;網(wǎng)上和很多雜志上流傳了很多關(guān)于Windows XP的優(yōu)化、設(shè)置攻略、技巧等，很多被奉為'經(jīng)典'、'圣經(jīng)'，事實(shí)上當(dāng)我們仔細(xì)辨別這些所謂的'終極技巧'，會(huì)發(fā)現(xiàn)其中不少都是不負(fù)責(zé)任的。這些東西很大程度上誤導(dǎo)了Windows XP的使用者，甚至帶給了他們難以挽回的損失。'實(shí)踐才是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)！'，今天讓我們一起來揭開這些謠言的神秘面紗，告訴你什么才是真正的解決之道。 經(jīng)典誤區(qū)一：忘記密碼后的'高招'經(jīng)典程度：★★★★危險(xiǎn)程度：★★★★★1.錯(cuò)誤的解決方法描述當(dāng)你在使用Windows XP時(shí)，不小心將管理員密碼忘記了，改怎么辦呢？網(wǎng)上流行著這么一種方法：使用Dos啟動(dòng)盤(如果Windows XP所在分區(qū)是NTFS分區(qū)，則需要支持NTFS的DOS啟動(dòng)盤)進(jìn)入DOS實(shí)模式，將%SystemRoot%system32config目錄下一個(gè)名為sam的文件刪除。重新啟動(dòng)系統(tǒng)，Administrator的登錄密碼已經(jīng)為空，我們可以輕松登錄系統(tǒng)。小知識(shí)：Windows NT/2000/XP中對用戶賬戶的管理采用了安全賬號(hào)管理器(Security AccountManager,SAM)的機(jī)制，該機(jī)制對帳戶的管理不是通過直接確認(rèn)用戶名和密碼的形式，而是通過安全標(biāo)識(shí)(SID)進(jìn)行的。SID號(hào)在帳戶創(chuàng)建時(shí)就同時(shí)創(chuàng)建，一旦賬號(hào)被刪除，SID也一并被刪除。系統(tǒng)的SID信息是以'SID s-1-5-21-xxxxxxxxxxxxxx-xxxxxxxxxxxxxx-005'這樣的形式保存在%SystemRoot%system32configsam文件里。2.方案的由來及后果這種錯(cuò)誤方法來源于以前對Windows 2000忘記密碼的處理方式，Windows 2000(未安裝Service Pack)的用戶如果忘記管理員密碼，可以采用該方法順利破解登錄密碼。該方案的理論支持為：Windows XP的密碼存放在sam文件中，當(dāng)我們登錄系統(tǒng)時(shí)，系統(tǒng)會(huì)自動(dòng)驗(yàn)證sam數(shù)據(jù)庫信息，如發(fā)現(xiàn)此次密碼和用戶名與sam文件中的加密數(shù)據(jù)想吻合時(shí)，系統(tǒng)就會(huì)順利登錄。反之，則無法登錄。如果將該文件刪除，則sam數(shù)據(jù)庫會(huì)被清空，管理員的登錄密碼也隨之清空，自然可以逃過Windows XP的登錄密碼驗(yàn)證機(jī)制。實(shí)際上該方法對Windows 2000 SP1-SP4都已經(jīng)無效，對Windows XP更是毫無用處，如果大家按照該方案對Windows XP進(jìn)行操作，會(huì)出現(xiàn)無法啟動(dòng)的情況，給我們的操作帶來了更大的麻煩。3.正確的解決辦法：當(dāng)Windows XP登錄密碼丟失時(shí)，我們可以針對不同的情況采用不同的辦法來解決：(1)如果在安裝Windows XP時(shí)，Administrator密碼設(shè)置為空。大家可以在系統(tǒng)引導(dǎo)的時(shí)候按F8進(jìn)入安全模式，這里的Administrator口令為空，可以直接進(jìn)入，進(jìn)入后對帳戶和密碼進(jìn)行設(shè)置即可。(2)如果設(shè)置了Administrator口令，破解的辦法就沒那么簡單了，我們可以使用超強(qiáng)的Windows 2000/XP系統(tǒng)維護(hù)光盤——ERD Commander 2003。使用該光盤啟動(dòng)系統(tǒng)后，運(yùn)行'開始→管理→工具→密碼修改'命令打開'ERD Commander 2003 LockSmith Wizard'窗口，在'帳號(hào)'框中輸入要破解的帳戶名，然后輸入新的密碼就ok了。小提示：★ERD Commander為共享軟件，它的官方主頁為：www.winternals.com/，ERD Commander 2003漢化版的ISO文件下載地址為：soft.0zones.com/SoftDown.asp?ID=21081，市面上能買到集成了ERD Commander的啟動(dòng)光盤。經(jīng)典誤區(qū)二：啟動(dòng)進(jìn)度?quot;只跑一圈'的秘密經(jīng)典程度：★★★★★危險(xiǎn)程度：★1.錯(cuò)誤的解決方法描述(1)右鍵單擊'我的電腦'，選擇'屬性'菜單打開'系統(tǒng)屬性'設(shè)置窗口，切換到'高級(jí)'選項(xiàng)卡，在'啟動(dòng)和故障'恢復(fù)欄單擊'設(shè)置'，在彈出的窗口中單擊'編輯'按鈕，將'[operating systems]multi(0)disk(0)rdisk(0)partition(1)WINDOWS='Microsoft Windows XP Professional' /fastdetect'中的'fastdetect'修改為'nodetect'。(2)使用微軟的'加速'軟件Bootvis可以加速WindowsXP的啟動(dòng)過程。方法如下：下載該軟件后，運(yùn)行'Tools→Options'命令，將'Symbol'設(shè)置為Bootvis的安裝路徑，單擊'Save'。再運(yùn)行'Trace→Next Boot'命令打開'Trace Repetitions'窗口，單擊'OK'即可。2.方案的由來及后果第一種'優(yōu)化'方法比較滑稽，大家可以嘗試在Google中以'nodetect'為關(guān)鍵字進(jìn)行搜索，得到的網(wǎng)頁多數(shù)都是中國網(wǎng)站轉(zhuǎn)載的'Windows XP優(yōu)化技巧'頁面。按道理說，如此神奇的優(yōu)化技巧，國外的站點(diǎn)不可能沒有提及的。其實(shí)答案就在于，這個(gè)參數(shù)純粹是'子虛烏有'，真不知道是哪一位國內(nèi)高人最先發(fā)明的這一招。修改后雖然不見系統(tǒng)有什么問題出現(xiàn)，但能實(shí)現(xiàn)'優(yōu)化'效果絕對是胡說八道或者是心理作用。第二種方法提到的微軟推出的Bootvis，其實(shí)這款免費(fèi)軟件的作用是對系統(tǒng)的啟動(dòng)進(jìn)行可視化性能追蹤，開發(fā)人員能夠用這個(gè)工具追蹤系統(tǒng)啟動(dòng)或喚醒上出現(xiàn)的問題。小提示：微軟官方已經(jīng)澄清了關(guān)于'使用Bootvis可加速系統(tǒng)啟動(dòng)'的謠言，并且已經(jīng)停止了對該工具的技術(shù)支持，大家可以參考www.microsoft.com/whdc/hw ... stboot/BootVis.mspx。3.正確的解決辦法：對于第一種優(yōu)化方法中提到的修改boot.ini文件的方法，應(yīng)該保持默認(rèn)，即參數(shù)為'/fastdetect'，該參數(shù)表示系統(tǒng)在啟動(dòng)過程中不檢測串口鼠標(biāo)。此外以下方法大家也可以嘗試：(1)如果你使用的是Intel芯片組的主板，可以安裝Intel發(fā)布的程序加速軟件包--Intel Application Accelerator，它的下載地址為：aIEdownload.intel.com/df-support/4857/a08/iaa23_multi.exe，并將你的主板驅(qū)動(dòng)升級(jí)到最新版本。如果使用的是nForce芯片組，則安裝其最新的3.43版整合驅(qū)動(dòng)程序。(2)在BIOS中將平時(shí)不使用的設(shè)備(比如Modem)設(shè)置為'Disabled'。如果你的機(jī)器有多個(gè)IDE設(shè)備，那么打開設(shè)備管理器，找到'IDE ATA/ATAPI 控制器'一項(xiàng)下面的'主要IDE通道'和'次要IDE通道'，分別在兩者'屬性'窗口的'高級(jí)設(shè)置'選項(xiàng)卡下將不用IDE設(shè)備的'設(shè)備類型'設(shè)置為'無'。這樣系統(tǒng)在啟動(dòng)時(shí)不會(huì)把時(shí)間浪費(fèi)在檢測IDE通道上根本沒有的硬盤上。(3)運(yùn)行MSConfig命令，將其中不必要的啟動(dòng)項(xiàng)去掉，筆者的一向設(shè)置是取消全部啟動(dòng)程序，你可以根據(jù)自己的情況調(diào)整。(4)手動(dòng)設(shè)置網(wǎng)卡IP地址，很多朋友反應(yīng)在進(jìn)入Windows XP后，系統(tǒng)會(huì)'假死'長達(dá)幾分鐘，實(shí)際上這是由于系統(tǒng)在搜索網(wǎng)絡(luò)上的DHCP服務(wù)器，通過手動(dòng)設(shè)置網(wǎng)卡的IP地址可以有效的解決這一問題。(5)此外，定期進(jìn)行磁盤碎片整理、關(guān)閉不必要的系統(tǒng)服務(wù)、整理注冊表都可以加快系統(tǒng)的啟動(dòng)速度。小提示：★Windows XP會(huì)使用系統(tǒng)BIOS的SBF(Simple Boot Flag)來加速啟動(dòng)過程，如果你的主板BIOS支持SBF的話，XP啟動(dòng)就會(huì)快得多。★還有一個(gè)比較經(jīng)典的技巧：在注冊表編輯器的'[HKEY_LOCAL_MacHINESYSTEMCurrentControlSetControlSession ManagerMemoryManagementPrefetchParameters]'一項(xiàng)，將名為EnablePrefetcher的DWord鍵值設(shè)置為'1'。該優(yōu)化原理是利用系統(tǒng)的預(yù)讀取技術(shù)(Prepatch)，當(dāng)設(shè)置為'1'時(shí)，系統(tǒng)在啟動(dòng)的時(shí)候僅預(yù)讀應(yīng)用程序部分，可以讓W(xué)indows XP的進(jìn)度條少跑幾圈，大家使用該方法可以明顯感到效果。但實(shí)際上系統(tǒng)整個(gè)啟動(dòng)的時(shí)間并不會(huì)減少多少，甚至?xí)L，所以請謹(jǐn)慎使用該技巧。'EnablePrefetcher'的其它參數(shù)設(shè)置分別為：0--不使用預(yù)讀取功能、2--預(yù)讀取啟動(dòng)部分、3--預(yù)讀取啟動(dòng)和應(yīng)用程序部分。經(jīng)典誤區(qū)三：靈犀一指，網(wǎng)絡(luò)'飛速'經(jīng)典程度：★★★★★危險(xiǎn)程度：★1.錯(cuò)誤的解決方法描述運(yùn)行'Gpedit.msc'命令打開Windows XP的組策略管理窗口，依次定位到'計(jì)算機(jī)配置→管理模板→網(wǎng)絡(luò)→QoS數(shù)據(jù)包調(diào)度程序'一項(xiàng)，雙擊'限制可保留帶寬'，選中'已啟用'按鈕，并將其值設(shè)置為'0%'。2.方案由來及后果這個(gè)網(wǎng)絡(luò)優(yōu)化技巧純粹是'獨(dú)撰'的。QoS(聯(lián)網(wǎng)服務(wù)質(zhì)量)，是指在整個(gè)網(wǎng)絡(luò)連接上應(yīng)用的各種通信或程序類型優(yōu)先技術(shù)。微軟的專家指出：'與Windows 2000一樣，在 Windows XP 中，程序也可以通過QoS應(yīng)用程序編程接口 (API)來利用QoS。所有程序可以共享百分之百的網(wǎng)絡(luò)帶寬，特別要求帶寬優(yōu)先權(quán)的程序除外。其他程序也可以使用這種'保留'的帶寬，正在發(fā)送數(shù)據(jù)的請求程序除外。默認(rèn)情況下，程序保留的帶寬累計(jì)可達(dá)終端計(jì)算機(jī)每個(gè)接口的基本鏈接速度的百分之二十。如果保留帶寬的程序發(fā)送的數(shù)據(jù)量沒有完全用完帶寬，保留帶寬的未用部分可用于同一主機(jī)上的其他數(shù)據(jù)流。'也就是說，如果我們不需手動(dòng)禁用這部分保留帶寬，系統(tǒng)會(huì)自動(dòng)分配剩余的帶寬給相應(yīng)的程序訪問網(wǎng)絡(luò)。3.正確的解決辦法其實(shí)網(wǎng)絡(luò)速度的快慢主要還是由ISP提供的帶寬決定的，很多軟件打著'讓你的網(wǎng)速倍增'的旗號(hào)，大可不必相信。 經(jīng)典誤區(qū)四：虛擬內(nèi)存這么設(shè)最'科學(xué)'！經(jīng)典程度：★★★★★危險(xiǎn)程度：★★1.錯(cuò)誤的解決方法描述(1)在'我的電腦'的'屬性'窗口，切換到'高級(jí)→性能→虛擬內(nèi)存'窗口，將虛擬內(nèi)存的初始值和最大值設(shè)置為同一值可以減少磁盤碎片，提高系統(tǒng)運(yùn)行效率。(2)分別在硬盤的每個(gè)分區(qū)上都設(shè)置一部分虛擬內(nèi)存，可以提高系統(tǒng)的性能。2.方案由來及后果Windows采用動(dòng)態(tài)的方法對虛擬內(nèi)存進(jìn)行管理，也就是說當(dāng)在執(zhí)行耗費(fèi)內(nèi)存比較大的程序(如Photoshop、MS Office等)時(shí)，系統(tǒng)會(huì)自動(dòng)擴(kuò)大虛擬內(nèi)存的頁面文件的體積，以獲得更多的可用資源，反之，如果物理內(nèi)存還有較多的空閑空間，系統(tǒng)則會(huì)自動(dòng)縮小頁面文件的體積。這就是我們在察看系統(tǒng)中的pageflie.sys(Windows 2000/XP)或win386.swp(Windows 9X/Me)文件時(shí)，該文件有時(shí)候大有時(shí)候小的原因所在。理論上來講，如果將虛擬內(nèi)存的初始值和最大值設(shè)置為同一值，這樣可以讓磁頭連續(xù)讀取，不容易出現(xiàn)磁盤碎片，從而提高系統(tǒng)的運(yùn)行效率。但在實(shí)際使用的過程中，我們會(huì)發(fā)現(xiàn)，當(dāng)我們讀取某個(gè)大文件的時(shí)候，常常遇?quot;內(nèi)存溢出'錯(cuò)誤，系統(tǒng)反而運(yùn)行不穩(wěn)定。而對于所謂'將硬盤的每個(gè)分區(qū)都設(shè)置虛擬內(nèi)存'的處理辦法，由于各個(gè)分區(qū)上文件分布的不確定性，導(dǎo)致磁盤碎片的不可避免，雖然Windows會(huì)優(yōu)先選擇使用不常進(jìn)行文件讀寫操作的分區(qū)中的頁面文件，不過這樣會(huì)加重系統(tǒng)內(nèi)存管理的負(fù)擔(dān)，盡管算不上很多的謬誤，但至少不是最好的方案。小知識(shí)：所謂'虛擬內(nèi)存'，通俗的講，就是當(dāng)我們的物理內(nèi)存不夠用的時(shí)候，系統(tǒng)將硬盤上的部分空間模擬成內(nèi)存使用，將暫時(shí)不用的程序或數(shù)據(jù)存放到這部分空間中，等需要的時(shí)候方便及時(shí)調(diào)用。虛擬內(nèi)存在Windows 9X/Me中對應(yīng)的數(shù)據(jù)臨時(shí)存放文件為win386.swp(我們稱為交換文件，Swapfile)，在Windows 2000/XP中對應(yīng)的數(shù)據(jù)臨時(shí)存放文件為Pagefile.sys(我們稱為頁面文件或者分頁文件，PageFile)。頁面文件保存在硬盤分區(qū)的根目錄中，文件屬性為'隱藏'，我們需要在'文件夾選項(xiàng)'中選中'顯示所有文件'才能看到它。3.正確的解決辦法：對于虛擬內(nèi)存如何設(shè)置的問題，微軟已經(jīng)給我們提供了官方的解決辦法，對于一般情況下，我們推薦采用如下的設(shè)置方法：(1)在Windows系統(tǒng)所在分區(qū)設(shè)置頁面文件，文件的大小由你對系統(tǒng)的設(shè)置決定。具體設(shè)置方法如下：打開'我的電腦'的'屬性'設(shè)置窗口，切換到'高級(jí)'選項(xiàng)卡，在'啟動(dòng)和故障恢復(fù)'窗口的'寫入調(diào)試信息'欄，如果你采用的是'無'，則將頁面文件大小設(shè)置為2MB左右，如果采用'核心內(nèi)存存儲(chǔ)'和'完全內(nèi)存存儲(chǔ)'，則將頁面文件值設(shè)置得大一些，跟物理內(nèi)存差不多就可以了。小提示：對于系統(tǒng)分區(qū)是否設(shè)置頁面文件，這里有一個(gè)矛盾：如果設(shè)置，則系統(tǒng)有可能會(huì)頻繁讀取這部分頁面文件，從而加大系統(tǒng)盤所在磁道的負(fù)荷，但如果不設(shè)置，當(dāng)系統(tǒng)出現(xiàn)藍(lán)屏死機(jī)(特別是STOP錯(cuò)誤)的時(shí)候，無法創(chuàng)建轉(zhuǎn)儲(chǔ)文件 (Memory.dmp)，從而無法進(jìn)行程序調(diào)試和錯(cuò)誤報(bào)告了。所以折中的辦法是在系統(tǒng)盤設(shè)置較小的頁面文件，只要夠用就行了。(2)單獨(dú)建立一個(gè)空白分區(qū)，在該分區(qū)設(shè)置虛擬內(nèi)存，其最小值設(shè)置為物理內(nèi)存的1.5倍，最大值設(shè)置為物理內(nèi)存的3倍，該分區(qū)專門用來存儲(chǔ)頁面文件，不要再存放其它任何文件。之所以單獨(dú)劃分一個(gè)分區(qū)用來設(shè)置虛擬內(nèi)存，主要是基于兩點(diǎn)考慮：其一，由于該分區(qū)上沒有其它文件，這樣分區(qū)不會(huì)產(chǎn)生磁盤碎片，這樣能保證頁面文件的數(shù)據(jù)讀寫不受磁盤碎片的干擾；其二，按照Windows對內(nèi)存的管理技術(shù)，Windows會(huì)優(yōu)先使用不經(jīng)常訪問的分區(qū)上的頁面文件，這樣也減少了讀取系統(tǒng)盤里的頁面文件的機(jī)會(huì)，減輕了系統(tǒng)盤的壓力。(3)其它硬盤分區(qū)不設(shè)置任何頁面文件。當(dāng)然，如果你有多個(gè)硬盤，則可以為每個(gè)硬盤都創(chuàng)建一個(gè)頁面文件。當(dāng)信息分布在多個(gè)頁面文件上時(shí)，硬盤控制器可以同時(shí)在多個(gè)硬盤上執(zhí)行讀取和寫入操作。這樣系統(tǒng)性能將得到提高。小提示：允許設(shè)置的虛擬內(nèi)存最小值為2MB，最大值不能超過當(dāng)前硬盤的剩余空間值，同時(shí)也不能超過32位操作系統(tǒng)的內(nèi)存尋址范圍——4GB。經(jīng)典誤區(qū)七：IE這樣操作就'安全'了！經(jīng)典程度：★★★★★危險(xiǎn)程度：★★★★1.錯(cuò)誤的解決方法描述在使用IE瀏覽網(wǎng)頁后，為了防止本地的用戶竊取我們的隱私信息，只需做以下操作即可：在IE中運(yùn)行'工具→Internet 選項(xiàng)'打開'Internet屬性'窗口，在其中清除掉IE的脫機(jī)文件、歷史記錄、Cookies，清除表單，再重新啟動(dòng)電腦。2.方案由來及后果也許你會(huì)認(rèn)為上面的隱私保護(hù)方案完美無缺。其實(shí)不然，你的瀏覽記錄還乖乖的躺在電腦里呢！問題就出在一個(gè)名為index.dat的文件上！這個(gè)index.dat(該文件為屬性為隱藏)在你的Temporary Internet Files、history、Cookies文件夾里都存在，文件大小從幾十KB到幾十MB不等，它記錄了你所訪問過的網(wǎng)址URL、訪問時(shí)間，并將其指向?yàn)g覽器緩存文件夾的幾個(gè)子文件夾，以提高IE的瀏覽速度。我們在IE中執(zhí)行'刪除脫機(jī)文件'、'清除歷史記錄'、'清除表單'命令時(shí)，系統(tǒng)中的index.dat文件并不會(huì)被刪除，而且比較惱火的是當(dāng)我們試圖刪除它的時(shí)候，系統(tǒng)會(huì)提示該文件正在使用，不能執(zhí)行刪除操作。其安全隱患在于，一些有不明目的的偷窺者可以通過特殊的工具(如Index.dat Viewer，它的下載地址為：www.exits.ro/dwl/IndexView.exe)查看它包含的內(nèi)容進(jìn)而得知我們的瀏覽記錄。3.正確的解決辦法如果你對隱私信息非常在意，除了常常采用的刪除IE臨時(shí)文件等保護(hù)錯(cuò)誤外，我們在下網(wǎng)后還需要將index.dat刪除。我們可以使用一些軟件來刪除它，如Spider，它的下載地址為：www.fsm.nl/ward/spider116.zip。安裝運(yùn)行該軟件后首先運(yùn)行'Option'命令，在彈出窗口中勾選'Remove all the cookies'、'Remove the Temporary Internet Files Remove the history Files'，確認(rèn)后單擊工具欄上的'Start Search'按鈕開始掃描，掃描完畢后單擊'Clean Up'按鈕即可徹底清除隱私文件了。如果你不想安裝軟件，也可以手動(dòng)刪除它，具體方法為：新建一個(gè)具有管理員權(quán)限的帳戶，用該帳戶登錄，打開資源管理器，搜索'index.dat'，注意在搜索的高級(jí)選項(xiàng)中要選擇'搜索系統(tǒng)文件'和'搜索隱藏的文件和文件夾'，將搜索的所有結(jié)果全部刪除。刪除完畢再刪除該帳戶即可。執(zhí)行以下的刪除步驟后，系統(tǒng)會(huì)在下次啟動(dòng)時(shí)在相應(yīng)目錄重新建立一個(gè)新的空index.dat文件，不會(huì)影響我們的正常使用。小提示：★其中有部分index.dat文件會(huì)提示正在使用不能刪除，不必理會(huì)，那是由于這些index.dat文件為當(dāng)前用戶所有。★Windows 9X同樣存在這個(gè)安全隱患，使用該系統(tǒng)的用戶可以這樣刪除index.dat文件：在DOS實(shí)模式下，用del命令分別刪除C:windowscookiesindex.dat、C:windowshistoryindex.dat、C:windowsTemporary Internet Filesindex.dat三個(gè)文件。經(jīng)典誤區(qū)六：干掉Svchost.exe進(jìn)程！經(jīng)典程度：★★★★危險(xiǎn)程度：★★1.錯(cuò)誤的解決方法描述當(dāng)我們按下Alt+Ctrl+Del打開任務(wù)管理器，發(fā)現(xiàn)進(jìn)程中出現(xiàn)多個(gè)Svchost.exe，則表明系統(tǒng)中毒，我們首先將所有的Svchost結(jié)束掉，然后使用相關(guān)的殺毒工具查殺病毒。2.方案由來及后果在很多人的印象中，每個(gè)應(yīng)用程序一般只對應(yīng)一個(gè)進(jìn)程，如QQ對應(yīng)QQ.EXE進(jìn)程、記事本對應(yīng)notepad.exe進(jìn)程等。所以當(dāng)看到系統(tǒng)有多個(gè)同樣名字的進(jìn)程時(shí)，總是會(huì)將其聯(lián)想為病毒或者木馬程序在作怪。如果不加思索，野蠻的將其中的某些Svchost.exe進(jìn)程結(jié)束掉，會(huì)讓系統(tǒng)的運(yùn)行變得不穩(wěn)定。3.正確的解決辦法Windows進(jìn)程分為獨(dú)立進(jìn)程和共享進(jìn)程兩種，Svchost.exe屬于后者。Windows XP為了節(jié)約系統(tǒng)資源，將很多個(gè)系統(tǒng)服務(wù)做為共享方式由Svchost.exe來啟動(dòng)。Svchost本身只是作為服務(wù)宿主，并不能實(shí)現(xiàn)任何服務(wù)功能，svchost通過調(diào)用相應(yīng)服務(wù)的動(dòng)態(tài)鏈接庫(DLL)來啟動(dòng)該服務(wù)，而Windows將這些服務(wù)分為幾個(gè)組，同組的服務(wù)共享一個(gè)Svchost進(jìn)程，不同的組所指向的Svchost不同。通常情況下，Windows XP有4個(gè)由Svchost啟動(dòng)的服務(wù)組，也就是說Windows XP系統(tǒng)一般有4個(gè)Svchost.exe進(jìn)程。當(dāng)然某些應(yīng)用程序或服務(wù)也有可能會(huì)調(diào)用Svchost，所以當(dāng)你看到系統(tǒng)中有多余4個(gè)的Svchost.exe進(jìn)程，也不要盲目判斷系統(tǒng)中了病毒。實(shí)際上Svchost.exe進(jìn)程的個(gè)數(shù)跟是否中毒無直接關(guān)系。小提示：★筆者做了下面一個(gè)非常有趣的以使用下面兩種方法來鑒別：方法一：在系統(tǒng)所在分區(qū)進(jìn)行搜索，如果發(fā)現(xiàn)多個(gè)Svchost.exe文件，則系統(tǒng)很有可能中毒。正常的Svchost.exe位于%windir%system32目錄下，如果發(fā)現(xiàn)其它目錄中有Svchost.exe文件，你就要小心了。例如沖擊波的變種Win32.Welchia.Worm會(huì)在%windir%system32wins目錄種下Svchost.exe文件。方法二：察看Svchost.exe進(jìn)程對應(yīng)文件的路徑。Windows XP自帶的任務(wù)管理器中無法察看，我們需要借助第三方工具，例如Windows優(yōu)化大師自帶的進(jìn)程管理工具，運(yùn)行它后定位到Svchost.exe進(jìn)程，可以看到它對應(yīng)的運(yùn)行文件的真實(shí)路徑。小提示：★不少木馬程序會(huì)采用將自己偽裝成跟常見進(jìn)程相似的文件名或者相同的文件名但擴(kuò)展名不相同，如果你在任務(wù)管理器中看到Scvhost.exe、Svch0st.exe等進(jìn)程，肯定有木馬已經(jīng)植入你的系統(tǒng)。測試：打開任務(wù)管理器，切換到'進(jìn)程'選項(xiàng)卡，首先手動(dòng)結(jié)束掉由上到下的第三個(gè)Svchost.exe進(jìn)程，結(jié)束完后系統(tǒng)會(huì)馬上重新建立該進(jìn)程，接下來我們手動(dòng)結(jié)束掉由上到下的最后一個(gè)Svchost.exe進(jìn)程，系統(tǒng)會(huì)出現(xiàn)一個(gè)類似中了沖擊波病毒的對話窗口，并倒計(jì)時(shí)關(guān)機(jī)，這是由于該Svchost.exe進(jìn)程引導(dǎo)RPC服務(wù)，終止該進(jìn)程則導(dǎo)致RPC服務(wù)中斷，系統(tǒng)自然會(huì)重新啟動(dòng)了。 ★Windows 2000中一般有兩個(gè)Svchost.exe進(jìn)程，Windows Server 2003則非常多，一般有6個(gè)。