windows系统进程分为独立进程和共享进程两种，svchost.exe就属于共享进程。随着windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由 svchost.exe进程来启动。但svchost进程只作为服务宿主，并不能实现任何服务功能。

这些系统服务是以动态链接库（dll）形式实现的，它们把可执行程序指向 svchost，由svchost调用相应服务的动态链接库来启动服务。

因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它。但是在基于nt内核的windows操作系统中，不同版本的windows系统，存在不同数量的系统svchost进程。一般来说，win2000有两个svchost进程，winxp中则有四个或四个以上的svchost进程，而win2003 server中则更多。如svchost.exe -k netsvcs。在这样的情况下，我们应该怎样来区分哪些是系统进程，哪些是病毒呢？

由于windows自带的任务管理器不能查看进程的启动路径和参数，我们推荐用拍拍看进行查看。双击拍拍看-进程列表中的svchost.exe进程，正常的svchost存在于“c:windowssystem32”目录下，如果发现异常的启动路径(如C:WINDOWS)或参数(如C:WINDOWSsystem32svchost *.dll)，那这个就应该是病毒了。

以下是拍拍看里一个正常的svchost的进程详细信息的截图，这里的启动参数是C:WINDOWSsystem32svchost -k rpcss

一般系统服务的参数都是不带后缀的，如svchost -k rpcss 、svchost -k netsvcs，而病毒木马基本上都是带后缀的，如svchost xxx.dll