Het bestand Svchost.exe bevindt zich in de map %SystemRoot%\System32. Tijdens het opstarten controleert Svchost.exe de sectie met services van het register. Op basis daarvan wordt een lijst samengesteld met services die moeten worden geladen. Er kunnen meerdere sessies van Svchost.exe tegelijkertijd worden uitgevoerd. Elke Svchost.exe-sessie kan een verzameling services bevatten, waarvan afzonderlijke services kunnen worden uitgevoerd, afhankelijk van hoe en waar Svchost.exe wordt gestart. Daardoor kunnen beheer en foutopsporing beter en gemakkelijker worden uitgevoerd.
Svchost.exe-groepen zijn opgenomen in de volgende registersleutel:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost
Elke waarde onder deze sleutel geeft een afzonderlijke Svchost-groep aan. Deze wordt weergegeven als een afzonderlijk item wanneer je actieve processen weergeeft. Elke waarde is een REG_MULTI_SZ-waarde waarin de services zijn opgenomen die onder die Svchost-groep worden uitgevoerd. Elke Svchost-groep kan een of meer servicenamen bevatten. Deze worden opgehaald uit de volgende registersleutel, waarvan de sleutel Parameters een ServiceDLL-waarde bevat:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
Je kunt als volgt de lijst met services weergeven die in Svchost worden uitgevoerd:
1. Klik op Start op de taakbalk van Windows en klik op Uitvoeren.
2. Typ CMD in het vak Openen en druk op ENTER.
3. Typ Tasklist /SVC en druk op ENTER.
Met Tasklist wordt een lijst met actieve processen weergegeven. De schakeloptie /SVC geeft de lijst met actieve services in elk proces weer. Als je meer wilt weten over een proces, typ je de volgende opdracht en druk je op ENTER:
Tasklist /FI "PID eq processID" (inclusief de aanhalingstekens)
