关于Windows的SVCHOST.exe进程

winxp正常情况下有几个svchost.exe运行?

 

Windows 2000有两个Svchost进程，而Windows XP则有四个或四个以上的Svchost进程。
在注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current- Version\Svchost]分支中，存放着Svchost启动的组和组内的各项服务，很多木马和病毒正是利用这一点来实现自动加载的。它们通常的方法有：
· 添加一个新的组，在组里添加服务名；
　　· 在现有的组里添加服务名或者利用现有组一个未安装的服务；
　　· 修改现有组里的服务，将它的ServiceDll指向自己的DLL文件。

Rundll/Rundll32是Windows自带的动态链接库工具，可以用来在命令行下执行动态链接库中的某个函数，其中Rundll是16位而Rundll32是32位的（分别调用16位和32位的DLL文件），Rundll32的使用方法如下：Rundll32 DllFileName FuncName
　　例如我们编写了一个MyDll.dll，这个动态链接库中定义了一个MyFunc的函数，那么，我们通过Rundll32.exe MyDll.dll MyFunc就可以执行MyFunc函数的功能。
　　这个和木马的进程隐藏有什么关系么？当然有了，假设我们在MyFunc函数中实现了木马的功能，那么我们不就可以通过Rundll32来运行这个木马了么？在系统管理员看来，进程列表中增加的是Rundll32.exe而并不是木马文件，这样也算是木马的一种简易欺骗和自我保护方法