1.多个服务共享一个Svchost.exe进程利与弊

　　windows系统服务分为独立进程和共享进程两种，在windowsNT时只有服务器管理器SCM（Services.exe）有多个共享服务，随着系统内置服务的增加，在windows2000中ms又把很多服务做成共享方式，由svchost.exe启动。windows2000一般有2个svchost进程，一个是RPCSS（RemoteProcedureCall）服务进程，另外一个则是由很多服务共享的一个svchost.exe。而在windowsXP中，则一般有4个以上的svchost.exe服务进程，windows2003server中则更多，可以看出把更多的系统内置服务以共享进程方式由svchost启动是ms的一个趋势。这样做在一定程度上减少了系统资源的消耗，不过也带来一定的不稳定因素，因为任何一个共享进程的服务因为错误退出进程就会导致整个进程中的所有服务都退出。另外就是有一点安全隐患，首先要介绍一下svchost.exe的实现机制。

　　2.Svchost原理

　　Svchost本身只是作为服务宿主，并不实现任何服务功能，需要Svchost启动的服务以动态链接库形式实现，在安装这些服务时，把服务的可执行程序指向svchost，启动这些服务时由svchost调用相应服务的动态链接库来启动服务。

　　那么svchost如何知道某一服务是由哪个动态链接库负责呢？这不是由服务的可执行程序路径中的参数部分提供的，而是服务在注册表中的参数设置的，注册表中服务下边有一个Parameters子键其中的ServiceDll表明该服务由哪个动态链接库负责。并且所有这些服务动态链接库都必须要导出一个ServiceMain()函数，用来处理服务任务。

　　例如rpcss（RemoteProcedureCall）在注册表中的位置是HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs，它的参数子键Parameters里有这样一项：