在，安装也会失败；安装成功后程序会配置服务的ServiceDll为当前Dll。提供的UninstallService()函数，可以删除任何函数而没有进行任何检查。

    为了方便使用rundll32.exe进行安装，还提供了RundllInstallA()和RundllUninstallA()分别调用InstallService()及UninstallService()。因为rundll32.exe使用的函数原型是：
    void CALLBACK FunctionName(
    HWND hwnd, // handle to owner window
    HINSTANCE hinst, // instance handle for the DLL
    LPTSTR lpCmdLine, // string the DLL will parse
    int nCmdShow // show state
    );
    对应的命令行是rundll32 DllName,FunctionName [Arguments]

    DLL服务本身只是创建一个进程，该程序命令行就是启动服务时提供的第一个参数，如果未指定就使用缺省的svchostdll.exe。启动服务时如果提供第二个参数，创建的进程就是和桌面交互的。